Risikovurdering

Når du arbejder med informationer på Aarhus Universitet er det vigtigt at vurdere, hvordan du beskytter de informationer, som du har ansvaret for. Få et overblik over, hvordan du udarbejder en risikovurdering.


Hvad er en risikovurdering?

En risikovurdering er en vurdering af cyber- og informationssikkerheden med det formål at undgå, at følsomme informationer falder i de forkerte hænder gennem uforudsete hændelser.

Med god informationssikkerhed beskytter vi informationer samt fortroligheden, integriteten og tilgængeligheden af informationer, hvor uforudsete hændelser kan ses som offentliggørelse, kompromitering eller tab af kritiske informationer. Kender man risici, kan man etablere passende sikkerhedsforanstaltninger, så man undgår hændelser.

En god risikovurdering er en struktureret fremgangsmåde til at identificere eventuelle risici, mulige konsekvenser såfremt en hændelse indtræffer samt sandsynligheden for at det sker. Risici skal analyseres med henblik på at afværge, kontrollere eller reducere risici, så opgaven, aktiviteten eller projektet kan gennemføres/udføres sikkerhedsmæssigt forsvarligt.

En risikovurdering forløber i tre faser:

  • FØR risikovurdering: System- og dataklassifikation.
  • UNDER risikovurdering: Udfyld vurdering.
  • EFTER risikovurdering: Årlig opfølgning.

Resultatet af en risikovurdering vil indikere, i hvilken grad der er behov for beskyttelse af informationer.

Hvornår skal der udarbejdes en risikovurdering?

Forud for enhver behandling af fortrolige og/eller følsomme informationer, skal der foretages en skriftlig risikovurdering. Risikovurderingen udføres af systemejer eller den ansvarlige for behandlingen, opbevaringen eller videreførsel af denne type informationer.

Skabelon til udarbejdelse af risikovurdering findes nederst på siden.

Er der tale om it-systemer skal der foretages en særskilt systemklassifikation, der vil angive, om der skal foretages en risikovurdering.

Er der tale om behandling af personoplysninger skal der foretages en særskilt konsekvensanalyse.

Hvem skal udarbejde en risikovurdering og hvorfor?

Som systemejer eller såfremt du på anden måde er ansvarlig for et område/en opgave eller et projekt med fortrolige og/eller følsomme informationer, herunder personoplysninger, på Aarhus Universitet, er du forpligtet til at foretage en risikovurdering. Det gælder også for personoplysninger, som er offentligt tilgængelige.

Risikovurderingen skal foretages FØR et system sættes i drift eller FØR enhver behandling af personoplysninger, fortrolige og/eller følsomme informationer.

Det er dit ansvar at beskytte informationers fortrolighed, integritet og troværdighed med passende sikkerhedsforanstaltninger på et oplyst grundlag.

Det er jeres opgave, da I er bekendt med, hvordan systemet eller behandlingen af informationer skal foregå og bedst kan vurdere eventuelle risici.

Vær opmærksom på, at hvis du skal behandle personoplysninger skal du også lave en databeskyttelsesretlig risikovurdering.

Hvad er forskellen på en risikovurdering og en databeskyttelsesretlig risikovurdering?

En risikovurdering omhandler fx en vurdering af systemer, adgang til bygninger, forskningmateriale og meget mere.

Er der tale om behandling af personoplysninger skal der foretages en særskilt risikovurdering. Det er en databeskyttelsesretlig risikovurdering.

Den dataansvarlige skal sætte sig i den registreredes sted og overveje, hvilke risici, som vedkommende udsættes for ved de(n) påtænkte behandlingsaktivitet(er), som den dataansvarlige vil udføre.

Er du i din funktion på Aarhus Universitet ansvarlig for en enhed, et system, en opgave eller et projekt med adgang til fortrolige informationer eller følsomme personoplysninger, der behandles på universitetet, er det dit ansvar at gennemføre en risikovurdering.