Retningslinje for risikostyring for informasjonssikkerhet.

English version - Policy for Risk management in information security

• Type dokument: Retningslinje
• Forvaltes av: Seksjon for digital sikkerhet
• Godkjent av: Direktør for Organisasjon og infrastruktur
• Gjelder fra: 01.10.2025
• Neste revisjon: 01.10.2027
• Klassifisering: Åpen
• Referanse ISO: ISO27005:2011
• Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning: Pkt 3
• Referanse NSMs Grunnprinsipper for IKT-sikkerhet: 1.1.3, 1.1.4, 2.1.10
• Referanse LOV/Regel: Personopplysningsloven
• Referanse interne dokumenter: Denne retningslinjen er underlagt Politikk for informasjonssikkerhet

Formål

Formålet med Retningslinje for risikostyring innen informasjonssikkerhet er å forebygge uønskede hendelser og mangler ved informasjonssikkerheten ved NTNU.

Gjelder for

Retningslinjen gjelder for alle som har ansvar for en prosess, prosjekt, anskaffelse, utvikling eller drift av et system. For eksempel ledere, systemeiere, prosesseiere, prosjektledere og forskningsansvarlige.

Ansvar og roller

Arbeidet med informasjonssikkerhet berører virksomheten på alle nivå. Ansvar og myndighet for informasjonssikkerhet følger det ordinære linjeansvaret. Alle roller tilhørende styringssystemet er definert i politikk for informasjonssikkerhet

For retningslinje for risikostyring for informasjonssikkerhet har linjeledere, prosesseiere, systemeiere og prosjektledere en sentral rolle med tilhørende ansvar.

Overordnede prinsipper

• NTNU skal ha en tilnærming til informasjonssikkerhet som er basert på risikovurderinger.
• uakseptabel risiko skal håndteres med tiltak, og resterende risiko skal være akseptert av leder.
• System og prosesser der informasjonsverdier behandles, skal underlegges risiko – og sårbarhetsanalyser (ROS) minst hvert annet år, og/eller ved vesentlige endringer i organisering, prosesser, IKT-system eller i trusselbilde. Dette for at man skal ha et mest mulig oppdatert bilde av risiko og sårbarhet.

Risiko- og sårbarhetsanalyse

Risiko er definert som ett eller flere uønskede scenario beskrevet med kombinasjonen av mulige konsekvenser og tilhørende sannsynlighet. Kontroll av risiko gjøres gjennom risikostyring. Risikostyring handler om å kontrollere konsekvenser og sannsynlighet gjennom systematiske tiltak. Det er en del av internkontrollen og bidrar til å sikre at organisasjonen når sine mål.

Risikostyringsprosessen er standardisert gjennom ISO/IEC 27005:2011 standarden og NTNU følger i all hovedsak denne for informasjonssikkerhet, illustrert i figuren under.

