Risikostyring: metodikk og standarder
KLADD 2017-2018 - IMT1132 - 10sp

Forventet læringsutbytte

Kunnskap

  • Kandidaten kan velge en hensiktsmessig metodikk for gjennomføring av risiko og sårbarhetsanalyse basert på et systems kompleksitet og dokumentasjonsgrad

Ferdigheter

  • Kandidaten kan ut i fra en gitt veileder eller standard gjennomføre en risiko og sårbarhetsanalyse på informasjonssystemer
  • Kandidaten behersker samarbeid med oppdragsgivere og mentorer, og kan ut i fra deres tilbakemeldinger justere sin faglige utøvelse
  • Kandidaten kan finne, vurdere og henvise til informasjon som er nødvendig for å gjennomføre risiko- og sårbarhetsanalyser.
  • Kandidaten benytter seg av veiledere og standarder for å strukturere arbeidet med informasjonssikkerhet

Generell kompetanse

  • Kandidaten er klar over utfordringen med å arbeide i komplekse prosjekter i relativt store grupper, og anerkjenner behovet for metodikker og hjelpemidler for å gjennomføre denne typen oppgaver
  • Kandidaten oppfatter viktigheten av å mestre ulike muntlige og skriftlige formidlingsformer avhengig av målgruppen (beslutningstagere, fagfeller og allmenheten)
  • Kandidaten får eierskap i et referanseprosjekt hvor man har forsøkt å utveksle erfaringer og synspunkter med eksterne samarbeidspartnere og fagfeller

Emnets temaer

  • Prosjektarbeid
  • Informasjonsikkerhet og risiko
  • Riskovurderinger,analyser og evalueringer
  • Standarder og veiledere
  • Informasjonssikkerhetsstyringssystemer

Pedagogiske metoder

Forelesninger
Prosjektarbeid

Pedagogiske metoder (fritekst)

Studentene deles i grupper på 6 til 10 personer. Hver gruppe får et prosjekt fra fortrinnsvis en ekstern oppdragsgiver. Prosjektets problemformulering skal være slik at studentene må foreta en risikoanalyse som en del av prosjektarbeidet. Det etableres en styringsgruppe som prosjektet rapporterer til. Studentene får veiledning i grupper og tilbakemeldinger på delinnleveringer (Prosjektplan, statusrapporter, møteinnkallinger og referater) i prosjektet. Det løper parallelle forelesninger med gruppearbeidet.

Vurderingsformer

Vurdering av prosjekt(er)

Vurderingsformer

En større prosjektoppgave. Studentene må bearbeide stoffet til prosjektoppgaven er bestått. Siste frist for å ha oppnådd god nok kvalitet på arbeidet er innen 3.uke av juni måned.

Karakterskala

Bestått/Ikke bestått

Sensorordning

Sensureres av intern sensor, ekstern sensor benyttes periodisk (hvert fjerde år, neste gang i studieåret 2015/2016)

Utsatt eksamen (tidl. kontinuasjon)

Prosjektoppgaven må bearbeides etter avtale med emneansvarlig inntil kvalitetsmessig bestått (se Vurderingsform).

Obligatoriske arbeidskrav

  • En prosjektplan
  • Rapport(er)- maks tre
  • Ukentlige veiledningssamtaler

Læremidler

Kjernelitteratur:

  • ISO/IEC 27001
  • ISO/IEC 27002
  • Nasjonal sikkerhetsmyndighet: Veiledning i risiko og sårbarhetsanalyse (2005)
  • Datatilsynet: Risikovurdering av informasjonssystem (2009)

Støttelitteratur:

  • T. Aven, W. Røed og H.S. Wienche: Risikoanalyse; prinsipper og metoder, med anvendelser, Universitetsforlaget (2008)
  • H. Westhagen, O. Faafeng og K.G. Hoff, T. Kjeldsen og E. Røine: Prosjektarbeid; utviklings- og endringskompetanse, Gyldendal akademisk (2008)
  • T. Aven: Risikostyring; grunnleggende prinsipper og ideer, Universitetsforlaget (2007)

Supplerende opplysninger

Studentene må ha meldt seg på emnet innen 15.januar. Prosjektarbeid i grupper begynner fra andre uke etter undervisningstart. Det kreves aktiv deltakelse fra start av gruppearbeidet. Studentene skriver en gruppekontrakt som regulerer deltakelse i prosjektet. Hver av gruppemedlemmene signerer denne og kontrakten godkjennes av emnelærer. Brytes retningslinjene i kontrakten av en gruppedeltaker, innstiller gruppen på eksklusjon av medlemmet. Emnelærer tar den endelige avgjørelsen om gruppen får ekskludere et medlem. Blir et medlem ekskludert fra gruppearbeidet, er det to mulige utfall. Enten får man emnet ikke bestått, eller man må utføre et individuelt prosjektarbeid. Emnelærer baserer utfallet på en skjønnsmessig vurdering av årsakene til eksklusjonen, etter at begge parter har avgitt skriftlige redegjørelser.