Ved å etablere og vedlikeholde oversikt over helse- og personopplysningene som behandles, og teknologi som brukes, kan virksomheten identifisere potensielle risikoområder den bør være spesielt oppmerksom på.
Virksomheten skal ha
- protokoll over behandlinger av helse- og personopplysninger. Se Normens faktaark for protokoll over behandlinger av helse- og personopplysninger i virksomheten (faktaark 13)
- oversikt over IKT-systemer, infrastruktur, digitale tjenester og annen informasjon med betydning for informasjonssikkerheten, mv. Virksomheten skal også kartlegge konsekvenser av bortfall av systemer og klassifisere systemene, jf. kap. 5.9. Nødrutiner. Oversikten bør være dokumentert.
Områder for risikovurdering bør ta utgangspunkt i oversikten over helse- og personopplysningene som behandles, og oversikten over teknologi som brukes.
