ISMS Guiden 1.0

Search

SearchSearch

1.1.3 - Identifiser virksomhetens prosesser for risikostyring knyttet til IKT

May 03, 20242 min read

Dette inkluderer normalt:

  • a) verdivurdering,

  • b) trusselvurdering,

  • c) kartlegge eksisterende sikkerhetstiltak,

  • d) risikoidentifisering,

  • e) risikovurdering,

  • f) risikorapportering,

  • g) risikohåndtering,

  • h) etablere eller justere sikkerhetstiltak for å redusere risiko

  • i) verifisere at sikkerhetstiltakene fungerer etter hensikt.

  • j) Etabler prosesser for risikostyring dersom dette mangler. Sørg for at prosessene tilpasses virksomheten og er en inkludert del av virksomhetsstyringen og sikkerhetsstyringen. Se Utdypende informasjon.

Implementering

Hvis etablert

a) Verdivurdering Identifiser og vurder organisasjonens verdier. Vurder verdier: Gi en verdi til disse eiendelene basert på deres betydning for organisasjonens virksomhet. Vurderingen kan baseres på kostnaden for erstatning, inntektstap ved tap eller kompromittering, og potensiell skade på omdømme.

b) Trusselvurdering Identifiser trusler: Liste opp alle potensielle trusler mot organisasjonens verdier. Dette kan omfatte alt fra cyberangrep til naturkatastrofer. Analyser og prioriter trusler: Analyser frekvensen og konsekvensen av disse truslene for å prioritere dem. Bruk informasjon fra bransjeinnsikt, sikkerhetsrapporter og erfaringer.

c) Kartlegge eksisterende sikkerhetstiltak Gjennomgang av tiltak: Fullstendig gjennomgang av eksisterende sikkerhetstiltak og -prosedyrer. Identifiser hvilke verdier de beskytter og mot hvilke trusler. Vurder effektivitet: Vurder effektiviteten av hvert tiltak. Dette kan inkludere gjennomgang av tidligere hendelser, testing og simuleringer.

d) Risikoidentifisering Samle informasjon: Bruk informasjonen samlet fra de tidligere stegene for å identifisere risikoer, som er kombinasjonen av trusler og verdier uten tilstrekkelige sikkerhetstiltak. Dokumenter risikoer: Lag en oversikt over identifiserte risikoer, inkludert potensielle konsekvenser.

e) Risikovurdering Vurder risiko: Bruk en metode som for eksempel risikomatriser for å vurdere risikoen (sannsynlighet og konsekvens) for hver identifisert risiko. Prioritering: Prioriter risikoer basert på deres vurdering, med fokus på de med høyest sannsynlighet og konsekvens.

f) Risikorapportering Rapporter risikoer: Utvikle en rapporteringsstruktur for å kommunisere risikoer, deres vurdering, og foreslåtte tiltak til relevante stakeholders.

g) Risikohåndtering Utvikle tiltak: Utvikle og implementer tiltak for å håndtere, redusere eller eliminere høyrisikoer. Overvåking: Etablere prosesser for løpende overvåking og gjennomgang av risikobildet.

h) Etablere eller justere sikkerhetstiltak Tiltaksplan: Utarbeid en plan for implementering eller justering av sikkerhetstiltak basert på risikovurderingen. Implementering: Gjennomfør de nødvendige tiltakene for å redusere risiko.

i) Verifisere at sikkerhetstiltakene fungerer etter hensikt Testing og gjennomgang: Gjennomfør regelmessige tester og gjennomganger for å sikre at sikkerhetstiltakene fungerer som forventet. Tilpasninger: Juster tiltak basert på testing og nye trusler.

Graph View

Backlinks