Akademin hem
Bloggar
Riskhantering för informationssäkerhet på Cyberday: Identifiering av risker, utvärdering, behandling och stängning
En del av ISO 27001-samlingen
En del av NIS2-samlingen

Riskhantering för informationssäkerhet på Cyberday: Identifiering av risker, utvärdering, behandling och stängning

ISO 27001 insamling
Riskhantering för informationssäkerhet på Cyberday: Identifiering av risker, utvärdering, behandling och stängning
NIS2 samling
Riskhantering för informationssäkerhet på Cyberday: Identifiering av risker, utvärdering, behandling och stängning
Cyberday blogg
Riskhantering för informationssäkerhet på Cyberday: Identifiering av risker, utvärdering, behandling och stängning

Riskhantering är en vanlig fras i det moderna affärslivet. Men utan tydliga metoder för att implementera den och koppla den till det dagliga arbetet finns det en risk att riskhanteringen förblir en fristående, till synes värdelös enhet för verksamheten.

Riskhantering inom informationssäkerhet är ett område inom riskhantering som ständigt ökar i betydelse. I synnerhet när det gäller organisationer med hög grad av digitalisering bör detta område ligga i framkant av riskhanteringen.

Tanken med denna artikel är att tillhandahålla en tydlig verksamhetsmodell för hantering av informationssäkerhetsrisker, som sträcker sig från att identifiera riskerna till att stänga dem, involvera olika personer i olika roller och övervaka de åtgärder som beslutas i riskhanteringen.

Vi ser på frågan främst utifrån god praxis i informationssäkerhetsstandarden ISO 27001.

Krav på riskhantering för informationssäkerhet

Generellt sett belyser varje standard för informationssäkerhet eller relaterad lagstiftning riskhantering. ISO 27001 innehåller sina egna krav, men liknande punkter finns t.ex. i NIST CSF.

ISO 27001 innehåller tydliga krav på riskhantering för informationssäkerhet:

  • 6.1.1: Det ska finnas ett dokumenterat förfarande enligt vilket informationssäkerhetsrisker identifieras, värderas och hanteras
  • 6.1.3c: Alla kontroller som anges i ISO 27002 kommer att beaktas i riskhanteringsfasen
  • 6.1.3d: Tillämplighetsförklaring (SoA) skapas för att sammanfatta implementeringen av säkerhetskontroller

Det första kravet vägleder organisationen att genomföra riskhanteringen enligt en uppsättning gemensamma grundregler. Det är redan en betydande risk om var och en utvärderar risker på sitt eget sätt.

Den andra punkten kräver att organisationen gör en omfattande granskning av de kontroller som anges i ISO 27002. Standarden erbjuder därför mer konkret bästa praxis för att minska sannolikheten för eller effekten av risker.

Den tredje punkten kräver att organisationen sammanfattar sin användning av kontroller på ett tydligt sätt: Vilka av de kontroller som listas i ISO 27002 har vi implementerat och på vilka grunder har vi låtit bli att implementera vissa? Genom tillämpningsförklaringen är det möjligt att få en övergripande bild, även om den faktiska riskbedömningsprocessen oftast genomförs med utgångspunkt från en enskild risk.

Fördelar med en bra riskhanteringsprocess

En väl implementerad riskhanteringsprocess för informationssäkerhet:

  • Förbättrar informationssäkerhetsarbetet när kärnverksamheten först görs effektivt och sedan prioriteras efterföljande framsteg med hjälp av riskhantering.
  • Riktar på ett effektivt sätt din uppmärksamhet mot de unika aspekterna av organisationens egen verksamhet i samband med informationssäkerhetsarbetet.
  • Kan enkelt visa sin effektivitet när riskhanteringen leder till tydliga åtgärder med tilldelade ansvarsområden, tidsramar och löpande övervakning av status och framsteg.

Det är dock viktigt att förstå att det kanske inte är så klokt att gå rakt på riskhanteringen om inte grunderna för cybersäkerhet finns på plats inom organisationen. Det blir en utmaning att identifiera och utvärdera risker när organisationen saknar systematiska metoder för att beskriva sin databehandlingsmiljö, dokumentera tillgångar som kräver skydd genom säkerhetsåtgärder och förstå de befintliga säkerhetsåtgärderna på plats. Det är därför Cyberday syftar till att tillhandahålla etablerade ramverk för alla dessa områden och rekommenderar att man går vidare till riskhantering efter att ha tagit itu med de grundläggande aspekterna.

