Gjennomføre Risiko- og sårbarhetsanalyse (ROS)

Virksomheter som bruker våre digitale fellesløsninger hvor personopplysninger behandles, må gjennomføre en risikovurdering av egen bruk av fellesløsningene. Dette er et generelt krav etter personopplysningsforskriften kapittel 2 «for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler».

Veiledende dokumenter

Digdir har utarbeidet en pakke med veiledningsdokumenter som virksomhetene står fritt til å benytte i sin risikovurdering.

I forbindelse med ny transportinfrastruktur har eksterne ressurser gjennomgått sikkerhetsaspektene. Basert på deres rapport og anbefalinger vil vi gjennomføre penetrasjonstesting og oppdatere relevante deler av vår ROS-dokumentasjonen.

Veiledningspakken består av følgende dokumenter:

Veiledningen og maler er i tråd med standarden ISO/IEC 27005:2011 som er den metodikk Digitaliseringsdirektoratet har benyttet i sitt ROS-arbeid. Virksomhetene kan benytte annen metodikk i sine risikovurderinger.