Overordnet risikovurdering

En overordnet risikovurdering identifiserer kjerneverdier i en virksomhet, og definerer uønskede hendelser, omtalt som topphendelser, som kan få kritiske konsekvenser. Virksomhetens trusler og sårbarheter blir kartlagt, og konkrete tiltak blir presentert for å redusere risiko. Tiltakene blir rettet mot å lukke rotårsakene til de identifiserte sårbarhetene, fremfor å ta for seg tiltak mot hver enkelt sårbarhet. En overordnet risikovurdering baseres på møter, workshops og gjennomgang av eksisterende dokumentasjon.  

Netsecurity sin metode for overordnet risikovurdering er basert på anerkjente standarder som blant annet ISO/IEC 27005 og ISO31000. Tiltakene som presenteres i den overordnede risikovurderingen kan eksempelvis kobles mot ISO27001 eller NSM Grunnprinsipper for IKT-sikkerhet.

Gjennomføringen av en overordnet risikovurderinger inkluderer planlegging av møter og workshops for å kartlegge, vurdere og analysere risiko. Netsecurity fasiliteter workshops og gjennomfører risikoanalyse basert på innhentet informasjon. Prosjektplanen kan inkludere, men er ikke begrenset til:

• Oppstartsmøte
• Workshop med ledelsen
• Risikoworkshop
• Møter og intervjuer med relevant personell
• Site survey og fysisk workshop

Resultatet overleveres og presenteres i form av en rapport som inneholder topphendelser, trusselvurdering, avdekkede sårbarheter og anbefalte tiltak. Rapporten er rettet mot toppledelsen og styret for å gi ledelsen et beslutningsgrunnlag slik at de kan avgjøre hvilke områder som er tilstrekkelig håndtert, og hvilke områder som krever ytterligere fokus for å bringe virksomheten innenfor et akseptabelt nivå av risiko.