3. Beslutning

Forelæg vurderinger for beslutningstagere, der kan træffe beslutning om risikohåndtering eller risikoaccept.

Når en risiko er vurderet, skal der træffes beslutning om enten at acceptere den eller at håndtere risikoen, så den bringes ned på et acceptabelt niveau – alternativt overføre risikoen til en anden part (forsikring) eller helt undgå risikoen ved at afskaffe den informationsbehandling eller det aktiv som risikoen er knyttet til.

Billedet illustrerer Fase 3: Beslutning

Hvem træffer beslutningen?

Hvem kan eje en risiko for et aktiv? Det er en god tommelfingerregel, at man ikke kan eje en risiko for et aktiv, hvis man ikke også har mandat til at træffe beslutninger om aktivet. I praksis betyder det, at mange risikobeslutninger kun kan træffes af myndighedens direktion, som derfor også bør være repræsenteret i myndighedens informationssikkerhedsudvalg.

Illustration af beslutningsmodel

Illustration af beslutningsmodel

Flere beslutningsniveauer

Der vil dog være aktiver og risici, der er ejet og forankret på andre niveauer i organisationen enten direkte eller gennem delegering. For at få en mere agil og hurtigt reagerende risikostyringsproces kan det derfor være en fordel at have et operationelt risikostyringsforum med beslutningskompetence, som kan mødes oftere end informationssikkerhedsudvalget.
Dette forum kan så skrive indstillinger til informationsudvalget, når risikoaccept og –håndtering ligger uden for udvalgets mandat, men løbende selv behandle og følge op på informationssikkerhedsrisici på et lavere niveau.

Casebeskrivelse:

En organisering af denne art finder man i et departement, hvor man har valgt at have et risikostyringsudvalg, der mødes hver måned, og som refererer til informationssikkerhedsudvalget, der mødes en gang i kvartalet.

Læs mere om risikostyringsmodel i et departement her