1 - Hensikt og omfang
Formålet med dette dokument er å etablere kriterier for vurdering og aksept av risiko innen informasjonssikkerhet som del av virksomhetens styringssystem for informasjonssikkerhet og personvern i samsvar med blant annet personopplysningsloven og Norm for informasjonssikkerhet
og personvern i helse- og omsorgssektoren.
Kriterier for aksept av risiko innen informasjonssikkerhet gjelder for all behandling av opplysninger.
Kriteriene skal brukes både for å avgjøre om restrisiko er akseptabel og ved tvil om hvilke sikringstiltak som skal iverksettes (usikkerhet mht. om tiltaket er sikkerhetsmessig lønnsomt).
Dokumentet beskriver risikonivåer, men beskriver ikke prosesser eller arbeidsdelingen som trengs for å fastsette risikoers nivå. Dette må beskrives i egne dokumenter, både normative og veiledende.
1.1 - Målgruppe og bruk
Målgrupper for dokumentet er
- personer som skal utarbeide risikovurderinger og beslutningsunderlag på
informasjonssikkerhetsområdet, herunder informasjonssikkerhetsleder, - personer som skal beslutte hvilke risikoreduserende tiltak som ev. skal iverksettes, og
- ledere (risikoeiere) som skal vurdere og eventuelt akseptere restrisiko.
2 - Kriterier til bruk ved risikovurdering og –håndtering
Risikokriteriene skal benyttes for å beskrive risiko på en sammenlignbar måte, slik at de kan prioriteres for risikohåndtering. Dokumentet setter også rammer for risikohåndteringen, både ved å stille krav til at risikoreduserende tiltak gjennomføres (krav om sikkerhetsmessig lønnsomhet) og ved å klargjøre kriterier for hvordan restrisiko kan aksepteres. Kravene er basert på den internasjonale
standarden for risikostyring på informasjonssikkerhetsområdet (NS-ISO/IEC 27005).
2.1 - Kriterier for å beskrive risikonivå
Risiko innen informasjonssikkerhet skal vurderes basert på estimat for konsekvens av og tilhørende sannsynlighet for uønskede hendelser. Arbeidet med å identifisere mulige uønskede hendelser skal tilpasses antatt risiko. Både konsekvenser for helseforetakets måloppnåelse og konsekvenser for andre, herunder fysiske personers grunnleggende rettigheter og friheter, skal hensyntas.
Ved flere mulige utfall av en uønsket hendelse skal det/de scenarier med høyest risiko inkluderes. De risikoscenarioer som inngår i analysen skal beskrives tekstlig. Beskrivelsen skal dekke både konsekvens av og tilhørende sannsynlighet for den uønskede hendelsen, inkl. en begrunnelse for valgt konsekvens- og sannsynlighetsnivå. Kunnskapsstyrken (grad av usikkerhet ved vurderingen)
bør omtales. De vurderte risikoer skal innplasseres i matrisen ovenfor basert på skalaene i kapittel 3.
2.2 - Kriterier for å akseptere risiko
Ideelt sett skal alle virksomhetsmål nås uten at uønskede konsekvenser oppstår. Det vil likevel være slik at det alltid vil være en større eller mindre sannsynlighet for at sikkerhetsbrudd kan forekomme.[1]
Risiko ved sikkerhetsbrudd må imidlertid være under kontroll, og akseptkriteriene skal bidra til at det gjøres gode valg mellom å etablere sikringstiltak, akseptere risiko og å la være å gjøre aktiviteter som innebærer for høy risiko.
Akseptkriteriene setter rammene for hvor stor risiko helseforetaket kan akseptere for at det inntreffer en hendelse som forårsaker brudd på konfidensialitet, tilgjengelighet eller integritet for opplysninger. Hvilken risiko som kan aksepteres, vil variere etter omstendighetene, blant annet hvor stor betydning aktiviteten har for pasientbehandlingen, risikoens alvorlighet for den enkelte og rettferdighetsbetraktninger (som at nytte og risiko treffer ulike personer). Aksept av høyere risiko krever beslutning på høyere ledelsesnivå.
