Áhættulistinn hjálpar fyrst og fremst stofnunum við áhættugreiningu (Risk Identification). Að áhættugreiningu lokinni þarf að meta áhrif og líkur þeirra á starfsemina, ákveða síðan meðhöndlun og framkvæma úrbótaaðgerðir í samræmi við verklag.


Hver stofnun þarf að skilgreina eigið áhættuþol. Áhættuþol er það áhættustig sem stofnunin er tilbúin að þola án aðgerða, en áhættur umfram það áhættuþol teljast þá á aðgerðabili. Litla áhættu geta stjórnendur ákveðið að samþykkja án frekari aðgerða, meðal áhættu þarf að taka upplýsta og skriflega ákvörðun um að meðhöndla ekki af stjórnendum en mælt er með að lagt sé í einhverja minnkun á áhrifum eða líkum. Mikla áhættu þarf að bregðast við með einhverjum hætti t.d. innleiða eða útvíkka öryggisúrræði eða gera aðrar ráðstafanir. Í áhættulista er hægt að fylla út þessi gildi og í “Meðhöndlun stofnunar“ er hægt að rökstyðja af hverju áhætta er ekki metin eða ákveðið að bregðast ekki við henni (t.d. ef hún er innan áhættuþols). 

Hver stofnun þarf að skilgreina eigið áhættuþol. Áhættuþol er það áhættustig sem stofnunin er tilbúin að þola án aðgerða, en áhættur umfram það áhættuþol teljast þá á aðgerðabili. Litla áhættu geta stjórnendur ákveðið að samþykkja án frekari aðgerða, meðal áhættu þarf að taka upplýsta og skriflega ákvörðun um að meðhöndla ekki af stjórnendum en mælt er með að lagt sé í einhverja minnkun á áhrifum eða líkum. Mikla áhættu þarf að bregðast við með einhverjum hætti t.d. innleiða eða útvíkka öryggisúrræði eða gera aðrar ráðstafanir. Í áhættulista er hægt að fylla út þessi gildi og í “Meðhöndlun stofnunar“ er hægt að rökstyðja af hverju áhætta er ekki metin eða ákveðið að bregðast ekki við henni (t.d. ef hún er innan áhættuþols).

Umfang þessarar áhættugreiningar þarf að taka til allra þátta sem innleiðing á Microsoft 365 hefur áhrif á. Þau áhrif geta verið mismunandi eftir því hver núverandi staða er, t.d. getur stofnun verið að keyra öll sín upplýsingakerfi í eigin húsnæði og á búnaði sem er í eigu stofnunarinnar og þjónustaður af starfsfólki hennar eða er nú þegar að nýta skýjalausnir að hluta til. Grein þarf allar upplýsingaeignir(kerfi, gögn og þjónustur), vinnslur þ.m.t. með persónuupplýsingar og ferla sem þessi breyting hefur áhrif á til að meta hvert umfang breytinga t.d. á verklagi eða stefnum.

Til einföldunar fyrir stofnanir sem ekki hafa komið sér upp áhættumatsaðferðafræði er lagt til einföld aðferð. Áhrif og líkur viðkomandi ógnar metið út frá forsendum stofnunar er metið á bilinu 1 til 5. Þau gildi eru margfölduð saman og áhættustig ákveðið:

Áhættustig

Líkur

Áhrif

 

Mjög ólíklegt

Ólíklegt

Miðlungs

Líklegt

Mjög líklegt

Mjög lítil

1

2

3

4

5

Lítil

2

4

6

8

10

Miðlungs

3

6

9

12

15

Mikil

4

8

12

16

20

Mjög mikil

5

10

15

20

25

Áhættur sem greinar eru þurfa að vera með tilgreindan eiganda/ábyrgðaraðila innan stofnunarinnar sem ber ábyrgð á að hún sé meðhöndluð í samræmi við niðurstöður áhættumatsins. Þessi aðili getur verið annar en sá sem ber ábyrgð á framkvæmd. Stjórnunarlegri ábyrgð áhættumeðferðar verður ekki útvistað til þjónustuaðila. Áhættumeðhöndlun getur falið í sér breytingar eða innleiðingar á nýjum stýringum og úrræðum, sem stuðla að því að milda (draga úr áhrifum), forða (draga úr líkum) eða flytja (t.d. tryggingar). Einnig er hægt að samþykkja áhættuna ef ákveðið er að hún sé ásættanleg út frá forsendum stofnunarinnar.

