Verdivurdering og risikovurdering | Helse, miljø og sikkerhet - Ansatt

Verdivurdering og risikovurdering

Verdivurdering og risikovurdering

Informasjon som har en verdi skal beskyttes.

Hva skal beskyttes?

Informasjon som har en verdi skal beskyttes.

Hvordan, avhenger av informasjonens verdi og resultatene av risikovurdering. Det kan være lovpålagt, avtalt med samarbeidspartnere eller resultat av en vurdering du gjør selv.

Informasjon som vurderes grupperes i hensiktsmessige "klumper" som gjerne kalles informasjonsaktiva eller informasjonsressurs. Det kan være et IT-system (f.eks. Fronter) eller en type informasjon (f.eks. pasientinformasjon eller data som inngår i et forskningsprosjekt).

Verdivurdering

I en verdivurdering skal du vurdere tre forhold: Konfidensialitet, integritet og tilgjengelighet (KIT).

Når konfidensialitet vurderes, ser du på hvor viktig det er at informasjonen ikke blir gjort kjent for uvedkommende eller kommer på avveie. Eksempler på informasjons hvor konfidensialiteten er viktig er helseopplysninger, eksamensoppgaver før de er gitt og forskningsresultater som ikke er publisert. 

Informasjonen på OsloMet deles inn i tre kategorier

  1. Åpen: Kan legges ut på internett og kan publiseres.
  2. Intern: Kan deles med noen eller alle med tilknytning til OsloMet, skal ikke legges ut på internett eller publiseres.
  3. Sensitiv: Når integriteten vurderes, ser du på hvor viktig det er at informasjonen ikke kan endres av uvedkommende/ at den garantert er helt riktig. Eksempler på informasjonsaktiva hvor integriteten er viktig; karakterer og forskningsdata. 

    Når tilgjengeligheten vurderes, ser du på hvor kritisk det er å miste tilgang til informasjonen for en periode/ at den går tapt for alltid. Eksempler på informasjonsaktiva hvor tilgjengeligheten er viktig er; fagsystemer i kritiske faser for studentopptak/ eksamensavvikling, store student- eller forskningsarbeider, eksamensbesvarelser og forskningsdata.

Risikovurdering

Hensikten med en risikovurderingen er å iverksette relevante tiltak for å fjerne eller kontrollere risikoelementer som vurderes som uakseptable. Risikovurderinger skal dokumenteres. 

I en risikovurdering skal du ta stilling til følgende:

  • Hva kan gå galt?
  • Hvor stor er sannsynligheten for at det kommer til å skje?
  • Hvilke konsekvenser kan det få hvis det skjer?
  • Hvilke tiltak bør iverksettes for å redusere sannsynligheten og/eller konsekvens til et akseptabelt nivå?

Risikovurdering knyttet til informasjonssikkerhet skal typisk gjennomføres før anskaffelse av et it-system, ved oppstarten av et forskningsprosjekt eller ved endringer som har betydning for informasjonssikkerheten. 

Personopplysningsloven (lovdata.no) krever at det foretas en risikovurdering før behandling av personopplysninger starter.

Se Datatilsynets veileder for risikovurdering (datatilsynet.no).

Det stilles krav til risikovurderinger knyttet til ulike forhold ved OsloMet, for eksempel beredskap, prosjektstyring, virksomhetsstyring og HMS.

Kontakt sikkerhet ved OsloMet for risikovurdering før et arrangement.