BITR har lang erfaring med å utføre risikovurdering av mange ulike typer informasjonssystemer. Risikovurderingen skal være et verktøy for å identifisere eventuelle uønskede hendelser, vurdere sannsynligheten og konsekvensen av disse, og resultere i en vektet risiko. En risikovurderingen gjøres normalt under planleggingsfasen av nye systemer, eller før endringer av eksisterende systemer.

Risikovurderinger gjøres ved at BITR gjennomgår dokumentasjon for informasjonssystemet og setter opp tenkte hendelser som har varierende risiko. Selve vurderingen av sannsynlighet og konsekvens gjøres ofte sammen med kunden, og det må da vises til dokumentasjon av tiltak som reduserer risiko.

Risikovurderingen tilpasses hvert enkelt formål. For eksempel: hvor alvorlig en risiko er avgjøres av virksomhetens/systemets akseptansekriterier for risiko (en tenkt hendelse kan være at disse mangler) og også hvilken type informasjon som behandles av informasjonssystemet. BITR har lang erfaring med å risikovurdere systemer som behandler sensitive personopplysninger, herunder helseopplysninger.

Som en del av resultatet får kunden en tiltaksliste med konkrete “må”-, “bør”- og “kan”-oppgaver som må løses for at risiko skal reduseres. Dette i tillegg til grafisk oversikt over risikofordelingen – også kalt risikomatrise.

Ta kontakt for mer informasjon om risikovurderinger.

Se oversikt over BITRs tjenester og kompetanse.