Når vi har lavet vores fortegnelser over behandlingsaktiviteter, har vi også fået identificeret, hvilke systemer der bliver anvendt til disse aktiviteter og nu skal vi så efterfølgende lave en risikovurdering af disse systemer.
Et system kan være både systemer der afvikles lokalt i eget IT-center eller det kan være en cloud-service, der afvikles via internettet.
I alle tilfælde skal der laves en risikovurdering og hos mig, laver vi en vurdering ud fra et trusselskatalog på ca 90 trusselsscenarier, der på forskellig vis kan true datasikkerheden. De forskellige trusler har kategoriseres i forhold til at være relaterede til hhv. Cybertrusler som f.eks. hackangreb; fejlede sikringforanstaltninger som f.eks. back-up; fysiske trusler som f.eks. brand; klientrelaterede trusler og sårbarheder som f.eks. at en medarbejder glemmer sin PC i toget; kompromittering af sikkerhed via leverandører og samarbejdspartnere som f.eks. at en partner får en adgang, han ikke burde have; medarbejderrelaterede trusler som f.eks. at en medarbejder flytter data via en uautoriseret USB stik; systemdrift som f.eks. en opdatering der går galt samt endelig systemfejl og fejlkonfigurationer.
Alle disse trusler vurderes på hvilken indflydelse de hver især har på fortroligheden, integriteten samt tilgængeligheden, samt sandsynligheden for at en given trussel kan blive til virkelighed
Og endelig foretages en vurdering på konsekvenserne pr trussel for både virksomheden og de personer, hvis data er involveret.
Resultatet af den samlede trusselsvurdering giver et godt billede af hvor virksomheden skal have ekstra opmærksomhed og hvor man skal være opmærksom på at have høje sikkerhedskrav og dermed tage de nødvendige foranstaltninger.