Glærur sem notaðar voru á kynningu 22. september 2020 er að finna hér. Upptaka af kynningu er hér.


Áhættugrunnur þessi er ætlaður til leiðsagnar og viðmiðunar fyrir stofnanir sem innleiða Microsoft 365 í skýjageira á vegum Pólstjörnuverkefnisins. 


Grunninum á að aðstoða stofnanir við að átta sig á þeim ógnum sem gætu stafað af flutningi á vinnslu og gögnum til skýjaþjónustuaðila og til hvaða mótvægisaðferða gæti verið nauðsynlegt að grípa til að vega upp á móti þeim áhættum. 

Stofnanir þurfa að bregðast við þeim áhættum sem eru sértækar fyrir starfssvið þeirra. Komi upp hugmynd að áhættu sem gæti átt við aðrar stofnanir en er ekki í áhættuskránni er hægt að senda inn ábendingu um það með því að fylla út Ný ógn formið (Microsoft Forms). 


Til að auðvelda stofnunum að nálgast viðeigandi upplýsingar er þeim skipt í eftirfarandi hluta:

  • Skýjageiri - Áhættumeðferð er lýsing á einfaldri aðferðafræði sem stofnanir sem ekki hafa sína eigin aðferðafræði geta notað til að forgangsraða áhættumeðferð sinni. Í fylgiskjali með áhættulista eru dálkar til að fylla í út frá þessu mati.

  • Stýringar og úrræði gagnast bæði þeim sem nota eigin áhættumatsaðferðafræði og vísar til almennra úrræða auk þess að tengja við ISO 27001 staðal um stjórnkerfi upplýsingaöryggis og NIST Cyber Security Framework. Ef stýringar hafa verið innleiddar t.d. sem hluti af innleiðinu stjórnkerfis upplýsingaöryggis kann þó að vera nauðsynlegt að rýna úrfærslu þeirra m.t.t. hvort þær meðhöndli áhættuna út frá skýjaverkefninu.

  • Skýjageiri - Áhættulisti er viðmiðunarlisti yfir algengar áhættur sem stofnanir þurfa að hafa í huga við innleiðingu. Fyrir þær stofnanir sem ekki hafa framkvæmt eigið áhættumat er hægt að styðjast við listann sem grunn og bæta við þeim sértæku áhættum sem stofnunin telur sig þurfa að bæta við. Stofnanir sem hafa nú þegar framkvæmt eigið áhættumat geta notað listann til stuðning og bætt við inn í eigið áhættumat.

MÁP

Hér fyrir neðan eru sniðmát fyrir MÁP, áhættugreiningu og viðauka við vinnsluskilmála Umbru. Skjölin innihalda upplýsingar um tilhögun mála, ráðstafanir, hlekki inn á upplýsingar hjá Microsoft og annað svo stofnanir geti klárað að fylla þau út við gerð áhættumats.