• Etablere kontekst: Bestem hva som skal vurderes og hva som ikke skal inkluderes. Lag spesifikke risikokriterier for vurderingen, inkludert konfidensialitet, integritet og tilgjengelighet
• Risikoidentifisering: Identifiser og vurder verdier, trusler og sårbarheter i IKT-systemet eller arbeidsprosessen gjennom tre aktiviteter:
  • Verdivurdering. Bestem beskyttelsesbehovet til løsningen. For eksempel, et system som håndterer sensitive persondata vil ha spesielle krav til datahåndtering.
  • Trusselvurdering. Identifiser de mest relevante truslene som kan skade informasjonsverdiene. Vurder truslenes motivasjon, evne til å angripe, og hvor ofte de kan forekomme.
  • Sikkerhetsmekanismer. Kartlegg og vurder eksisterende sikkerhetsmekanismer (kontroller og tiltak) i løsningen.
  • Sårbarhetsvurdering. Identifiser og vurder sårbarheter i IKT-systemet eller arbeidsprosessen som kan utnyttes av en trussel.
  • Risikoidentifikasjon. Bruk resultatene fra verdivurdering, trusselvurdering og sårbarhetsvurdering til å identifisere risikoen og hvilke uønskede hendelser og konsekvenser dette kan føre til (risikoscenario).
• Risikoanalyse gjennomføres for å estimere konsekvens og tilhørende sannsynlighet av identifiserte scenarier. Analysen skal avdekke hvilke risikoer som er mest alvorlige og må prioriteres.
• Første beslutningspunkt blir da en vurdering om risikovurderingen er tilstrekkelig for å gå videre. I noen tilfeller kan de som gjennomfører risikovurdering ha avdekket områder med stor usikkerhet og må derfor gjøre en grundigere undersøkelse for å oppnå en tilfredsstillende risikovurdering.
• Risikohåndtering innebærer å modifisere risiko for å gjøre den akseptabel. Dette gjøres ved å velge tiltak som reduserer risikoen til et akseptabelt nivå. Det finnes fire hovedtilnærminger til risikohåndtering: (i) redusere risiko, (ii) unngå risiko, (iii) overføre eller dele risiko, og (iv) akseptere risikoen som den er. Prioritering av tiltak baseres på en kost-nytte-analyse, hvor både risikoreduksjon og kostnaden av tiltaket vurderes. I noen tilfeller kan det også være aktuelt å øke risikoen for å dra nytte av en mulighet.
• Risikoeier (Ansvarlig leder i linjen) vurderer om restrisikoen er akseptabel. Hvis risikoeier ikke aksepterer risikoen som er igjen etter at det er gjennomført planlagte risikoreduserende tiltak, må nye tiltak vurderes og gjennomføres frem til akseptabel risiko er oppnådd.
• Risiko-overvåkning og evaluering. Risikovurderingen revideres hvert andre år og ved store endringer av systemet eller prosessen.

Risikokriterier

Risikokriterier er de kriterier som legges til grunn ved beslutning om akseptabel risiko. Slike kriterier kan være uttrykt med ord, være tallfestet eller basert på en kombinasjon. Kriteriene er basert på forskrifter, standarder, erfaringer og/eller teoretisk kunnskap.

Ved risikovurderinger skal det utarbeides kriterier innenfor konfidensialitet, integritet og tilgjengelighet.

Følgende konsekvenser ved brudd på informasjonssikkerheten skal vurderes:

• Skade på materiell eller personer
• Økonomi
• Omdømme
• Personvern

Aksept av risiko

Akseptabel risiko er risiko som aksepteres i en gitt sammenheng basert på gjeldende verdier i organisasjonen. Hva som er akseptabelt, kan endres over tid og variere mellom områder. Det defineres en grense for hva som er uakseptabel risiko basert på risikokriterier. Risiko som anses som uakseptabel bør reduseres så mye som praktisk mulig. Vanligvis vil en nytte-/kostnadsvurdering avgjøre hva som oppfattes som praktisk mulig, det vil si om, og i hvilken grad, risikoreduserende tiltak skal gjennomføres.

Aksept av risiko må forelegges og besluttes av linjeleder. Linjeleder kan akseptere risiko som gir en konsekvens innenfor hva egen enhet kan tåle. Ved konsekvens utover dette skal aksept av risiko forelegges oppover i linjen. Aksept av risiko gjøres ved å godkjenne ROS med dato. Dato for signering setter gyldighetsperioden for ROS.

Ved identifisering av uakseptabel risiko som kan ha konsekvenser utover omfanget for gjeldende ROS-analyse og/eller medføre store konsekvenser utover egen beslutningsmyndighet, så skal denne risikoen rapporteres oppover i linjen.

Risiko som ikke aksepteres:

• Konsekvenser som fører til brudd på lover og regler.
• Konsekvenser som kan påføre NTNU som organisasjon større skade

Kontrollpunkter, tiltak og rutiner

• For alle risikokriterier skal det etableres kontrollpunkter og tiltak som er målbare i forhold til fastsatt risikoaksept.
• Risikoeier skal ha fastsatte rutiner for evaluering av kontrollpunkter og tiltak.
• Håndtering av avvik skal være en del av risikohåndteringsprosessen.

Omfang av risikovurdering

Omfanget av risikovurdering bestemmes ut ifra systemets/prosessens krav til konfidensialitet, integritet og tilgjengelighet.