Ved å etablere og vedlikeholde oversikt over helse- og personopplysningene som behandles, og teknologi som brukes, skal virksomheten identifisere potensielle risikoområder den bør være spesielt oppmerksom på.
Virksomheten skal ha
- protokoll over behandlinger av helse- og personopplysninger. Se Normens faktaark for protokoll over behandlinger av helse- og personopplysninger i virksomheten (faktaark 13)
- oversikt over informasjonssystemer, IKT-prosesser, IKT- tjenester, infrastruktur, og annen informasjon med betydning for informasjonssikkerheten, mv. Virksomheten skal også kartlegge konsekvenser av bortfall av systemer og klassifisere systemene, jf. kap. 5.9. Oversikten bør være dokumentert.
Områder for risikovurdering bør ta utgangspunkt i oversikten over helse- og personopplysningene som behandles, og oversikten over informasjonssystemene som brukes samt identifisering av potensielle trusler og sårbarheter. Risikovurderingen bør også inkludere vurdering av organisatoriske, tekniske, fysiske og personellmessige tiltak for å sikre integritet, tilgjengelighet og robusthet.