Stadier i riskhanteringsprocessen i Cyberday

Implementeringen av riskhanteringen i Cyberday presenteras steg för steg nedan.

Olika stadier av cybersäkerhetsrisker.

1. Identifiering av risker

Nya risker kan identifieras i Cyberday på följande sätt:

Automatiserad identifiering av cybersäkerhetsrisker genom aktivering av informationssäkerhetsuppgifter.

Cyberday innehåller bakgrundsinformation om relevanta risker för varje uppgift. När en uppgift aktiveras i Cyberday läggs de tillhörande riskerna automatiskt till i riskregistret.

När du aktiverar en uppgift identifieras anslutna risker automatiskt.

Riskidentifiering genom incident- eller förändringshantering. Organisationens processer för hantering av informationssäkerhetsincidenter eller betydande säkerhetspåverkande förändringar inkluderar riskanalys. Syftet är att identifiera de risker som är förknippade med den specifika händelsen och som sedan går vidare till riskutvärderingsfasen. Dessa risker kan vara helt nya eller kräva omvärdering genom att händelsen inträffar.

Identifiering av risker i samband med kritiska tillgångar. Om så önskas kan risker identifieras när informationstillgångar (t.ex. ett informationssystem, en datalagring eller en partner) klassificeras som "kritiska" i ledningssystemet. Denna implementering kan ske under kontroll av tillgångens ägare. Alla identifierade risker kopplas till den tillhörande tillgången med hjälp av ett riskdokumentationskort.

Workshops med hjälp av exempel på risker från Cyberday. Cyberday innehåller en omfattande lista med exempel på informationssäkerhetsrisker. Denna lista används för att identifiera förbisedda hot och identifiera nya risker. Vi rekommenderar att sådana workshops genomförs vid behov, t.ex. om andra metoder som beskrivs här inte har använts under de senaste 6 månaderna.

2. Risker vid förbehandling

När en risk har identifierats är det första steget att välja en riskägare. I Cyberday är det automatiska standardvalet för nya risker ägaren av temat Riskhantering och ledarskap. Denna person bör sedan omfördela risken till ägaren av motsvarande tillgång om risken är tydligt relaterad till den tillgången, eller till ägaren av ett annat säkerhetstema om risken är tydligt relaterad till det temat. Delegering sker genom att lämplig användare utses till riskägare på dokumentationskortet.

En riskägares avsiktliga åtgärder

  • Identifiering av relaterade tillgångar. Detta är en metod som kopplar samman riskbedömning och riskhantering med andra delar av ISMS. Risker kan kopplas till andra tillgångar (t.ex. ett datasystem eller en partner) i fältet "Anslutna tillgångar i ledningssystemet" på dokumentationskortet. Om risken är tydligt relaterad till andra resurser som inte har ett eget dokumentationskort i ledningssystemet, beskrivs detta i fältet "Andra associerade resurser".
  • Identifiera de nuvarande uppgifter som hanterar risken. Tanken med denna punkt är att förstå hur mycket organisationen redan gör för att hantera denna risk. Det är viktigt att ta hänsyn till detta under riskutvärderingsfasen. Det är viktigt att riskutvärderingen sker i samma system där cybersäkerhetsåtgärderna övervakas.

3. Utvärdering av risker

I riskutvärderingsfasen tilldelas risken ett numeriskt värde baserat på dess potentiella påverkan och sannolikhet. Organisationen kan välja att använda antingen en snävare (1-3) eller bredare (1-5) bedömningsskala utifrån sina egna preferenser.

Riskbedömning på dokumentationskortet.

Cyberday syftar till att hjälpa till med riskbedömningen genom att ge snabba svar när en hög allvarlighetsgrad eller sannolikhet inte väljs för en risk. Risken kan ha minskad allvarlighetsgrad på grund av organisationens verksamhet eller minskad sannolikhet på grund av att effektiva riskhanteringsmetoder har införts.

