fbpx
Lokale til videokonferencer

7 trin til en vellykket ISO 27001 risikovurdering

Risikovurderinger er kernen i enhver virksomheds it-sikkerhedspolitik. De er vigtige for at sikre, at du overholder lovgivningen og er i stand til at håndtere truslerne.

Hvad er en it-risikovurdering?

I forbindelse med risikostyring hjælper en risikovurdering virksomheder med at vurdere og håndtere hændelser, der kan forårsage skade på dine følsomme data.

Processen indebærer at identificere farer – sårbarheder, som en cyberkriminel kan udnytte eller fejl, som medarbejdere kan begå. Du bestemmer derefter et ønsket risikoniveau, og beslutter dig for den bedste fremgangsmåde for at forhindre dem i at ske. Så hvordan skal du komme i gang? Lad os gennemgå fra start til slut.

Sådan foretages en ISO 27001 risikovurdering

Risikovurderinger kan være skræmmende, men vi har forenklet ISO 27001 risikovurderingsprocessen i syv trin:

1. Definer din risikovurderingsmetode

Der er ingen fastlagt ISO 27001 risikovurderingsprocedure. I stedet kan du skræddersy din tilgang til behovene i din virksomhed.

For at gøre dette skal du gennemgå visse ting. Først bør du se på din virksomhed som helhed.

Helheden kan bestå af dine juridiske, lovgivningsmæssige og kontraktmæssige forpligtelser, dine mål vedrørende it-sikkerhed og virksomheden i bredere forstand og dets interessenters behov og forventninger.

Dernæst skal du se på risikokriterierne. Dette er en afmålt metode at måle risici på, normalt efter den indvirkning, de vil forårsage, og sandsynligheden for, at de opstår.

Disse skal defineres klart og bredt forstået, så to risikovurderinger giver sammenlignelige resultater.

Endelig skal du fastsætte dine kriterier for accept af risiko. Du kan ikke udrydde enhver risiko, du står over for, så du skal beslutte niveauet for den resterende risiko, du er villig til at lade være.

2. Udarbejd en liste over dine informationsaktiver

Dette omfatter papirkopier af oplysninger, elektroniske filer, flytbare medier, mobile enheder og immaterielle ejendomme, såsom intellektuel ejendomsret.

3. Identificer trusler og sårbarheder

Når du har oprettet din liste over informationsaktiver, er det tid til at bestemme de risici, der er forbundet med dem.

For eksempel, når du analyserer arbejdsudstedte bærbare computere, er en af de risici, du fremhæver, muligheden for at blive stjålet. En anden vil være, at medarbejdere på et offentligt sted kan bruge en usikker internetforbindelse, eller at nogen kan se følsomme oplysninger på deres skærm.

4. Evaluer risici

Nogle risici er mere alvorlige end andre, så du er nødt til at afgøre, hvilke risici du skal være mest bekymret over på dette tidspunkt.

Det er her dine risikokriterier er nyttige. Det giver en guide, der hjælper dig med at sammenligne risici ved at tildele en score til sandsynligheden for, at den opstår, og den skade, den vil forårsage.

Ved at evaluere risiciene på denne måde får du en konsekvent og sammenlignelig vurdering af de trusler, dine organisationer står over for.

ISO 27001 angiver ikke, hvordan du skal score risici – uanset om det er højt til lavt, 1 til 5, 1 til 100 eller på anden måde. Det er ligegyldigt, så længe alle, der er ansvarlige for at vurdere risici, bruger den samme tilgang.

5. Reducer risiciene

Der er fire måder, hvorpå organisationer kan behandle risici:

  • Modificer risikoen ved at anvende sikkerhedskontrol for at reducere sandsynligheden for, at den opstår og/eller skade, den vil forårsage.
  • Behold risikoen – accepter at den falder inden for tidligere fastsatte kriterier for accept af risici eller via ekstraordinære beslutninger.
  • Undgå risikoen ved at ændre de omstændigheder, der forårsager den.
  • Del risikoen med en partner, f.eks. Et forsikringsselskab eller en tredjepart, der er bedre rustet til at styre risikoen.

