Informasjon om risikostyring av informasjonssikkerhet og personvern i Norsk helsenett.
Risikostyring av informasjonssikkerhet og personvern bidrar til at Norsk helsenett på en systematisk måte kan identifisere, forebygge og redusere sannsynligheten for, og konsekvensen av, uønskede hendelser relatert til informasjonsbehandlingen og tjenestene vi leverer. Målrettet risikostyring mot et oppdatert trusselbilde er en innebygd del av organisasjonen.
Alle informasjonssystemer som leveres, driftes eller forvaltes av NHN skal opprettholde nivå for akseptabel risiko gjennom definert prosess for risikostyring. Vi har utviklet retningslinje, standard og tilhørende malverk for risikostyring av informasjonssikkerhet.
Hovedaktivitetene i vår risikostyring er basert på ISO/IEC 27005 og inkluderer:
- Å fastsette nivå for akseptabel risiko gjennom akseptkriterier
- Klassifisering av informasjon og informasjonssystemer
- Analyse av forretningskritikalitet
- Risikovurdering
- Kontinuerlig kommunikasjon og lederforankring
- Behandling av risiko
- Godkjenning og aksept av risiko
- Revisjon
NHN legger til rette for en kultur med aktiv risikostyring der alle i virksomheten deltar i risikoreduserende arbeid. Vi jobber derfor aktivt med kompetansebygging for at alle medarbeidere skal være i stand til å gjøre gode vurderinger. Vi ønsker å opprettholde et balansert rammeverk som er engasjerende og tilgjengelig, samtidig som vi ivaretar krav til dokumentasjon og sporbare beslutninger.
Risiko rapporteres regelmessig til ledelsen, og minst to ganger per år gjennom ledelsens gjennomgang.