Beslutninger om hvorvidt en risiko er akseptabel, skal tas av risikoeier. Risikoeier [2] har ansvaret for måloppnåelsen på et område; risikoeier har ansvar for ressursbruk og valg av virkemidler for å oppnå målet. Sykehuspartner skal som ansvarlig for sikkerhet i infrastruktur sette bruksvilkår for hvilke tjenester som kan etableres på denne infrastrukturen.[3] At en risiko anses akseptabel innebærer ikke at et helseforetak kan kreve at tjenesten realiseres; det vil bero på avtaleforholdet mellom partene.
Risikostyring innen informasjonssikkerhet følger den ordinære risikostyringen i helseforetakene. I noen tilfeller kan det være krevende avgjørelser der for eksempel pasientsikkerhet må veies opp mot risiko innen informasjonssikkerhet. Svært høy risiko kan ikke aksepteres på lavere ledelsesnivå enn administrerende direktør i helseforetaket, og administrerende direktør i Helse Sør-Øst RHF skal i så
fall konsulteres. Helseforetakene definerer for øvrig hvilke ledere/ledernivåer i risikoeiers linje som kan akseptere hvilke risikonivåer.
Helseforetaket skal gjennomføre risikovurderinger slik at risiko er tilstrekkelig kjent til at foretaket kan treffe gode beslutninger om risikohåndtering. Arbeidet utføres risikotilpasset, dvs. at der foreløpige analyser tyder på høy risiko skal både risikovurderingene og vurdering av mulig risikohåndtering gjøres grundigere enn ved lav risiko. Informasjonssikkerhetsleder har en viktig rolle i å kvalitetssikre beslutningsgrunnlaget og å påse at akseptkriteriene etterleves, og skal ved avvik
eskalere saken i henhold til helseforetakets rutiner.
Identifiserte sikkerhetsmessig lønnsomme tiltak skal gjennomføres. Dette er tiltak som koster mindre i anskaffelse, drift og ulemper enn det koster å leve med den risikoen som tiltaket skal forhindre. Dessuten skal lovpålagte tiltak gjennomføres.
Dersom helseforetaket er kjent med hvordan risikoen er vurdert i andre foretak, skal vurderingenhensyntas i akseptvurderingen. Det er et mål at det ikke skal finnes ubegrunnede forskjeller i akseptert risikonivå i helseforetakene. Helseforetakene kan innenfor denne rammen tilpasse akseptkriteriene.
Restrisiko kan aksepteres i henhold til følgende tabell.
| Risikonivå |
Kriterier for å akseptere risiko |
| Lav |
Kan aksepteres uten å vurdere alternative arbeidsmåter eller flere ririkoreduserende tiltak. Kan aksepteres av risikoeier eller infomrasjonssikkerhetsleder |
| Moderat |
Det er gjennomført et systematisk arbeid for å identifisere alternative arbeidsmåter og risikoreduserende tiltak Nytten ved at oppgaven/tjenesten utføres er større en risikoen. Kan akspeteres av risikoeier |
| Høy |
Det er gjennomført et systematisk og grundig arbeid for å identifisere alternative arbeidsmåter og risikoreduserende tiltak. Nytten ved at oppgaven/tjenesten utføres ser større enn risikoen. Kan aksepteres av risikoeier |
| Svært høy |
Det er gjennomfrt et systematisk og svært grundig arbeid for å identifisere alternative arbeidsmåter og risikoreduserende tiltak. Nytten ved at oppgaven/tjenesten utføres er større enn risikoen. Kan kun aksepteres av administrerende direktør eller helseforetakets styre. Administrerende direktør i Helse Sør-Øst RHF skal konsulteres. |
Risikoeier (ofte systemeier) kan delegere myndigheten til ledere i sin linje.