Líkur eru metnar m.v. eftirfarandi töflu:

Stig

 

Lýsing

Lýsing vegna persónuverndar

1

Mjög ólíklegt

Hefur aldrei gerst áður og engar vísbendingar hafa komið fram sem benda til að slíkt eða sambærilegt væri líklegt. Atburður gerist sjaldnar en á 100 ára fresti. 

Talið ómögulegt að komast að persónuupplýsingum. 

2

Ólíklegt

Líklegt væri að áhætta eða sambærilegt myndi raungerast eða hefur gerst einu sinni á seinustu þremur árum. Ólíklegt en þó ekki ómögulegt. Atburður getur gerst sjaldnar en á 100 ára fresti en þó ekki á hverju ári. 

Talið mjög erfitt að komast að persónuupplýsingar. Dæmi eru gögn sem vistuð eru í rými þar sem krafist er aðgangskorts og aðgangskóða. 

3

Miðlungs

Áhætta eða sambærilegt hefur raungerst og getur gerst aftur, einu sinni á ári eða oftar.

Talið frekar erfitt að komast að persónuupplýsingum. Dæmi, persónuupplýsingar geymdar í rými sem krefst aðgangskorts. 

4

Líklegt

Áhætta eða sambærilegt hefur gerst áður eða gerist reglulega, í hverri viku eða í hverjum mánuði. Hefur gerst hjá sambærilegum stofnunum við notkun á sambærilegri tækni. 

Talið frekar einfalt að komast yfir persónuupplýsingar, en þó ekki án takmarkana, t.d. Gögn eru geymd í opnum skrifstofum, en nauðsynlegt fyrir ytri aðila að vera hleypt inn á svæðið. 

5

Mjög líklegt

Áhætta eða sambærilegt gerist í hvert sinn sem þjónusta er notuð eða á hverjum degi, hverri viku. Hefur gerst mörgum sinnum áður.

Mjög auðvelt er að komast yfir persónuupplýsingar, t.d. stuldur á pappírsgögnum sem geymd er í anddyri. 

Áhrif eru metin m.v. eftirfarandi töflu út frá mismunandi atriðum

Stig

 

Rekstraráhættur    

Fjárhagslegar áhættur    

Lagalegar áhættur    

Áhættur gagnvart hinum skráða    

Ímyndarlegar áhættur

1

Mjög lítil

Lítillvægilegar truflanir á rekstri stofnunar 

Mjög  takmarkaður fjárhagslegur skaði 

Mögulegar ávítur eða athugasemdir eftirlitsvalds

Engin áhrif á fyrir hinn skráða

Óverulegar neikvæðar athugasemdir

2

Lítil

Lítil truflun á rekstri stofnunar

Fjárhagslegur skaði umfram 0,5% af heildarveltu

Mögulegar ávítur, brot á innri reglum

Engin áhrif eða minniháttar óþægindi fyrir hinn skráða. Um er að ræða vinnslu persónuupplýsinga sem eru aðgengilegar opinberlega.

Nokkur neikvæð umræða

3

Miðlungs

Miðlungs áhrif á rekstur stofnunar

 Fjárhagslegur skaði umfram 0.7% af heildarveltu

Mögulegar málsóknir. Mögulegar kröfur Ríkisendurskoðunar um aðgerðir eða umbætur. 

Minniháttar óþægindi fyrir hinn skráða, sem getur þó krafist vandamála að komast yfir. Um er að ræða persónuupplýsingar sem eru aðgengilegar, en þó ekki endilega opinberar. 

