Hopp til hovedinnhold
NHN

Som en del av godkjenning skal det gjennomføres og dokumenteres en risikovurdering av tjenesten(e) som skal tilbys i Helsenettet.

Risikovurderingen skal omhandle tjenesten og det tekniske miljøet som tjenesten kjøres fra. Det er viktig at tilkoblingen til Helsenettet er en del av denne vurderingen.

I risikovurderingen skal leverandøren se på sikkerhetstruende hendelser, hvordan disse kan påvirke tjenesten og hvilke tiltak som er etablert for å redusere dem.

En trussel vurderes ut i fra sannsynligheten for at den inntreffer og konsekvensen av hendelsen. Risikoen skal deretter reduseres til et akseptabelt nivå gjennom å etablere tiltak. Risikoen er definert som sannsynlighet x konsekvens.

I styringssystemet skal det finnes prosedyrer som sier noe om hvilke nivå på en risiko som aksepteres og ikke, dette kalles i Normen "nivå for akseptabel risiko". Truslene skal vurderes for hvert av de tre områdene konfidensialitet, integritet og tilgjengelighet. Beskrivelse av hvordan nivå for akseptabel risiko fastsettes finnes i veileder om risikostyring i informasjonssikkerhet og personvern

Det er viktig at man i risikovurderingen dokumenterer godt, og at eventuelle tiltak føres opp med en ansvarlig og en frist.

Leverandøren kan benytte sitt eget malverk for risikovurdering, men mangler dette anbefaler vi å se veileder om risikostyring i informasjonssikkerhet og personvern.