Ha oversikt og prioritere (OP)

Risikoeiere skal være i stand til å organisere og prioritere arbeidet med informasjonssikkerhet og personopplysningsvern. Dette inkluderer blant annet å beslutte hvor det er behov for å gjennomføre risikovurderinger.

Oversikten vil være nyttig for virksomhetens helhetlige arbeid med beredskap og virksomhetskontinuitet, og bør benyttes til dette.

En helhetlig oversikt for hele virksomheten kan bygges opp gradvis etter hvert som disse aktivitetene gjennomføres. En samlet oversikt gir en felles forståelse av hvilke oppgaver og tjenester som er mest kritiske på tvers av organisasjonen, og danner grunnlag for enhetlig prioritering av tiltak.

Risikoeiere skal opprette og vedlikeholde en oversikt av eget ansvarsområde. Denne foranalysen skal gi oversikt over hvilken betydning informasjonsbehandlingen har for oppgaver og tjenester, og bør omfatte:

• Oversikt over
  • oppgaver og tjenester som utføres
  • hvilken informasjon som behandles i oppgaver og tjenester, inkludert hvilke personopplysninger som behandles
  • formål med behandling av personopplysninger, behandlingsgrunnlag og behandlingsansvar
  • overføring av personopplysninger utenfor EØS og overføringsgrunnlag som benyttes
  • digitale systemer og digitale tjenester som benyttes, inkludert avhengigheter til eksterne tjenester 
• En vurdering av hvor store konsekvensene ved brudd på informasjonssikkerhet eller personopplysningsvern kan bli, for virksomheten og for eksterne parter
• Vedlikehold av protokoll over behandlingsaktiviteter, med informasjon om behandling av personopplysninger

Risikoeiere skal ha oversikt over de regler og avtaler som gjelder for sitt ansvarsområde. De må kartlegge eksterne krav for å identifisere spesifikke sikkerhetstiltak og personverntiltak som må etableres for at kravene skal etterleves. Eksterne krav kan for eksempel komme fra regelverk, avtaler eller bransjekrav/-normer. 

Virksomheten bør gjøre en felles kartlegging, hvor man analyserer kravene i regelverk og avtaler som gjelder flere områder i virksomheten. Risikoeiere bør bruke den felles kartleggingen i sitt arbeid.

Risikoeiere skal regelmessig vurdere behovet for oppdaterte eller nye risikovurderinger innen sitt ansvarsområde. Foranalysen er grunnlaget for behovsvurderingen. Vurderingen skal avdekke om det er behov for ytterligere risikovurdering og -håndtering på ansvarsområdet. 

Risikoeier skal også vurdere behovet for risikovurdering eller personvernkonsekvensvurdering dersom det skjer endringer som i vesentlig grad kan påvirke informasjonssikkerhet og personopplysningsvern i oppgaver og tjenester.

Vurderingen skal dokumenteres.

Risikoeiere skal etablere og vedlikeholde en oversikt over gjennomførte risikovurderinger på sitt ansvarsområde, og hvilke risikovurderinger som er planlagt. Oversikten skal benyttes når risikoeier vurderer behov for nye risikovurderinger, samt for å sikre at risikovurderinger følges opp og oppdateres når det er nødvendig. 

Oversikten bør inneholde informasjon om 

• Når risikovurderingen har vært gjennomført, og tidspunkt for planlagt ny vurdering
• Hvor man kan finne dokumentasjon fra risikovurderingen
• Høyeste risikonivå identifisert i risikovurderingen
• Kunnskapsstyrken for risikovurderingen