Neikvæð umræða og mögulega varanlegur skaði á ímynd

4

Mikil

Miklar truflanir á rekstri stofnunar

Fjárhagslegur skaði umfram 1% af heildarveltu 

Auknar líkur á málssóknum. Mögulega tilefni Ríkisendurskoðunar til skýrslu til Alþingis. 

Talsverð óþægindi fyrir hinn skráða. Hinn skráði gæti upplifað alvarlegar afleiðingar, sem jafnvel getur verið mjög erfitt að komast yfir. Um er að ræða persónuupplýsingar þar sem uppljóstrun geti haft áhrif á orðspor hins skráða (d. Upplýsingar um tekjur, félagslegar bætur, skatta eða gjöld).

Neikvæð fjölmiðlaumfjöllun og varanlegur skaði á ímynd

5

Mjög mikil

Mjög miklar truflanir á rekstri stofnunar

Fjárhagslegur skaði umfram 2% af heildarveltu, kallar á breytingu á fjármálaáætlun.

Alvarlegar málsóknir. Mögulega tilefni Ríkisendurskoðunar til skýrslu til Alþingis. 

Umtalsverð óþægindi fyrir hinn skráða. Hinn skráði gæti upplifað alvarlegar og mögulega óafturkallanlegar afleiðingar. Uppljóstrun, breyting, tap eða eyðing á umræddum persónuupplýsingum getur haft áhrif á afkomu, heilsu, frelsi eða líf hins skráða. (D. upplýsingar um innlögn á stofnun, dóm, umsagnir í starfi, heilbrigðisupplýsingar, innheimtar skuldir, eða ef mögulegt er að hinn skráði verði fórnarlamb í sakamáli). 

Víðtæk neikvæð umfjöllun og alvarlegur álitshnekkur fyrir stofnun

Skilgreining á áhættueiganda

Áhættueigandi er sá aðili innan viðkomandi stofnunar sem mun bera ábyrgð á að brugðist verði við viðkomandi áhættu, hún verði leyst eða gerir tillögu til viðeigandi stjóernenda að áhætta sé samþykkt. Áhættueigandi skal þekkja til viðkomandi áhættu og þekkja afleiðingar hennar ef hún stigmagnast, viðkomandi þarf að geta tekið ákvarðanir um lausnir eða framkvæmdir til að minnka viðkomandi áhættu. Lokaákvörðun varðandi áhættueiganda er hjá viðeigandi stjórnendum. Fylgja skal skilgreiningum um flokkun verkefna eins og við á og fylgja fyrirliggjandi ferlum. Viðeigandi stjórnendur skulu staðfesta endurmat áhættu að loknum úrbótum.

Í þeim tilvikum þegar meðhöndlun áhættu er utan stofnunar, til dæmis hjá rekstraraðila eða skýjaþjónustu skal samt tilnefndur áhættueigandi innan stofnunar fyrir viðkomandi áhættu í samræmi við reglur viðkomandi stofnunar. Viðkomandi aðili ber ábyrgð á að fylgjast með stöðu viðkomandi áhættu, tryggja að rekstraraðili hafi brugðist við henni með ásættanlegum hætti og framkvæma viðeigandi eftirlit á að meðhöndlun sé framkvæmd í samræmi við væntingar stofnunar. Ástæða er til að minna á að stjórnunarlegri ábyrgð er ekki útvistað.

Mikilvægt er að áhættueigandi sé aðili sem hefur, í krafti stöðu sinnar, nauðsynleg völd til að breyta ráðandi verklagi eða taka ákvarðanir sem hafa áhrif á alla stofnuna. Ef viðkomandi ákvörðun eða breyting hefur einungis áhrif á afmarkað svið eða hóp fólks, getur verið nauðsynlegt að áhættueigandi sé næsti sameiginlegi stjórnandi. Þetta er þá sá aðili sem mun þurfa að svara fyrir stöðuna á viðkomandi áhættu, hvort brugðist hafi verið við henni og hvort eftirlit hafi verið framkvæmt.