Risikostyring

Formålet med risikostyring er at blive bevidst om, hvad der kan gå galt hvor - og at sætte ind med handling, der sikrer, at det ikke går galt.

Det behøver ikke være indviklet

Risikostyring er noget, vi anvender i det daglige til at øge sikkerheden for, at vi træffer de rigtige valg, og at vi når vores mål. Det er risikostyring, vi bruger, når vi ser os over venstre skulder og forvisser os om, at bilerne er standset, også selvom stoplyset er skiftet.

I filmen nedenfor berøres de vigtigste temaer i arbejdet med risikostyring. Du kan teste din viden undervejs i filmen.

Risikostyring i en ISO 27001 kontekst

Risikostyring er den helt centrale proces i et ISO 27001 baseret ledelsessystem for informationssikkerhed (ISMS). Det er det instrument, man benytter til at prioritere indsatsen, så informationer beskyttes på et af (top)ledelsen godkendt acceptabelt niveau med de givne ressourcer og økonomi.

Der er i ISO 27000 serien udgivet en standard, ISO 27005, som beskriver et risikostyringsrammeværk for informationssikkerhed. Digitaliseringsstyrelsens Vejledning til risikostyring inden for informationssikkerhed tager sit udgangspunkt i ISO 27005.

Hent Vejledning til risikostyring inden for informationssikkerhed

Der er i tilknytning til vejledningen om risikostyring, udarbejdet en række bilag i form af skabeloner og eksempler på risikostyringsdokumenter, som du kan tilpasse og bruge i din egen organisation.

Hent alle bilag til vejledningen her (7 dokumenter i zip fil)

En risikostyringsproces kan beskrives i 5 faser

Billedet illustrerer de 5 faser i risikostyringsprocessen, samt fase 0

Billedet illustrerer de 5 faser i risikostyringsprocessen, samt fase 0, som er procesopbygningen, hvor forudsætningerne for en effektiv risikostyring opbygges. I det følgende beskrives de enkelte faser nærmere.

Forudsætningerne for effektiv risikostyring skal være på plads

Det er en forudsætning for effektiv risikostyring, at man har tilstrækkelig organisering, proces og værktøjer til styringen. Det er også vigtigt, at man har et fælles billede af rammerne for myndighedens informationsbehandling og en fælles forståelse af konsekvenser og risici. Dette gælder både inden for myndigheden selv og i forhold til den organisation, som myndigheden er en del af. Man bør derfor orientere sig i forhold til en allerede givet forståelse.

Billedet illustrerer Fase 0: Byg processen, som uddybes i afsnittet 'Forudsætningerne for effektiv risikostyring skal være på plads'

Billedet illustrerer Fase 0: Byg processen, som uddybes i afsnittet 'Forudsætningerne for effektiv risikostyring skal være på plads'

Etablér en fælles risikoforståelse

Før man går i gang med at implementere en risikostyringsproces, bør man skabe forståelse og enighed om den kontekst, myndigheden og risikostyringen fungerer i:

  • Hvilke kerneopgaver er vigtige for myndigheden og hvordan bliver de understøttet af it-systemer?
  • Hvilke krav er myndigheden underlagt og hvilke målsætninger har myndigheden?
  • Hvordan ser myndighedens generelle trusselsbillede ud?
  • Hvad opfattes som alvorlige konsekvenser for myndigheden?

Det er en god idé på baggrund af en workshop med ledelsen og andre centrale aktører at lægge disse ting fast enten i en politik eller som del af en procesbeskrivelse for risikostyringen.

Byg en risikostyringsorganisation

Der er flere måder at organisere risikostyringen på, og oftest vil man tage udgangspunkt i den allerede etablerede organisation på informationssikkerhedsområdet. Det er afgørende at sammensætte en organisation, som kan gennemføre risikovurderinger og træffe beslutninger på det rette niveau i organisationen:

  • Identificér beslutningstagere (risikoejere) og fastlæg deres mandat
  • Identificér øvrige aktører og bidragydere til risikostyringen
  • Fastlæg og beskriv roller og ansvar.

I organiseringen bør det i øvrigt overvejes, hvordan man undgår flaskehalse og forsinkelser i beslutningsprocesserne. Der kan være brug for at kunne handle hurtigt på identificerede risici.

Risikostyring vil uvægerligt afdække problemområder, som kræver forbedringsinitiativer og ressourcer. Man bør derfor formelt lægge fast, hvor ansvaret ligger for at sikre ressourcerne, og på hvilket ledelsesniveau forskellige typer af risici kan accepteres.

En solid ledelsesmæssig forankring er essentiel for en effektiv risikostyring.

Se: Virkemidler til et velfungerende ISMS

Værktøjer til risikostyring

Risikostyring kan gennemføres med alt fra simple tekstdokumenter og regneark til kommercielle integrerede it-systemløsninger, som kan styre alle aktiviteter. Understøttende elementer og værktøjer består blandt andet af:

  • Overblik over myndighedens kerneopgaver
  • Overblik over de mest kritiske forretningsprocesser
  • Oversigter over systemer og andre aktiver med betydning for informationsbehandlingen
  • Oversigter over trusler, sårbarheder, konsekvenser, og manglende eller planlagte sikkerhedsforanstaltninger
  • Vurderingsmetode (se afsnittet Vurdering)
  • Vurderingskriterier og -skalaer
  • Spørgerammer og vurderingsmatricer
  • Risikoregistre
  • Risikohåndteringsplan
  • Rapporteringsskabeloner.

Hent: Trusselsidentifikation ved risikovurderingen af it-systemer

Hvad er "aktiver" i en ISO 27001 kontekst?

Jf. ISO 27002 5.9 bør en organisation have et dokumenteret overblik over alle aktiver, der er relateret til organisationens informationsbehandling.
ISO 27005 benytter følgende kategorisering af aktiver:

Primære aktiver:

  • Forretningsprocesser og -aktiviteter
  • Information.

Understøttende aktiver:

  • Hardware
  • Software
  • Netværk
  • Personale
  • Lokalitet
  • Organisationsstruktur.

Tilknytning til ISO 27001

I ISO 27001 behandles risikovurderingen i afsnit 6.1 (Handlinger til håndtering af risici og muligheder), 8.2 (vurdering af informationssikkerhedsrisici) og 8.3 (håndtering af informationssikkerhedsrisici).