afmystificerende risikovurdering

Afmystificerende risikovurdering: Starter med kontroller til ISO 27001

Risikovurdering i informationssikkerhed

Risikostyring spiller en afgørende rolle i enhver organisations informationssikkerhedsposition. En proaktiv tilgang til at identificere, evaluere og bestemme behandlingen af ​​potentielle risici giver dig mulighed for at mindske risici mere effektivt, bedre styre resultater og reducere indvirkningen af ​​informationssikkerhedshændelser på din virksomhed, hvis de skulle opstå.

God risikovurdering og styringspraksis er obligatorisk for alle, der søger at overholde ISO 27001-standarden. Standarden kræver, at din organisation etablerer og vedligeholder informationssikkerhedsrisikovurderingsprocesser, herunder risikoaccept og vurderingskriterier for at måle sandsynligheden for og virkningen af ​​risici. 

Risikostyring i ISO 27001 flugter direkte med standardens informationssikkerhedskontroller, som kan implementeres til at behandle dine identificerede risici.

Effektiv risikovurdering i ISO 27001

Som en del af ISO 27001 compliance bør din organisation udvikle en risikovurderings- og behandlingsproces. Risikovurderinger bør udføres regelmæssigt for at sikre, at du konsekvent identificerer og adresserer nye risici, og risici bør tildeles risikoejere i løbet af deres levetid.

Der er flere nøglebegreber, der bruges til at klassificere og forstå risiko:

  • Risiko: potentialet for ødelæggelse, beskadigelse eller tab af data eller aktiver
  • Trussel: en person eller handling, der øger chancerne for en hændelse, såsom en trussel, der sender phishing-e-mails til medarbejdere eller udnytter en sårbarhed
  • Sårbarhed: en svaghed i din organisations applikationer, netværk eller infrastruktur, der kan afsløre dine data og aktiver.

Risikoidentifikation

Før du identificerer risiko, bør du bestemme, hvilke informationsaktiver din organisation skal beskytte ved at oprette et aktivregister. Aktiver omfatter:

  • Information eller data
  • Intellektuel ejendomsret
  • Fysiske lokaliteter og bygninger
  • Systemer
  • Hardware
  • Software.

Når du identificerer risici for disse aktiver, bør du overveje risici, der kan påvirke datafortrolighed, integritet og tilgængelighed (kendt som CIA), herunder:

  • Eventuelle eksterne eller interne problemer (i overensstemmelse med Punkt 4.1)
  • Interesserede parters behov og forventninger (i overensstemmelse med Punkt 4.2)
  • Gældende lovgivning, regulativer eller kontraktmæssige krav
  • Systemets omfang (i overensstemmelse med Punkt 4.3)
  • Eventuelle yderligere overholdelsesordninger i organisationen, som f.eks Cyber ​​Essentials.

Risikoanalyse

Risikoanalyse er processen med at score hver risiko baseret på sandsynligheden for og virkningen af ​​hændelsen.

Inden for ISMS.online platformen kan du score sandsynligheden for risiko fra meget lav til meget høj (1-5) og påvirkningen fra ingen til alvorlig (0-5). Disse faktorer scorer hver risiko ud af 25, hvor påvirkning anses for vigtigere end sandsynlighed. Dette giver dig mulighed for at prioritere behandlingen ud fra risikoscoren.

ISO 27001 risikokort
En ISO 27001 risikoscoringsmatrix

Din organisation kan f.eks. identificere en e-mail, der bliver omdirigeret til den forkerte modtager af en medarbejder som en risiko. Måler du i forhold til dine kriterier, kan du beslutte, at sandsynligheden er middel, og at virkningen er lille på grund af muligheden for, at kommerciel information ved en fejl bliver sendt til mange modtagere sammenlignet med en enkelt modtager, hvilket giver risikoen en relativt lav score. Det næste skridt er at beslutte, hvordan denne risiko skal behandles.

Risikobehandling

Hver risikos ejer er ansvarlig for at identificere den passende risikobehandling. De bør også overveje kriterier for at tolerere risikoen. De fem behandlingsmuligheder er:

  • Opsige – for at fjerne risikoen helt
  • Forkæl – for at reducere risikopåvirkningen eller sandsynligheden
  • Overfør – overførsel eller deling af risikoen (f.eks. ved at tegne forsikring)
  • Tolerere – at acceptere den resterende risiko
  • En kombination – at tage mere end én af handlingerne ovenfor.

Risikoaccept, også kendt som risikotolerance, bør baseres på følgende kriterier:

  • Det risikoniveau, der skal accepteres
  • Typen og mængden af ​​personligt identificerbare oplysninger (PII) i fare
  • Juridiske, regulatoriske eller kontraktlige forpligtelser
  • Forretningsmål og overholdelseskrav
  • Alle andre modstridende risici, der kan introduceres eller ændres fra behandling af den identificerede risiko, såsom risici til ressourceniveauer.

Du kan beslutte at tolerere eksempelrisikoen efter at have overvejet yderligere kontekst. Din organisation kan for eksempel have implementeret bredere kontroller, der reducerer virkningen af, at en e-mail ved en fejl bliver videresendt til den forkerte modtager, som f.eks. Bilag A.5.14 informationsoverførsel og A.6.4 disciplinær proces.

Behandling kan være påkrævet for mere alvorlige risici, såsom et brud på persondatasikkerheden. I dette eksempel kan risikoejeren behandle risikoen ved regelmæssigt at køre phishing-bevidsthedstræning for alle medarbejdere og implementere værktøjer til at overvåge phishing-aktivitet. Risikoniveauet angiver også, hvor ofte det skal gennemgås - for eksempel månedligt, kvartalsvis, halvårligt eller årligt.

Håndtering af risiko med ISO 27001 kontroller

Din risikovurderingsproces vil efterlade dig med et klart sæt af risici, mens risikobehandlingsprocessen kræver, at du vælger passende risikobehandlingsmuligheder og bestemmer de kontroller, du skal implementere. ISO 27001:2022 Annex A indeholder et sæt af 93 kontroller i fire kategorier: organisatoriske kontroller, fysiske kontroller, personkontroller og teknologiske kontroller.

Disse kontroller omfatter processer, politikker, enheder, praksis og andre forhold eller handlinger, der opretholder eller ændrer risiko, såsom adgangskodepolitikker, antivirussoftware og kryptografi. Implementering af dem hjælper med at mindske risici og reducere virkningen af ​​informationssikkerhedshændelser. Ved at bruge de kontroller, der er angivet i ISO 27001:2022 Bilag A sikrer, at du har taget en udtømmende tilgang til at håndtere risici for din virksomhed.

Væsentlige ISO 27001:2022 bilag A kontroller omfatter:

  • A.5.1 Politikker for informationssikkerhed, som kræver, at din organisation har et informationssikkerhedspolitikdokument på plads for at beskytte mod informationssikkerhedstrusler
  • A.5.34 Privatliv og beskyttelse af PII, en forebyggende kontrol med retningslinjer og procedurer til at hjælpe din organisation med at opfylde sine krav vedrørende opbevaring, privatliv og sikkerhed for personligt identificerbare oplysninger (PII)
  • A.6.8 Rapportering af informationssikkerhedshændelser, som har til formål at lette rettidig, konsistent og effektiv rapportering af informationssikkerhedshændelser opdaget af personale
  • A.7.9 Sikkerhed af aktiver uden for lokalerne, som kræver, at organisationer opsætter og implementerer protokoller og regler, der dækker alle enheder, der ejes eller bruges på vegne af virksomheden
  • A.8.7 Beskyttelse mod malware, som giver retningslinjer for udførelse af et malware-forsvar, der omfatter kontrollerede systemer og kontoadgang, ændringsstyring, anti-malware-software og organisatorisk informationssikkerhedsbevidsthed
  • A.8.24 Brug af kryptografi fastsætter syv krav, organisationer skal overholde, når de bruger kryptografiske metoder.

