KI 2760 Kom i gang med risikovurdering av IT-tjeneste
(oppdatert )
Forberedelser
Sørg for god planlegging. På risiko.uib.no vil man få en oversikt. Dersom det ikke vises noen områder for risikovurdering, har man ikke tilgang. Man må da be om tilgang av den som eier området for risikovurderingen. Innloggingen er Single Sign-On med din UiB-konto.Eksempel på hvordan fremsiden ser ut på risiko.uib.no med risikovurderinger man har tilgang til (hver «flis» representerer en risikovurdering man har tilgang til):
Hvis man skal opprette ny risikovurdering må brukeren ha linjeledertilordning. Hvis man trenger å gi rettighet til å opprette risikovurdering på andre funksjoner i organisasjonen, bruk oppgitt kontaktskjema på hjelp.uib.no.
Se lenker til brukerveiledning, skjema for å opprette ny risikovurdering, kontaktskjema samt intro-video på forsiden på risiko.uib.no:
Eller naviger fra hjelp.uib.no, hvor man finner alle nødvendige lenker:
Registrering av tjenesten
Alle IT-tjenester skal registreres i IT-avdelingens tjenestekatalog. Dette utføres av tjenestekoordinatorer ved ADM-IT-ITF. Ved registrering får tjenesten en kode i følgende format: TJ(XXXX). Ved opprettelse av ny risikovurdering skal det benyttes standard navn for den aktuelle tjenesten:Navnestandard: ROS-TJ(XXXX)-(TJENESTENAVN).
På denne måten blir det mulig å knytte alle tjenester til en risikovurdering. Dette gjelder for alle tjenester, uavhengig av kjøper, anskaffelsesprosess og leverandør.
Eksisterende tjenester har tjenestekode i tjenestekatalogenn (markert i gult):
Dersom tjenesten ikke eksisterer i porteføljen, er det ønskelig å registrere den for å oppnå kontroll med hvilke tjenester som kjører på UiBs infrastruktur (uavhengig drift og forvaltning). Ved opprettelse av ny risikovurdering har man anledning til å registrere tjenesten.
Opprettelse av ny risikovurdering
Gitt at man har rolle som linjeleder, eller særlig tilgang, kan man automatisk opprette en ny risikovurdering ved å fylle ut skjema fra lenken på forsiden som vist her:
Dersom man velger at dette gjelder en tjeneste i Tjenestekatalogen blir man bedt om å fylle inn tjenestekoden (følg lenken og gjør oppslag).
Dersom man svarer nei, skal dette vurderes i å meldes inn i neste spørsmål (sak blir automatisk opprettet for å registrere tjenesten hvis man svarer ja).
Trykk «Send»!
IKKE LUKK NETTLESEREN FØR MAN HAR FÅTT SVAR PÅ E-POST!
Skjema sender deg videre til en side som ser sånn her ut:
Ikke lukk nettleseren før man har mottatt e-post. Dette kan ta noen minutter.
Brukeren som oppretter risikovurderingen, vil få en E-post med emnet: Created ROS SharePoint Site: XXX og en URL til området. På risiko.uib.no skal man nå ha fått området inn i oversikten over dine risikovurderinger.
Oppsett av nytt område for risikovurdering
Det første som skjer når man åpner lenken fra E-posten, eller åpner området fra risiko.uib.no er at man må velge mal. Her har man kun ett valg:Klikk "sett opp området» og vent…
Når siden er ferdig å jobbe havner man på forsiden:
Klargjør området ved å legge til medlemmer med riktig rolle og fylle inn informasjon om risikovurderingen:
Klikk på «1 medlem» som markert i gult over, da kan man legge til brukere i gruppen for området med riktig rolle:
>>
>>
Legg til medlem > søk opp bruker > velg rolle som medlem eller eier.
Medlem: Kan bidra med innehold som å legge til nye risikoelementer, sette faktor for sannsynlighet og konsekvens, opprette tiltak og tilordne oppgaver til brukere.
Eier: Har utvidede rettigheter og kan gjøre endringer i området, og forvalte tilgang til øvrige brukere med både medlems- og eierrettigheter.
Vær obs! brukerne man legger til får en automatisk e-post om gruppemedlemskap som har emnet: You've joined the ROS-XXX group. Denne inneholder IKKE URL til området man har opprettet for risikovurdering, og mottakeren kan bli forvirret. Allikevel, disse har nå tilgang, og hvis de blir bedt om å gå til risiko.uib.no vil de kunne klikke seg inn på det aktuelle området.
Klikk på «Rediger info om ROS» som vist tidligere:
Dersom risikovurderingen gjelder en IT-tjeneste kan man gjenbruke beskrivelsen fra tjenestekatalogen, ellers lag en kort beskrivelse av hva som er gjenstand for vurdering. Fyll ut de øvrige feltene for dokumentasjon, dato er viktig med hensyn til revisjon, men ROS-status kan man se bort fra:
