KI 2761 Grunnleggende funksjoner i portal for riskovurdering
(oppdatert )
Forsiden
Hurtiglenker
- «Start/oppdater ROS» leder til «Usikkerhet» – her kan man legge inn nye risikoelementer eller gjøre endringer i eksisterende risikoelementer i listeformat.
- «Lagre/arkivere ROS» leder til «Statusrapport» – her kan man opprett statusrapport i form av et øyeblikksbilde for den aktuelle risikovurderingen. Her er også oversikt over tidligere rapporter (funksjonen benyttes som endringslogg)
- «Følg opp tiltak» – leder til «gjøremål» – her kan man opprette tiltak i form av gjøremål i Microsoft Planner-format, tilordne dem til eksisterende risikoelementer, utførende brukere i og utenfor organisasjonen, og bestemme tidsfrist.
- «Brukerveiledning» – leder til «Portal for risikovurdering av IT-tjenester» på hjelp.uib.no. Her er blant annet kunnskapskortet for denne brukerveiledningen.
Risikomatrise
Presentasjon av risikobildet. synliggjør de ulike risikoelementene fra listen også kalt «usikkerhet», og skape et risikobilde. Risikoelementene får et løpenummer og man kan enkelt vise endringer i risikobildet før og etter gjennomføring av tiltak ved å klikke nede til venstre.
Usikkerhet
På fremsiden vises også de mest alvorlige risikoelementene i prioritert rekkefølge, med tittel, trussel/sårbarhet og risikonivå
Tiltak
På fremsiden vises status for tiltak man har opprettet på risikoelementer i planner funksjonen.
Dokumenter
Dette er standard filopplastningsområde ment for å samle all grunnlagsinformasjon som nettverksdiagram, dataflytskjemaer, sikkerhetsdokumentasjon, og relevante dokumenter. Ofte vises denne veldig langt ned på siden i nettleseren.«Start/oppdater ROS»
Velg hurtiglenken:
Man kommer da til siden for «Usikkerhet» hvor man kan legge til risikoelementer ved å velge «+Ny», eller redigere eksisterende risikoelementer i liste-format.
- Tittel: Beskriv risikoelementet i form av kategori, scenario eller uønsket hendelse, bruk en overordnet tittel.
- Trussel/sårbarhet: Hva er det som utgjør en risiko? Ondsinnede aktører? Egne sårbarheter? Beskriv.
- Sannsynlighet: Sannsynlighetsfaktor på en skala fra én til fem (1-5).
- Konsekvens: Konsekvensfaktor på en skala fra én til fem (1-5).
- Risikofaktor: Resultatet av sannsynlighet x konsekvens (beregnet risikonivå for risikoelementet).
- Risikostrategi: Drop-down meny med følgende alternativer: redusere, overføre eller akseptere.
- Eksisterende tiltak: Beskriv allerede gjennomførte tiltak knyttet til det aktuelle risikoelementet.
- Tiltak: Beskrivelse av tiltak som er utviklet for å oppfylle risikostrategien. Obs! Høyreklikk på tiltaket for å legge til nye tiltak som blir til oppgaver i Planner.
- Hovedansvarlig: Brukernavn på systemeier, eller den som har oppfølgingsansvar.
- Sannsynlighet etter tiltak: Ny sannsynlighetsfaktor på en skala fra én til fem, etter at aktuelle tiltak er effektive.
- Konsekvens etter tiltak: Ny konsekvensfaktor på en skala fra én til fem, etter at aktuelle tiltak er effektive.
- Risikofaktor etter tiltak: Nytt risikonivå etter at aktuelle tiltak er effektive.
- Endret: Tidspunkt for endring.
- ID: Løpenummer for risikoelement som er sporbar i risikomatrisen (før og etter tiltak).
Legg til nytt risikoelement:
Fyll ut de aktuelle feltene i henhold til hjelpetekst.
Tittel: bør være en beskriv risikoelementet i form av kategori, scenario eller uønsket hendelse.
Tiltak: Det er mulig å beskrive tiltak i denne dialogboksen, men husk at da blir dette IKKE et tiltak i Planner, kun et listeelement. Her har man heller ikke anledning til å legge inn flere tiltak pr. risikoelement. Se lengre ned for beste praksis.
Hovedansvarlig: IKKE den som skal utføre tiltaket, men den som skal sørge for at det blir gjort.
Vis i portefølje: IKKE relevant for alle å bruke. Dette er en funksjon som systemeier eller operativt ansvarlig kan bruke i sin porteføljestyring.
Vedlegg benyttes ved behov (f.eks. skjermbilde av tekniske policyer eller lignende).
Trykk lagre! Risikoelementet vises da i listen.
Beste praksis for å tilordne tiltak til risikoelementer:
Gå til «Start/oppdater ROS» for å vise liste med risikoelementer.
Klikk på dialogboksen på et risikoelement som ikke har registrerte tiltak og velg «+ Legg til nytt tiltak»:
Fyll ut boksen Huk av «opprett flere felt» dersom man tenker å opprette flere tiltak på samme risikoelement. Husk å lagre!
Tiltaket vises nå i listen med tittel, hvis det er behov for å gjøre endringer velger man «Administrer tiltak»:
«Lagre/arkiver ROS»
Velg
>>
Man kommer da til siden for «Statusrapport» hvor man kan opprette rapporter ved å velge «Opprett»,
Gi en status i de oppgitte feltene > Lagre!
Deretter trykk «Publiser»!
En publisert statusrapport ser slik ut:
Dette bør gjøres som første steg hver gang man gjennomfører revisjon for å sikre historikk på risikovurderingen. Man finner arkiverte risikovurderinger her:
Det er ikke mulig å redigere gamle versjoner, men man kan slette og lage nye.
«Følg opp tiltak»
Velg
>>
Gjøremål er opprettelse av oppgaver i Planner. Men disse oppgavene kan ikke tilordnes risikoelementer man har opprettet i «Usikkerhet»-listen.
Det er derfor man oppretter tiltakene som Planner-oppgaver i listen over risikoelementer som vist i 3.2 Beste praksis….
Dersom man allerede har opprettet tiltak etter denne metoden vil det vises i «Følg opp tiltak» under «Tiltak»:
Man kan enkelt administrere tiltakene, lage sjekklister og sette status på arbeidsflyt ved å klikke på oppgavene:
Vær OBS! Man kan også sende oppgavene med tiltak til eksterne som ikke har tilgang til risikovurderingen. Dette er praktisk hvis man for eksempel bruker eksterne til å utføre tiltak, slik at man slipper å dele mere informasjon enn nødvendig. I tillegg blir risikonivået for et risikoelement automatisk oppdatert når tilhørende oppgaver (les; tiltak), er rapportert som «fullført».
Brukerveiledning
Brukerveiledningen skal kunne nås fra lenke på risiko.uib.no, hjelp.uib.no og via hurtiglenke i hvert enkelt område for risikovurdering (svart flis).