Overblik over risikostyringsprocessen

Risikostyring sikrer en struktureret fremgangsmåde, der skaber overblik, fremmer en fælles forståelse for risiciene og muliggør en prioritering af de tiltag, der kan ændre risiciene.

Der er intet krav i ISO 27001 til, hvilken metode der skal anvendes, blot at der er en metode, og at den er dokumenteret. Procesflowet nedenfor er inspireret af metoden for risikostyring fra ISO 27005.

Du kan læse flere detaljer om metode til risikostyring i ”Vejledning til risikostyring inden for informationssikkerhed” samt finde inspiration til din organisations risikovurderingsproces i nedenstående risikovurderingstemplate. Templaten indeholder ligeledes inspiration til trussels- og sårbarhedskatalog, konsekvens- og sandsynlighedsskemaer samt eksempler på risikohåndtering.

Hent "Vejledning til risikostyring inden for informationssikkerhed"

Hent "Skabelon til risikovurderinger" (Excel)

 

Model med overblik over risikostyringsprocessen

  1. Etablering af kontekst: I denne første fase defineres organisationens rammer og mål for risikostyring. Det er her, du fastlægger risikostyringens omfang og formål. Under dette trin vil man også fastsætte risikostyringens organisering og kriterier for informationssikkerhed, herunder risikoaccept. I ISO 27001 behandles dette trin i kapitel 4 samt afsnit 6.1.2.
  2. Risikovurdering: Formålet med risikovurderinger er at identificere og håndtere de risici, der er i forbindelse med organisationens brug af processer, systemer, informationer og data. Denne fase opdeles i tre trin og er tilknyttet afsnit 6.1.2 samt 8.2 i ISO 27001:
    1. Risikoidentifikation: Identifikation af potentielle risici, der kan påvirke informationssikkerheden.
    2. Risikoanalyse: Analyse af sandsynligheden for og konsekvenserne af hver risiko.
    3. Risikoevaluering: Vurdering af risici i forhold til organisationens risikokriterier for at afgøre, om risikoen er acceptabel eller kræver behandling.
  3. Risikobehandling: Efter vurdering af risiciene tages beslutninger om, hvordan hver risiko skal håndteres — om den skal undgås, reduceres, deles eller accepteres. Her vælges de relevante sikkerhedsforanstaltninger. Denne relateres til afsnit 6.1.3 samt 8.3 i ISO 27001.
  4. Risikoaccept: Risici, der vurderes som acceptable (efter evalueringen og/eller risikobehandling), accepteres formelt af organisationen, ofte med fortsat overvågning.
  5. Risikokommunikation: Kommunikation af risici og beslutninger til relevante interessenter, både internt i organisationen og eksternt.
  6. Overvågning og evaluering: Løbende overvågning og evaluering af risici, risikobehandlingsplaner og effektiviteten af risikostyringen for at sikre, at nye risici identificeres, og at der foretages nødvendige justeringer.