I det enkelte foretak kan det gjøres tilpasninger i akseptkriteriene (jf. kapittel 2.2) når det gjelder hvilket ledernivå som kan akseptere hvilke risikoer. Restrisiko på høyeste nivå kan imidlertid kun aksepteres av administrerende direktør eller helseforetakets styre.
[1] Merk: risikovurdering handler om usikkerhet, uvisshet. Dette dokument omhandler altså ikke om hendelseshåndtering eller andre beslutninger hvor faktum er kjent (eks. om en regel bevisst skal brytes pga nødrett, at en mindre interesse ofres for å redde en større).
[2] For de fleste systemer vil nok den lederen som er systemeier også være risikoeier. Det er opp til helseforetaket å plassere risikoeierskap.
[3] Jf. pkt 3.3 og pkt 3.5 i Oppdrags- og bestillingsdokument for Sykehuspartner 2020
3 - Skalaer for konsekvens- og sannsynlighetsnivåer
For å sikre sammenlignbare risikobeskrivelser og –nivåer skal skalaene benyttes i alle helseforetak, uavhengig av størrelse.
Konsekvensskalaen benytter kun begreper for å beskrive alvorlighetsgrad. Sannsynlighetsskalaen benytter en standardisert terminologi og inndeling, som blant annet brukes i analyser i politiet og forsvaret. Det er presisert at skalaen skal knyttes til sannsynlighet per år, for å sikre at risikoer blir sammenlignbare.
Det kan være krevende å benytte skalaene direkte. Det bør derfor utarbeides veiledning til bruk av skalaene. Veiledning og eksempler vil være nyttig for å kunne vurdere konsekvenser av informasjonssikkerhetsbrudd, slik at alvorlighetsgraden vurderes likt uavhengig av om bruddet skyldes et konfidensialitets-, integritets- eller tilgjengelighetsbrudd.
3.1 - Skala for konsekvensnivåer
Konsekvenser beskrives konkret og alvorlighetsgrad angis ved bruk av uttrykkene i tabellen.
| Svært alvorlig |
| Alvorlig |
| Moderat |
| Liten |
| Marginal |
Sykehuspartner kan bistå i vurdering av konsekvensnivå.
3.2 - Skala for sannsynlighetsnivå
Sannsynlighet skal baseres på anslag for hvor sannsynlig det er at hendelsen med den angitte konsekvensen inntreffer. Anslaget skal oppgis basert på sannsynlighet for at hendelsen med den angitte konsekvensen inntreffer minst en gang i løpet av et år, også når risikovurderingen dekker en lengre periode.
| Meget sannsynlig | Det er meget god grunn til å forvente at konsekvensen oppstår (over 90% sannsynlig).[4] |
| Sannsynlig | Det er god grunn til å forvente at konsekvensen oppstår (60%-90% sannsynlig). |
| Mulig | Det er like sannsynlig som usannsynlig at konsekvensen oppstår (40%- 60% sannsynlig). |
| Lite sannsynlig | Det er liten grunn til å forvente at konsekvensen oppstår (10%-40% sannsynlig). |
| Svært lite sannsynlig | Det er svært liten grunn til å forvente at konsekvensen oppstår (under 10% sannsynlig) |
[4] For uønskede hendelser som kan inntreffe flere ganger vil det her forventes at konsekvensen oppstår to eller flere ganger per år
4 - Referanser
NS-ISO 27005:2018 Informasjonsteknologi – Sikringsteknikker – Risikostyring for
informasjonssikkerhet [5]
[5] Kriteriesettet dekker standardens pkt 7.2.2-7.2.4, og understøtter derved prosesser for risikoevaluering (8.3.2-8.3.4), og risikohåndtering (pkt 8.4/9.1). Dokumentet setter også rammer for risikohåndteringen (kap 10, jf. kap 9), både ved å stille krav til at risikoreduserende tiltak gjennomføres (krav om sikkerhetsmessig lønnsomhet, kap 9.2 jf. kap 10) og ved å klargjøre kriterier for hvordan restrisiko kan aksepteres (kap 10).