Áhættulistinn hjálpar fyrst og fremst stofnunum við áhættugreiningu (Risk Identification). Að áhættugreiningu lokinni þarf að meta áhrif og líkur þeirra á starfsemina, ákveða síðan meðhöndlun og framkvæma úrbótaaðgerðir í samræmi við verklag.
Hver stofnun þarf að skilgreina eigið áhættuþol. Áhættuþol er það áhættustig sem stofnunin er tilbúin að þola án aðgerða, en áhættur umfram það áhættuþol teljast þá á aðgerðabili. Litla áhættu geta stjórnendur ákveðið að samþykkja án frekari aðgerða, meðal áhættu þarf að taka upplýsta og skriflega ákvörðun um að meðhöndla ekki af stjórnendum en mælt er með að lagt sé í einhverja minnkun á áhrifum eða líkum. Mikla áhættu þarf að bregðast við með einhverjum hætti t.d. innleiða eða útvíkka öryggisúrræði eða gera aðrar ráðstafanir. Í áhættulista er hægt að fylla út þessi gildi og í “Meðhöndlun stofnunar“ er hægt að rökstyðja af hverju áhætta er ekki metin eða ákveðið að bregðast ekki við henni (t.d. ef hún er innan áhættuþols).
Umfang þessarar áhættugreiningar þarf að taka til allra þátta sem innleiðing á Microsoft 365 hefur áhrif á. Þau áhrif geta verið mismunandi eftir því hver núverandi staða er, t.d. getur stofnun verið að keyra öll sín upplýsingakerfi í eigin húsnæði og á búnaði sem er í eigu stofnunarinnar og þjónustaður af starfsfólki hennar eða er nú þegar að nýta skýjalausnir að hluta til. Grein þarf allar upplýsingaeignir(kerfi, gögn og þjónustur), vinnslur þ.m.t. með persónuupplýsingar og ferla sem þessi breyting hefur áhrif á til að meta hvert umfang breytinga t.d. á verklagi eða stefnum.
Til einföldunar fyrir stofnanir sem ekki hafa komið sér upp áhættumatsaðferðafræði er lagt til einföld aðferð. Áhrif og líkur viðkomandi ógnar metið út frá forsendum stofnunar er metið á bilinu 1 til 5. Þau gildi eru margfölduð saman og áhættustig ákveðið:
Áhættustig | Líkur | |||||
|---|---|---|---|---|---|---|
Áhrif | Mjög ólíklegt | Ólíklegt | Miðlungs | Líklegt | Mjög líklegt | |
Mjög lítil | 1 | 2 | 3 | 4 | 5 | |
Lítil | 2 | 4 | 6 | 8 | 10 | |
Miðlungs | 3 | 6 | 9 | 12 | 15 | |
Mikil | 4 | 8 | 12 | 16 | 20 | |
Mjög mikil | 5 | 10 | 15 | 20 | 25 | |
Áhættur sem greinar eru þurfa að vera með tilgreindan eiganda/ábyrgðaraðila innan stofnunarinnar sem ber ábyrgð á að hún sé meðhöndluð í samræmi við niðurstöður áhættumatsins. Þessi aðili getur verið annar en sá sem ber ábyrgð á framkvæmd. Stjórnunarlegri ábyrgð áhættumeðferðar verður ekki útvistað til þjónustuaðila. Áhættumeðhöndlun getur falið í sér breytingar eða innleiðingar á nýjum stýringum og úrræðum, sem stuðla að því að milda (draga úr áhrifum), forða (draga úr líkum) eða flytja (t.d. tryggingar). Einnig er hægt að samþykkja áhættuna ef ákveðið er að hún sé ásættanleg út frá forsendum stofnunarinnar.
