Risikostyring er koordinerte aktiviteter for å rettlede og kontrollere en organisasjon med hensyn til risiko. Dette innebærer å få oversikt over informasjon og teknologi i virksomheten, identifisere trusler og mulige uønskede hendelser som kan påvirke både virksomheten og de registrerte, analysere risikoen og etablere tiltak for å opprettholde et fastsatt nivå for akseptabel risiko, som beskrevet i Normen 6.1 kapittel 3.
Virksomheten skal i henhold til kravene i Normen 6.1 etablere risikostyring for å vurdere og håndtere risiko knyttet til informasjonssystemene, inkludert fjernaksessløsningen med gjeldende integrasjoner.
Krav og nødvendige sikkerhetstiltak ved bruk av leverandører og løsninger skal baseres på en dekkende risikovurdering som forankres i virksomhetens styringssystem.
Risikovurderingen skal alltid inkludere scenarioer som omfatter både autorisert og eventuelt uautorisert tilgang fra leverandøren til helse- og personopplysninger, samt annen taushetsbelagt informasjon, i tråd med Normen 6.1 kapittel 5.7
Nærmere detaljer om risikostyring er tilgjengelige i Veileder om risikostyring i informasjonssikkerhet og personvern.
