Risiko- og sårbarhetsvurdering av skytjenesterTilbake til resultater fra UH-skyprogrammet

Alle virksomheter er forpliktet til å gjennomføre risikovurderinger av informasjonssikkerheten i skyløsninger før disse tas i bruk. Når risikovurderingen er gjennomført, er det viktig å iverksette tiltak som reduserer risikoen for hendelser med uakseptabel høy risiko. Dette beskrives ofte som risikohåndtering.

Risikovurderinger skal gjennomføres ved endringer som kan ha betydning for informasjonssikkerheten. Endringer kan være at det tas i bruk nye underleverandører, det skjer endringer i driftsopplegget eller at funksjonaliteten i tjenesten endres eller utvides. Les mer om de regulatoriske krav til informasjonssikkerhet i Juridisk veileder for skytjenester.

Nye risikovurderinger av skytjenesten kan gjennomføres ved at tidligere vurderinger revideres og oppdateres.

Formål

Veilederens formål er å gjøre rede for de viktigste uønskede hendelser som kan føre til brudd på informasjonssikkerheten ved bruk av skytjenester. Slike hendelser skal avdekkes og vurderes i risikovurderinger. Til slutt bør det utarbeides forslag til hvilke tiltak som bør iverksettes for å redusere risikoen (risikohåndtering).

Veilederen gir også et kort forslag til hvordan virksomheter kan planlegge og gjennomføre risikovurderinger.

Målgruppe

Veilederen er rett spesielt mot ansatte ved universiteter og høyskoler som har ansvaret for valg og forvaltning av skytjenester. Veilederen kan være nyttig for alle som jobber med informasjonssikkerhet til daglig.

 

ROS-veileder


Share: Share to LinkedIn Share to Facebook Share by mail Share to Twitter