Líkur eru metnar m.v. eftirfarandi töflu:
Stig | Lýsing | Lýsing vegna persónuverndar | |
|---|---|---|---|
1 | Mjög ólíklegt | Hefur aldrei gerst áður og engar vísbendingar hafa komið fram sem benda til að slíkt eða sambærilegt væri líklegt. Atburður gerist sjaldnar en á 100 ára fresti. | Talið ómögulegt að komast að persónuupplýsingum. |
2 | Ólíklegt | Líklegt væri að áhætta eða sambærilegt myndi raungerast eða hefur gerst einu sinni á seinustu þremur árum. Ólíklegt en þó ekki ómögulegt. Atburður getur gerst sjaldnar en á 100 ára fresti en þó ekki á hverju ári. | Talið mjög erfitt að komast að persónuupplýsingar. Dæmi eru gögn sem vistuð eru í rými þar sem krafist er aðgangskorts og aðgangskóða. |
3 | Miðlungs | Áhætta eða sambærilegt hefur raungerst og getur gerst aftur, einu sinni á ári eða oftar. | Talið frekar erfitt að komast að persónuupplýsingum. Dæmi, persónuupplýsingar geymdar í rými sem krefst aðgangskorts. |
4 | Líklegt | Áhætta eða sambærilegt hefur gerst áður eða gerist reglulega, í hverri viku eða í hverjum mánuði. Hefur gerst hjá sambærilegum stofnunum við notkun á sambærilegri tækni. | Talið frekar einfalt að komast yfir persónuupplýsingar, en þó ekki án takmarkana, t.d. Gögn eru geymd í opnum skrifstofum, en nauðsynlegt fyrir ytri aðila að vera hleypt inn á svæðið. |
5 | Mjög líklegt | Áhætta eða sambærilegt gerist í hvert sinn sem þjónusta er notuð eða á hverjum degi, hverri viku. Hefur gerst mörgum sinnum áður. | Mjög auðvelt er að komast yfir persónuupplýsingar, t.d. stuldur á pappírsgögnum sem geymd er í anddyri. |
Áhrif eru metin m.v. eftirfarandi töflu út frá mismunandi atriðum
Stig | Rekstraráhættur | Fjárhagslegar áhættur | Lagalegar áhættur | Áhættur gagnvart hinum skráða | Ímyndarlegar áhættur | |
|---|---|---|---|---|---|---|
1 | Mjög lítil | Lítillvægilegar truflanir á rekstri stofnunar | Mjög takmarkaður fjárhagslegur skaði | Mögulegar ávítur eða athugasemdir eftirlitsvalds | Engin áhrif á fyrir hinn skráða | Óverulegar neikvæðar athugasemdir |
2 | Lítil | Lítil truflun á rekstri stofnunar | Fjárhagslegur skaði umfram 0,5% af heildarveltu | Mögulegar ávítur, brot á innri reglum | Engin áhrif eða minniháttar óþægindi fyrir hinn skráða. Um er að ræða vinnslu persónuupplýsinga sem eru aðgengilegar opinberlega. | Nokkur neikvæð umræða |
3 | Miðlungs | Miðlungs áhrif á rekstur stofnunar | Fjárhagslegur skaði umfram 0.7% af heildarveltu | Mögulegar málsóknir. Mögulegar kröfur Ríkisendurskoðunar um aðgerðir eða umbætur. | Minniháttar óþægindi fyrir hinn skráða, sem getur þó krafist vandamála að komast yfir. Um er að ræða persónuupplýsingar sem eru aðgengilegar, en þó ekki endilega opinberar. | Neikvæð umræða og mögulega varanlegur skaði á ímynd |
4 | Mikil | Miklar truflanir á rekstri stofnunar | Fjárhagslegur skaði umfram 1% af heildarveltu | Auknar líkur á málssóknum. Mögulega tilefni Ríkisendurskoðunar til skýrslu til Alþingis. | Talsverð óþægindi fyrir hinn skráða. Hinn skráði gæti upplifað alvarlegar afleiðingar, sem jafnvel getur verið mjög erfitt að komast yfir. Um er að ræða persónuupplýsingar þar sem uppljóstrun geti haft áhrif á orðspor hins skráða (d. Upplýsingar um tekjur, félagslegar bætur, skatta eða gjöld). | Neikvæð fjölmiðlaumfjöllun og varanlegur skaði á ímynd |
5 | Mjög mikil | Mjög miklar truflanir á rekstri stofnunar | Fjárhagslegur skaði umfram 2% af heildarveltu, kallar á breytingu á fjármálaáætlun. | Alvarlegar málsóknir. Mögulega tilefni Ríkisendurskoðunar til skýrslu til Alþingis. | Umtalsverð óþægindi fyrir hinn skráða. Hinn skráði gæti upplifað alvarlegar og mögulega óafturkallanlegar afleiðingar. Uppljóstrun, breyting, tap eða eyðing á umræddum persónuupplýsingum getur haft áhrif á afkomu, heilsu, frelsi eða líf hins skráða. (D. upplýsingar um innlögn á stofnun, dóm, umsagnir í starfi, heilbrigðisupplýsingar, innheimtar skuldir, eða ef mögulegt er að hinn skráði verði fórnarlamb í sakamáli). | Víðtæk neikvæð umfjöllun og alvarlegur álitshnekkur fyrir stofnun |
.