Risikovurdering er et verktøy for å identifisere uønskede hendelser og for å implementere hensiktsmessige tiltak. Risikovurderingen bør ta utgangspunkt i en kartlegging av informasjonsverdier. I en risikovurdering vurderer man sannsynligheten for og mulige konsekvenser av at en hendelse inntreffer. Dersom risikoen er uakseptabel, skal virksomheten gjennomføre tiltak for å redusere risikoen.
Normen sier at det skal som minimum gjennomføres risikovurderinger før:
- etablering av eller endring i behandling av helse- og personopplysninger
- etablering av nye systemer eller registre som inneholder eller benytter helse- og personopplysninger
- det etableres organisatoriske, tekniske eller andre endringer med betydning for informasjonssikkerheten
- det etableres eller endres tilgang til helseopplysninger mellom virksomheter
Risikovurderingen bør oppdateres når risikobildet endres. Dette betyr at man regelmessig bør vurdere risikoene knyttet til virksomheten, og oppdatere risikovurderingen i tråd med eventuelle endringer.
Når risikobildet endres, kan det oppstå nye trusler, teknologiske endringer, endringer i virksomhetens driftsmiljø eller andre faktorer som påvirker sikkerheten. Ved å oppdatere risikovurderingen kan man identifisere og vurdere de nye risikoene og tilpasse tiltakene for å håndtere dem.
Oppdatering av risikovurderingen bør skje regelmessig og i samsvar med virksomhetens behov og risikoprofil. Dette kan være basert på en fast tidsplan, eller det kan være trigget av endringer i trusselbildet.
Risikovurderingen bør være en kontinuerlig og iterativ prosess, der man hele tiden evaluerer, oppdaterer og forbedrer håndteringen av risiko. Dette bidrar til å sikre at organisasjonen er proaktiv og robust i sitt arbeid med å håndtere risiko.
Risikovurderinger bør gjenspeile avhengigheter mot andre systemer. Tydelige avgrensninger bør også være på plass for å definere hva som er inkludert i vurderingen og hva som er dekket i andre vurderinger.
Det bør være et godt samarbeid mellom kunde og leverandør ved gjennomføring av risikovurdering. Begge parter har en interesse i at løsninger som er anskaffet kan tas i bruk. Leverandør bør vurdere å dele nødvendig informasjon for risikovurderinger tidlig i anskaffelsesprosessen og ellers samarbeide med kunden etter beste evne.
Risikovurderinger skal dokumenteres. Der det er nødvendig å gjennomføre tiltak for å oppnå akseptabel risiko, skal tiltakene fremgå av en plan med tydelig frist og hvem som er ansvarlig for gjennomføring. Planen skal forankres hos virksomhetens ledelse.