ISO 27001 kræver, at alle risici har en ejer, der er ansvarlig for at godkende eventuelle risikobehandlingsplaner og acceptere niveauet for restrisiko. Den person, der ejer risikobehandlingsaktiviteter, kan være anderledes end ejeren af aktivet.

6. Udarbejde risikorapporter

Dernæst kommer dokumentationsprocessen, som er nødvendig til revisions- og certificeringsformål.

De vigtigste dokumenter er en risikobehandlingsplan, som dokumenterer de beslutninger, du har truffet vedrørende risikobehandling.

Forklar hvorfor disse er valgt; Angiv, om virksomheden har implementeret kontroller/tiltag eller ej; og forklar, hvorfor eventuelle kontroller er udeladt.

7. Gennemgå, overvåg og revider

ISO 27001 kræver, at din virksomhed løbende gennemgår, opdaterer og forbedrer sig, så vurderingen fungerer efter hensigten.

Du bliver nødt til at gentage vurderingsprocessen årligt for at sikre, at du har redegjort for ændringer i, hvordan din virksomhed fungerer og det ændrede trusselsmiljø.

IT-SIKKERHEDSAFTALE

Årlig risikovurdering med klare anbefalinger til forbedring af din it-sikkerhed.

Dit sikkerhedsniveau bliver synligt, og du vil få klare og tydelige anbefalinger til evt. forbedringer, samt en rapport der kan anvendes som dokumentation.

yubico

Vil du have hjælp til at optimere din it-sikkerhed?

Kontakt os i dag for en uforpligtende gennemgang af mulighederne for at optimere din it-sikkerhed..

En JDM-medarbejder vil tage kontakt til dig for at aftale et tidspunkt for en uforpligtende dialog.

Vi samler på glade kunder

Mød vores kunder

”Vi har i flere år arbejdet sammen med JDM, og vi er glade for den sparring og vejledning vi får.”

Niclas Pedersen

IT Driftchef, Wash World

”Vi var på udkig efter en it-partner, som vi kunne opbygge et langsigtet samarbejde med. Den partner fandt vi i JDM.”

Denis Lewinsky

CEO, Dansk Tandforsikring

”Vi var på udkig efter en it-virksomhed, som havde vores behov som kernekompetence, og det fandt vi hos JDM.”

Arne Sivebæk

CFO, STOK Emballage

Nyheder

Seneste artikler

7 grunde til at din virksomhed har brug for en firewall

7 grunde til at din virksomhed har brug for en firewall

I dag er virksomheder mere end nogensinde tidligere forbundet på global skala. Langt de fleste virksomheder har forbindelse til internettet, hvilket gør det meget lettere at udføre mange opgaver og forretningsfunktioner.

Få en sikker og guidet rejse til cloud

JDM er din garanti for en sikker, guidet og vellykket rejse til cloud. Vi tager udgangspunkt i Microsofts velafprøvede metoder, som giver dig en standardiseret og anerkendt proces. Derved har du fuld tryghed for at komme rigtigt fra start og sikkert i mål.

JDM’s tilgang til cloudrejsen

Vores metode for en sikker rejse til cloud handler ikke kun om vejen mod målet. Den handler også om efterfølgende vedligehold og opdatering, der sikrer den fortsatte værdi af løsningen.

Få en hybrid og fremtidssikret arbejdsplads

Begrebet ”Den hybride arbejdsplads” dækker over alle de cloudbaserede løsninger og teknologier, der understøtter nutidens digitale virksomheder og medarbejdere i hverdagen. Det er en fleksibel arbejdsmodel, designet til at gøre medarbejderen i stand til sikkert og stabilt at kunne udføre sit arbejde effektivt, både på og uden for kontoret.

JDM’s tilgang til den hybride arbejdsplads

Uanset hvad vi hjælper dig med, ser vi det i en større sammenhæng. Derved kommer vi hele vejen rundt om jeres it-behov med fokus på fleksibilitet, sikkerhed, samarbejde og procesoptimering.

Vi er eksperter i Microsoft Cloud og specialister hele vejen rundt om den hybride arbejdsplads​

JDM er all-in på cloud. Og vi er all-in på Microsoft. Med mere end 15 års erfaring kan vi dog også stadig hjælpe med klassiske og hybride løsninger på tværs af hele Microsofts økosystem.

Pin It on Pinterest

Share This