Versions Compared

Old Version 10

changes.mady.by.user Erich Must Wessel

Saved on

compared with

New Version Current

changes.mady.by.user Erich Must Wessel

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Når man først har definert en risiko, kan denne f.eks evalueres flere steder i organisasjonen ved å NY-evaluere flere ganger og velge ulike avdelinger i org.listen hver gang. Det kan altså være sammen risiko som skal evaluers evalueres på ulike prosesser, eller ulike avdelinger / lokasjoner, eller samme risiko på ulike Aktiva (feks. programvare).

...

Når en og samme risiko evalueres mot ulike områder av virksomeheten kaller vi det ulike utfall. Altså en og samme risiko evalueres med flere NY evalueringer med ulikt utfall.

NB! For hvert nytt utfall av en risiko må altså det gjøres en ny NY evaluering. Utfallet tagges i ved evaluering under overskriften “Tilknytning”. Utfallet må da være unikt i forhold til forgående andre utfall. For hvert utfall skal det så senere kun reRE-evalueres uten å gjøre endringer i Tilknytningsfeltene. Altså - dersom man skal gjøre et en evaluering av et utfall som allerede er evaluert skal man reRE-evaluere denne risikoen . Som (ikke NY evaluering) som dette bildet illustrerer:

...

En NY evaluering benytter pluss ikonet og RE evaluering benytter “gjenta” ikonet. Når man RE-evaluerer vil man opparbeide historikk og på dette utfallet for sannsynlighet og konsekvens og kunne se grafer på risiko-utfallets utvikling i tillegg til . I tillegg vil man kunne se alle tiltak som er implementert over tid og hvilken effekt disse har fått.

Et utfall kan altså være basert på ulike organisasjon som vist i bildet over, men også ulike prosesser, leverandører, kontekst, aktiva og flere andre datatyper i systemet.

Dersom man får en epost med påminnelse om at man må “revurdere” eller “reevaluere” en risiko betyr det at man RE evaluerer det aktuelle utfallet og bygger opp historikken for nettopp dette utfallet.

Risikoreduksjon / utnytte muligheter ved restrisiko

Dersom man ved evaluering IKKE aksepterer en restrisiko må man (systemet krever) redusere risikoen / utnytte muligheten med en (eller begge) av disse to måtene:

  • opprettes tiltak for å redusere risiko og realisere muligheter.

  • referere til sikringstiltak/barrierer som er på plass for å forebygge risikoen.

...

  • Når en risiko evalueres for første gang (NY evaluering), genererer systemet en egen risikoevaluering som vil arve de valgte taggede organisasjonselementene og prosessene fra sin "mor", selve risikoen. Denne handlingen letter arbeidet, men du bør fortsatt sjekke om taggingen er riktig slik at utfallet blir riktig. Du kan selvfølgelig endre dem. Velg riktig sannsynlighet og estimert verdi for hver relevant konsekvensakse. Du må fylle ut minst én konsekvensakse.

  • Du kan velge om du vil evaluere "Muligheter". Det vil gjøre den positive skalaen 1-5 synlig ved evaluering.

  • Du kan også velge å sette en Ønsket sitauasjon” (målevaluering). Den aktiverer en ny matrise nøyaktig som den nåværende evalueringen, men lar brukeren angi en ønsket/mål-/målevalueringsverdiverdi. Over tid er det meningen at du skal skal man jobbe mot å lukke dette gapet.

  • For hvert konsekvensaksevalg må du man bestemme om gjenværende risiko aksepteres man kan Aksepter restrisiko eller ikke. Hvis én ikke er merket, må du velge en løsning med tiltak på slutten av skjemaet . Det -det betyr, hva gjør du med resten av risikoen/mulighet. For å redusere risiko og utnytte muligheter, legg til tiltak og/eller kontroller.

...

Evaluering av risikoer

Se flytdiagram flytsskjema i egen artikkel under hvordan man utfører evalueringer på ulike steder i systemet

Ved evaluere fyll inn relevante data og muligheter som

  • Arving eier, org. og deltaker fra risiko

  • Planlegg neste evaluering

  • Angi målrisiko eller ei

  • Er risikoen signifikant?

  • Definer løsning for restrisiko etc

...

Evalueringsfelter forklart

Seksjon1 - metainfo

...

Tittel

  • Systemet kopierer inn tittelen fra selve risikoen - kan endres om ønskelig

Beskrivelse

  • Om ønskelig kan man her beskrive evalueringen nærmere: hvorfor, endring, situasjon, prosjekt, er det peroidisk evaluering etc.

Neste evaluering

  • Systemet setter automatisk neste evaluering til ett år frem i tid. Kan endres ved evaluering.

Eier

  • Her legges automatisk inn den personen som er eier av risikoen - kan endres.

Stedfortredere

  • Her kopieres inn de som er stedfortredere i selve risikoen - kan redigeres

Deltakere

  • Her kopieres deltakerne fra selve risikoen inn - kan redigeres

Seksjon 2 - Tilknyttet

...

Her kan man når man lager en NY evaluering velge å kopiere med seg relevante data som er tagget for selve risikoen. Alle kan endres ved behov. Det anbefales å IKKE endre noen tilknytninger ved REevaluering fordi da vil “utfallet” endre seg. I disse tilfeller er det oftest best å lage en NY evaluering med en annen kombinasjon for det aktuelle utfallet. Bruk gjerne Tittel/Beskrivelse for å tydeligere om det er ulike utfall for samme risiko.

Sårbarheter

  • Dette feltet er et rent tekstfelt som brukes for å beskrive sårbarhet(er) - ofte i forbindelse med informasjonssikkerhetsrisikoer

Prosjekt

  • Prosjekt er kopiert fra selve risikoen og er låst for endring

Seksjon 3 - valg

...

I denne seksjonen tar man valg som har disse forklaringene

Signifikant

Det kan være ulike grunner til at man krysser av for at en evaluering er signifikant. Det kan f.eks være at risikoen

...

Evalueringer som er signifikante kan filtreres fram i Analyse Dashbordet

Vurdere muligheter

  • Ved å krysse av her vil man også få synlig den positive konsekvens aksen for de som har dette og man kan gjøre et positivt valg. I standard oppsett gjelder dette blant annet for

    • kvalitet

    • ytre miljø

    • helse og sikkerhet

    • informasjonssikkerhet

  • det er mulig å ved bruk av Risikomatrisebyggeren under “Systemverktøy” menyen å definere hvilke konsekvens kategorier som skal ha denne opsjonen.

Ønsket situsajon

  • Dette valget gjør et ekstra matrise-sett synlig for hver konskvens akse og for sannsynlighet slik at man kan definere en ønsket situasjon for risikoevalueringen, eller “mål-risiko” som noen også kaller det. Det gjør det lettere å senår man kan akspetere rest-risiko

Miljøaspekt vurdering

  • Dersom denne evalueringen gjelder et miljøaspekt (ikke miljørisiko), velges denne. Dersom risikoen er krysset av for denne vil evalueringen automatisk arve valget.

  • Det gjør at man kan skille disse ut i Analyseverktøyet.

  • Husk da på at Sannsynlighet har da betydningen “Mengde”

Restrisisko

Når man har oppnådd ønsket risikobilde velger man å akseptere restrisiko. Systemet vil for den aktuelle konsekvensaksen da vise resrisiko i alle oversikter som grønn, eller vil den være rød som tydelig kommuniserer til sluttbruker at denne risikoen/muligheten må jobbes videre med. Dersom man i evalueringen krysser av for at restrisiko er akseptert, må man fylle ut en kommentar og forklare.

...

Oversikt over evalueringene

...