Risikovurdering

Risikovurdering

Formålet med risikovurdering er at give et grundlag for at prioritere indsatsen i forhold til de forretningsområder, som er mest sårbare i en organisation. Risikostyring er en løbende proces, som sikrer, at man identificerer, analyserer, vurderer, behandler, overvåger og kommunikerer risici i organisationen. Formålet med risikostyring er at skabe de bedst mulige betingelser for, at organisationen kan nå sine mål.
 
De tre overordnede faser i risikostyring er:

  • Identifikation
  • Behandling
  • Overvågning af risici. 

Risikovurdering er det centrale element i identifikationsfasen

En risikovurdering skal identificere, måle og prioritere risici med udgangspunkt i organisationens forretningsmæssige forhold. Da det er forbundet med betydelige omkostninger at skærpe sikringsforanstaltningerne over en bred kam, er det nødvendigt at prioritere indsatsen, så I bruger penge på det, som ledelsen finder relevant eller nødvendigt.
 
Balance mellem indsats og udbytte
Der skal være en sådan balance mellem indsats og ressourceanvendelse, at organisationen får et optimalt udbytte og undgår fejlinvesteringer. Risikovurderingen skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Risikovurderinger skal gennemføres regelmæssigt og ved væsentlige ændringer i risikobilledet, herunder organisatoriske eller teknologiske ændringer. En risikovurdering skal gennemføres metodisk og systematisk, så resultaterne er sammenlignelige og reproducerbare. På den måde overser man ikke forhold, som kan have væsentlige konsekvenser for organisationen.
 
Ezenta tilbyder rådgivning indenfor både risikovurdering, beredskabsplanlægning, udfærdigelse og implementering af IT sikkerhedspolitikker f.eks. med udgangspunkt i ISO 27000 og 27001.
 
Handlingsplan
Formålet med den overordnede handlingsplan er at kortlægge de indsatser, som er nødvendige for at nå det ønskede sikkerhedsniveau for organisationen.
Handlingsplanen beskriver: 

  • Hvad der skal gøres? (opgaver). 
  • Hvem der skal gøre det? (ansvar). 
  • Hvor mange ressourcer, der skal bruges hvor og hvornår? 
  • Interne og eksterne afhængigheder. 

Fysiske, logiske og administrative sikringsforanstaltninger indgår også i handlingsplanen. I skal koordinere handlingsplanen med andre igangværende eller planlagte projekter og tage hensyn til eventuelle forestående ændringer i infrastruktur, organisation og forretningsområder. En handlingsplan er et planlægnings- og prioriteringsarbejde, hvor udfordringen er at finde den bedste balance mellem omkostningerne og den sikkerhedsmæssige gevinst. Reglen om, at 80 procent af effekten opnås med 20 procent af indsatsen, gælder også her. I skal finde den mest effektive kombination af forebyggende, opdagende og afhjælpende foranstaltninger.
 
Hvad koster sikkerhed?
Omkostningerne til etablering og drift af sikringsforanstaltningerne sammenholdt med de mulige konsekvenser af brud på sikkerheden og sandsynligheden for, at et brud indtræffer, er afgørende for, hvor stor en risiko organisationens ledelse vil acceptere.
 
I skal derfor estimere, hvad det koster at nedbringe risikoen. Husk at medtage driftsudgifter til løbende at vedligeholde informationssikkerheden. Når I skriver organisationens handlingsplan skal I desuden overveje, om det er hensigtsmæssigt helt eller delvist at outsource aktiviteter. Hvis I vælger at outsource aktiviteter, skal I sikre jer, at der sker den nødvendige overlevering af viden og dokumentation, og at det interne ressourceforbrug bliver opgjort. Husk i den forbindelse på at ansvaret for organisationens informationssikkerhed ikke kan outsources.
 
Ezenta tilbyder rådgivning indenfor både risikovurdering, beredskabsplanlægning, udfærdigelse og implementering af IT sikkerhedspolitikker f.eks. med udgangspunkt i ISO 27000 og 27001.