Håndtering av risiko (RH)

Risikoeier skal sørge for at

• det utarbeides forslag til håndtering av risikoer
• forslagene godkjennes
• tiltak etableres
• en oversikt over fellessikring og tilleggssikring vedlikeholdes

Risikoeier skal sørge for at det utarbeides forslag til hvordan risikoer skal håndteres. 

For hver risiko skal det vurderes om det finnes aktuelle tiltak for å redusere risikoen, eller om den bør håndteres ved å unngå eller dele den, eller akseptere den.

Virksomhetens kriterier for å akseptere risiko skal være førende for hvordan risiko håndteres.
Når risiko skal reduseres ved å iverksette tiltak, skal kost/nytte av de aktuelle tiltakene vurderes ut fra faktorene

• risikoreduserende effekt
• direkte økonomisk kostnad (etablering og drift)
• negative sideeffekter

Arbeidet skal også inkludere forslag til spesifikke sikkerhetstiltak som følger av krav i regelverk eller avtaler (ref. Kartlegge eksterne krav (OP-2)). 

Der det er behov, bør man vurdere midlertidige tiltak inntil endelig løsning er på plass.

Forslaget skal begrunnes og dokumenteres. 

Risikoeier skal vurdere og godkjenne forslagene til håndtering av risiko. Vurderingen og beslutningen skal dokumenteres på hensiktsmessig måte.  

Risikoeier skal:

• ta stilling til kvaliteten på grunnarbeidet
• vurdere om restrisiko på forslagene er akseptabel
• vurdere kost/nytte på foreslåtte tiltak, inkludert mulige negative sideeffekter 
• sikre at regelverkskrav er ivaretatt
• sikre finansieringen av det som godkjennes
• løfte godkjenning i linjen dersom det er nødvendig

Risikoeiere skal sørge for at godkjent håndtering av risiko blir gjennomført og fulgt opp. Det kan inkludere

• å etablere sikkerhets- og personverntiltak for å redusere risiko
• å formalisere og dokumentere aksept av risiko
• å endre på hvilke oppgaver som utføres, eller hvordan oppgaver og tjenester utføres, for å unngå risiko
• å dele risiko med andre

Nye eller endrede sikkerhets- og personverntiltak må etableres, inkludert ansvaret for å forvalte dem. De må testes under utforming, etablering og forvaltning for å sikre at de fungerer etter hensikten.

Virksomhetens oversikt over sikkerhets- og personverntiltak skal vedlikeholdes, slik at alle planlagte og etablerte tiltak er tilstrekkelig dokumentert.

Virksomhetens leder skal sørge for at fellessikring og tilleggssikring forvaltes.

Når nye sikkerhets- og personverntiltak etableres, skal risikoeiere vurdere om de kan inngå i virksomhetens fellessikring, eller om det er tilleggssikring som risikoeiere kan velge ut fra behov.

Kostnadseffektiv forvaltning av tiltakene, og negative sideeffekter for andre oppgaver, tjenester eller informasjonssystemer, skal være med i vurderingen.