ISO 27001-krav 8.3 – Informationssikkerhedsrisikobehandling

Hvad indebærer paragraf 8.3?

I henhold til paragraf 8.3 er kravet, at organisationen implementerer informationssikkerhedsrisikobehandlingsplanen og opbevarer dokumenteret information om resultaterne af denne risikobehandling. Dette krav handler derfor om at sikre, at de risikobehandlingsprocesser, der er beskrevet i paragraf 6.1, Handlinger for at adressere risici og muligheder, rent faktisk finder sted. Dette bør omfatte beviser og klare revisionsspor for anmeldelser og handlinger, der viser risikoens bevægelser over tid, efterhånden som resultaterne af investeringer dukker op (ikke mindst også give organisationen såvel som revisor tillid til, at risikobehandlingerne når deres mål). Ligesom andre dele af paragraf 8 er dette allerede opnået, hvis organisationen har adresseret det overordnede ISMS med den tilgang, der er skitseret i paragraf 7.5.

Opfyldelse af kravene til 8.3

For at opfylde kravene til 8.3 skal du kunne dokumentere, at risikobehandlingsplanen beskrevet i punkt 6.1 er ved at blive implementeret.

Som beskrevet i 6.1 mere udførligt skal dette omfatte evidensen bag behandlingen. Enkelt sagt kan 'behandling' være arbejde, du udfører internt for at kontrollere og tolerere risikoen, eller det kan betyde skridt, du tager for at overføre risikoen (f.eks. til en leverandør), eller det kan være at afslutte en risiko helt. De kontroller, der vælges til at styre risiciene, skal tage hensyn til, men er ikke begrænset til, dem, der er beskrevet i bilag A til standarden. Disse bilag A-kontroller udgør erklæringen om anvendelighed (SoA), som beskriver alle kontroller, og hvorfor de er eller ikke er blevet implementeret af organisationen.

Sådan opretter du en risikobehandling og styrer din risikobehandlingsproces

Risikobehandling bør overvejes sammen med risikovurdering og i sidste ende også indgå i SoA.

Typisk finder organisationer, at styring og bevisførelse af risiko er den mest komplekse del af ISO 27001. Læs vores seneste artikel Information Security Risk Management Explained for at udforske risikostyring mere fuldstændigt. Det kan tage dage, uger eller måneders arbejde at etablere en fuldt operationel risikoløsning.

Denne indsats indebærer etablering af den overensstemmende risikovurderingsmetodologi, en måde at dokumentere og indfange beviser for hele sikkerhedsrisikostyringsprocessen, samt at gennemgå den for det første komplette sæt af risici og behandlinger.

ISMS.online-softwareløsningen kan spare den tid og spare en enorm mængde arbejde på processen med de inkluderede risikostyringsværktøjer og -metoder. ISMS.online giver også:

• En skabelonpolitik for paragraf 8. i ISO 27001:2013
• En skabelonpolitik og -metode for paragraf 6.1, som omfatter en omfattende, men pragmatisk tilgang til risikoidentifikation, -analyse og -behandling samt løbende overvågning og gennemgang
• Enkle at bruge risikostyringsværktøjer, som beskrevet i ovenstående politik og metode, som producerer og vedligeholder behandlingsplanen
• En hel bank af populære risici sammen med foreslåede bilag A kontroller til at linke til og behandle risikoen omkring
• Arbejdsrum til at fange alt det udførte arbejde, hvilket muliggør opbevaring af den dokumenterede information i værktøjerne og tilbyder links tilbage til de kontroller og politikker, der bruges til at håndtere risici og problemer
• Dynamisk oprettet erklæring om anvendelighed, der linker tilbage til bilag A-kontrollerne
• Et samlet sted til sikker styring af hele ISMS

Bliv certificeret op til 5 gange hurtigere med ISMS.online

Overholdelse behøver ikke at være kompliceret – ISMS.online er designet til at hjælpe dig med at opnå ISO 27001-certificering hurtigt og til en overkommelig pris uden behov for uddannelse.
Vi har strømlinet ISO 27001-processen med vores Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, nem onboarding og ekspertsupport.

Book en platformdemo for at se, hvordan ISMS.online kan hjælpe din virksomhed