Risiko- og kontrolidentifikationsprocesserne er forenklet inden for ISMS.online-platformen. Som standard identificerer platformen over 100 almindelige risici og foreslår relevante kontroller, der kan anvendes til at behandle hver risiko, hvilket væsentligt reducerer din risikovurdering og ledelsesarbejde.

Vigtigheden af ​​løbende risikoovervågning

Kontinuerlig overvågning og anmeldelser er en vital del af risikostyring, fordi en risikos sandsynlighed eller påvirkning kan ændre sig over tid, hvilket betyder, at en ny behandlingsmetode er påkrævet. For risici på lavt niveau kan du beslutte, at årlige vurderinger er tilstrækkelige, mens risici på mellemniveau muligvis skal revurderes hver tredje eller sjette måned og risici på højt niveau hver måned.

Uanset hvilken gennemgangsperiode du beslutter er passende for en identificeret risiko, er det afgørende at sikre, at risikoejere leverer den, så du har et opdateret overblik over din organisations risikokortlægning. ISMS.online-platformen underretter automatisk risikoejere, når begivenheder såsom årlige risikovurderinger er på vej, hvilket sikrer, at din risikostyring er robust og konsistent med minimal indsats fra dit team.

Disse regelmæssige anmeldelser kan bruges som bevis på, at din organisation vedligeholder og udvikler et robust informationssikkerhedsstyringssystem (ISMS) til din revisor.

Forenkling af risikostyring med ISMS.online

Udover at give en færdiglavet risikobank med over 100 almindelige forretningsrisici, indeholder ISMS.online platformen også et dynamisk risikokort. Kortet giver dig et opdateret overblik over din organisations risikoprofil, så det er nemmere end nogensinde at koordinere din risikostyring, se potentielle trusler og muligheder og holde interessenter informeret.

Platformen kommer også med en dynamisk påmindelsesfunktion, som automatisk minder risikoejere om, når det er tid til at gennemgå en risiko, de er ansvarlige for, uanset om den skal gennemgås månedligt, kvartalsvis, halvårligt eller årligt. Risikohistoriegrafen giver dig mulighed for at identificere og spore risikokilder og fremhæver, hvordan din risikoprofil har udviklet sig.

Administrer proaktivt din informationssikkerhedsrisiko

For mange virksomheder udgør ISO 27001-certificering en ubestridelig konkurrencefordel: De kan bevise over for kunder og kundeemner, at de er forpligtet til at holde deres data sikre.

Risikostyring og kontrolimplementering er vitale aspekter af ISO 27001-certificering, der udgør kernen i en robust informationssikkerhedsposition og ISMS. Proaktiv risikostyring giver dig mulighed for at overvåge risici, forhindre hændelser og reducere virkningen af ​​hændelser, der opstår. Ved at prioritere risikovurdering som en kontinuerlig proces kan du sikre, at din organisation altid er parat til at reagere på de seneste trusler.

ISMS.online-platformen giver en forenklet tilgang til risikovurdering med en risikobank, foreslåede kontroller for hver risiko og automatisering, der minder risikoejere om, hvornår det er tid til at gennemgå de risici, de er ansvarlige for. Hvis du er klar til nemt at opnå ISO 27001 overholdelse og spare tid på din risikostyring, book din demo.

Forfatter

Christie Rae

Christie er content marketing specialist hos ISMS.online. Med over syv års erfaring sigter hun efter at skrive informativt, engagerende indhold og har arbejdet på tværs af en række brancher, herunder cybersikkerhed, software as a service, teknologi og farmaceutiske produkter.

Se alle indlæg af Christie Rae

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!