Baserat på utvärderingen beräknas risknivån automatiskt för varje risk. Organisationen kan definiera sin acceptabla risk nivå och alla risker som överskrider denna nivå bör gå vidare till behandlingsfasen, där olika åtgärder genomförs för att minska risknivån.

4. Behandling av risker

Den risknivå som fastställs i utvärderingen indikerar om riskhanteringen ska fortsätta.

Om risknivån ligger inom ett acceptabelt intervall eller under det, kan risken accepteras i detta skede.

Om det behövs fortsätter riskhanteringen till behandlingsfasen, där:

  • Lämpligt riskbehandlingsalternativ väljs med hjälp av riktlinjer.
  • Mer specifika åtgärder fastställs för att minska risknivån.

Det vanligaste valet är att minska risken genom att implementera ytterligare åtgärder, vilket förbättrar organisationens egna cybersäkerhetsrutiner. I det här skedet är det viktigt att de beslutade åtgärderna listas i samma system där riskhanteringen görs. På så sätt säkerställs att riskhanteringen leder till faktiska resultat, som automatiskt ingår i samma övervakningsprocess.

Behandlingsplan för en individuell risk.

En sammanfattning av den beslutade hanteringen på organisationsnivå kallas riskhanteringsplan. Ägaren till varje enskild risk ska acceptera den skapade behandlingsplanen för motsvarande risk.

5. Övervakning och stängning av risker

När den planerade riskhanteringen har genomförts, vilket innebär att de tilldelade ägarna har bekräftat att uppgifterna faktiskt har slutförts, kan risken stängas. Riskhanteringsprocessen avslutas därmed med ett tydligt resultat.

En risk kan omvärderas, t.ex. om en säkerhetsincident inträffar eller en betydande förändring i organisationens verksamhet sker som kan öka riskens påverkan eller sannolikhet.

Tips för att implementera riskhantering under Cyberday

Här följer några punkter som kan vara till hjälp när du ska implementera riskhantering i din organisation.

  • Kolla in rapportmallarna om riskhantering i Cyberday . Särskilt förhandsgranskningen av riskhanteringsförfarandet och resultatet fungerar som användbart instruktionsmaterial för alla som är involverade i hanteringen av informationssäkerhetsrisker.
  • Det är möjligt att skapa en granskningscykel för listan över cybersäkerhetsrisker. Detta gör det möjligt för Cyberday Teams-appen att påminna riskägarna om att granska cyberriskerna, t.ex. var sjätte månad. Detta hjälper till att identifiera risker som har förändrats och som behöver utvärderas på nytt.
  • Skapa anpassade riktlinjer för riskägare. I Cyberday är det möjligt att rikta riktlinjer till specifika enheter. En av dessa enheter är enheten för riskägare. Du kan lägga till viktiga riktlinjer i Guidebook och genom att använda Cyberday se till att riskägare läser dem regelbundet.

Vill du höra mer om ämnet?

Om du vill lära dig mer om hantering av cybersäkerhetsrisker kan du delta i våra kommande webbseminarier eller välja en lämplig tid för ett Teams-möte så kan vi fortsätta diskussionen på ett mer personligt sätt.

Skrivet av
Matti Lindfors
13.6.2023
@
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Dela artikel

Annat liknande innehåll från Akademin

Bloggar

De 10 vanligaste avvikelserna vid revisioner av ISO 27001

Revisioner och avvikelser driver organisationer mot ständiga förbättringar. Men innan din första ISO 27001-certifiering är det bra att känna till några av de vanligaste avvikelserna, så att du kan undvika dem vid din certifieringsrevision.
18.2.2025

Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?

I den här bloggen kommer vi att tala om vikten av att medarbetarna deltar i revisionsintervjun, varför revisorerna värdesätter medarbetarnas insikter och titta närmare på möjliga frågor som ställs i en ISO 27001-intervju.
13.2.2025

Checklista för efterlevnad och certifiering av ISO 27001

Vill du säkerställa att du uppfyller kraven i ISO 27001? Den här checklistan innehåller tydligt ordnade viktiga steg som hjälper din organisation att bygga upp ett ISMS och uppfylla kraven i ISO 27001-standarden.
6.2.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekVeckovisa nyhetsöversikterPrenumerera på AkademinLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet