Click here to load reader
Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
Vejledning i it-risikostyring og -vurdering
Februar 2015
Vejledning i it-risikostyring og -vurdering
Udgivet februar 2015
Udgivet af Digitaliseringsstyrelsen
Publikationen er kun udgivet elektronisk
Henvendelse om publikationen kan i vrigt ske til:
DigitaliseringsstyrelsenLandgreven 41017 Kbenhavn KTlf. 33 92 52 00
Publikationen kan hentes p Digitaliseringsstyrelsens hjemmeside www.digst.dk.
Foto Colourbox
Elektronisk publikationISBN 978-87-93073-09-8
Vejledning i it-risikostyring og -vurdering
1
Indhold
1. Formlet med risikostyring ............................................................................................. 2
2 Risikostyringsprocessen ................................................................................................ 3
3 Risikovurdering .............................................................................................................. 8
Vejledning i it-risikostyring og -vurdering
2
I alle organisationer er brugen af systemer, informationer og data i det hele taget forbundet
med risici i strre eller mindre omfang. Alle risici kan ikke fjernes helt, men det er muligt at
styre dem ved hjlp af en systematisk tilgang til styringen.
Formlet med risikostyring er, at organisationens ledelse kan prioritere ressourcerne i forhold
til, hvor de gr mest gavn. Risikovurderingen gr ledelsen bekendt med de aktuelle risici, s
organisationen ikke udstter sig for strre risici, end hvad der er acceptabelt.
Hvad er risiko?
I ISO27000:2013 betegnes risiko som noget neutralt - effect of uncertainty on objectives eller p
dansk som effekten af usikkerhed p mlstninger. En risiko kan sledes bde vre en god eller
negativ ting - alt efter hvad mlstningen er. Den almindelige forstelse af begrebet p dansk er
dog, at risiko er negativt ladet, alts at noget unsket sker.
Risikoen mles ved at bedmme, hvor stor sandsynlighed der er for, at en trussel vil kunne pvirke
en srbarhed og skabe en risiko, og hvor store konsekvenser det kan have. Konsekvenserne er de
forretningsmssige konsekvenser, dvs. hvilken betydning det vil have for organisationen og dens
mlstninger. Sandsynligheden tager udgangspunkt i de trusler og srbarheder, som findes.
De fleste organisationer benytter i forvejen risikostyring som et vrktj til at styre organisa-
tionen i den rigtige retning. For eksempel vil der typisk vre en strategisk risikostyring, hvor
de forretningsmssige ml tilpasses.
Risici i relation til brud p fortrolighed, integritet og tilgngelighed af data og systemer skal
styres som en del af organisationens ledelsessystem for informationssikkerhed (ISMS). Do-
kumentationen og styringen af dette arbejde klarer nogen organisationer fint i Excel, mens
andre har kbt mlrettede systemer. Det mest hensigtsmssige vil i mange tilflde vre at
integrere informationssikkerhedsstyringen med den vrige risikostyring. En samlet risikosty-
ringsproces og rapportering vil give et mere overskueligt og fyldestgrende risikobillede.
1. Formlet med risikostyring
Nyt kapitel
Vejledning i it-risikostyring og -vurdering
3
I ISO27005 beskrives forslag til arbejdet med it-risikovurderinger. Standarden tager ud-
gangspunkt i en generisk tilgang til risikostyring, som bygger p ISO31000. Denne tilgang
kan anvendes, uanset hvilken type af risici der er tale om. Processen for risikovurdering, som
beskrives i ISO27005, er i overensstemmelse med kravene til risikostyring i ISO27001 og er
udgangspunktet for denne vejledning.
Risikostyringsprocessen, som illustreret i figuren nedenfor, bestr af seks hovedaktiviteter,
hvoraf de tre omhandler risikovurderingen. De seks aktiviteter beskrives kort i det efterfl-
gende. For en mere detaljeret beskrivelse henvises til ISO27005.
Illustration af risikostyringsprocessen
Etablering af kontekst
Risikoidentifikation
Risikoanalyse
Risikoevaluering
Risikohndtering
Risikoaccept
Ris
iko
ko
mm
un
ikat
ion
og
kon
sult
atio
n
Ris
iko
ove
rvg
nin
g o
g re
view
Risikovurdering tilfredsstillende?
JaNej
Risikohndtering tilfredsstillende?
JaNej
Risikovurdering
Kilde: ISO 27005
2. Risikostyringsprocessen Nyt kapitel
Vejledning i it-risikostyring og -vurdering
4
Etablering af kontekst Med etablering af kontekst faststtes rammerne for risikostyringen. Der foretages organisa-
torisk, fysisk og teknisk afgrnsning af risikostyringens omfang, der udpeges roller og res-
sourcer, defineres kriterier for risikotolerance og beskrives en metode for risikovurderingen.
Risikovurdering Risikovurderingen er omdrejningspunktet i risikostyringen. Her identificeres, analyseres og
evalueres risici med udgangspunkt i den definerede kontekst. Resultatet af risikovurderingen
er en liste over risici, som er prioriteret i forhold til de foruddefinerede kriterier. Risikovurde-
ringen er yderligere beskrevet i sidste halvdel af denne vejledning.
Organisationens risici kan med fordel prsenteres grafisk i en illustration som i den neden-
stende matrix, hvor risici placeres efter konsekvens og sandsynlighed.
Risikobilledet i forhold til konsekvens og sandsynlighed
Den mest almindelige fremgangsmde er at tage udgangspunkt i aktiverne og vurdere dem
ud fra den vurderede sandsynlighed og konsekvens. Alternativt kan risikobilledet fx udarbej-
des ved at tage udgangspunkt i de forretningsprocesser, som aktiverne understtter, eller
som risiciene primrt vil have indflydelse p.
Vejledning i it-risikostyring og -vurdering
5
Risikohndtering Der er fire muligheder for at hndtere risici:
1. Acceptr (risikoen accepteres, og der foretages ikke yderligere).
2. Flyt (risikoen overfres til en tredjepart, fx ved hjlp af forsikring, outsourcing eller lig-
nende).
3. Undg (risikoen undgs ved at stoppe eller ndre den aktivitet, som er rsag til risiko-
en).
4. Kontroller (risikoen kontrolleres ved at indfre foranstaltninger, som fjerner eller reduce-
rer sandsynligheden eller konsekvenserne).
Som en del af risikohndteringen udarbejdes en plan for, hvordan de identificerede risici skal
hndteres. Nr der udvlges kontroller til reducering af risici, skal det ske ud fra en
cost/benefit-vurdering, s kontrollernes effekt p risikoen vurderes i forhold til omkostninger-
ne.
I forlngelse af risikohndteringsplanen br organisationen opdatere SoA-dokumentet. SoA-
dokumentet skal bl.a. indeholde en beskrivelse af de kontroller, som organisationen har valgt
at implementere. SoA-dokumentet br derfor altid opdateres, nr der er gennemfrt en risi-
kovurdering og taget beslutning om at ndre p kontrollerne.
I Vejledningen til SoA-dokumentet kan der findes mere information om, hvordan det udarbej-
des og vedligeholdes.
Kontroller Formlet med implementering af kontroller er at reducere risikoen. I ISO27000:2013 er en
kontrol defineret som en foranstaltning, som ndrer risikoen. Kontroller omfatter enhver pro-
ces, politik, plan, praksis eller andre handlinger, som ndrer risikoen.
Kontrollerne kan udfres manuelt eller automatisk.
Risikoaccept Risikoaccepten br altid foretages af den verste ledelse. Risikohndteringsplanen kan i
praksis benyttes som en anbefaling/indstilling fra informationssikkerhedsudvalget til ledelsen.
Her anfres det, hvilke tiltag, som br indfres, og hvilke risici, som br accepteres med ud-
gangspunkt i de fastsatte kriterier for risikotolerance.
Selvom risici kontrolleres ved at indfre yderligere kontroller, vil der i de fleste tilflde altid
vre en restrisiko. Det er vigtigt, at der i risikohndteringsplanen foretages en vurdering af de
valgte kontrollers effekt p risikoen, og at den tilbagevrende risiko vurderes og beskrives.
Vejledning i it-risikostyring og -vurdering
6
Opflgning p risici Der br lbende foretages opflgning p risici. Dels br det sikres, at de kontroller og tiltag,
der indfres som en del af risikohndteringen rent faktisk ogs bliver implementeret og fun-
gerer efter hensigten. Dels br der lbende flges op p de forudstninger, som ligger til
grund for risikovurderingen. Aktiver, trusler, srbarheder og konsekvenser kan hurtigt ndres
og medfrer tilsvarende ndringer i risikobilledet. Organisationens risikostyring br derfor
sikre, at der p en struktureret mde foretages en lbende opflgning p risici.
Kommunikation om risici Risikostyring er en tvrorganisatorisk proces, og der indgr mange interessenter med for-
skellige opgaver og ansvarsomrder. Kommunikation er derfor en central del af risikostyrin-
gen.
Typisk vil det vre informationssikkerhedsudvalget og sikkerhedskoordinatoren, som har det
praktiske ansvar for risikovurderingen, mens linjeledelsen har ansvaret for risici inden for eget
omrde. For at sikre en flles opfattelse og tilgang til risikovurderingen, br kommunika-
tionen planlgges, s der er en ensartet tilgang og flles forstelse af processen.
Risikostyring er en proces Styring af risici er en lbende proces. Nr der foretages en risikovurdering, er der tale om et
jebliksbillede af situationen p det tidspunkt, hvor vurderingen udarbejdes. Men bde orga-
nisationen, informationsaktiverne, trusler, srbarheder mv. ndres konstant.
Hvem har ansvaret for risikovurderingen?
Organisationens verste ledelse har ansvar for at vre orienteret om risikobilledet og trffe de nd-
vendige beslutninger for at nedbringe risici til et acceptabelt niveau. Dette ansvar omfatter ogs de
operationelle risici, som opstr ved brug af informationssystemer.
Typisk vil ansvaret blive varetaget af informationssikkerhedsudvalget, som s foretager periodisk
rapportering til den verste ledelse.
Flgende roller har ligeledes opgaver i relation til risikostyringen:
Systemejer skal sikre styring af risici i relation til det enkelte it-system.
Dataejer skal sikre styring af risici i relation til data.
Ejere af fysiske aktiver skal sikre styring af risici relateret til disse.
Der skal derfor gennemfres periodiske risikovurderinger, dels for at flge op p risici og de
tiltag, som implementeres, og dels for at flge op p selve risikostyringsprocessen og de
overordnede rammer og principper, som ligger til grund herfor.
Vejledning i it-risikostyring og -vurdering
7
I figuren nedenfor er de forskellige aktiviteter i risikostyringsprocessen illustreret i plan-do-
check-act-modellen.
Risikovurdering sat ind i plan-do-check-act-modellen
PLAN
Risikovurdering
Risikohndteringsplan
Risikoaccept
CHECK
Opflgning p risici
ACT
Vedligeholde og forbedre
risikostyringsprocessen
DO
Implementere
Risikohndteringsplan
PLAN
Risikovurdering
Risikohndteringsplan
Risikoaccept
CHECK
Opflgning p risici
ACT
Vedligeholde og forbedre
risikostyringsprocessen
DO
Implementere
Risikohndteringsplan
Vejledning i it-risikostyring og -vurdering
8
Risikovurderingen er fundamentet for risikostyringsprocessen. Det er her, at risici skal
identificeres og beskrives (risikoidentifikation)
analyseres og mles (risikoanalyse)
evalueres i forhold til risikotolerancen (risikoevaluering).
Risikovurdering krver proces Risikovurderingen br altid foretages ud fra en fastlagt proces. De enkelte aktiviteter i risiko-
vurderingen er uddybet nedenfor. Der er intet metodekrav i ISO27001 til, hvordan risikovur-
deringen gennemfres. Valg af metode kan bl.a. afhnge af organisationens strrelse og
kompleksitet. Dog skal der altid gennemfres en vurdering af risikoen for tab af fortrolighed,
integritet og tilgngelighed. Hvordan risikovurderingen i praksis udfres skal fremg af en
proces- og metodebeskrivelse, s risikovurderingen bliver systematisk og resultaterne sam-
menlignelige. Flere af aktiviteterne vil med fordel kunne udfres samtidigt. For eksempel vil
mange risici bde kunne identificeres og analyseres af de samme personer.
Identifikationen af risici br vre s omfattende som muligt. Det er bedre at inkludere for
meget end at afgrnse sig fra potentielle risici. Desuden br alle risici inkluderes, uanset om
organisationen har indflydelse p dem eller ej.
Processer Nr risici skal identificeres, kan der med fordel tages udgangspunkt i organisationens forret-
ningsprocesser. Ved at gennemg processerne opns et overblik over, hvilke aktiver, der un-
dersttter processerne og deres betydning herfor. Samtidig er det muligt at identificere sam-
menhng og afhngigheder mellem aktiverne, som i sidste ende kan have stor betydning
for risikoen. Et aktiv kan fx anvendes af flere forretningsprocesser til forskellige forml og
med forskellige konsekvenser, hvis der sker en hndelse.
Overblik og kendskab til processerne er en forudstning for at vurdere konsekvenserne for
organisationen ved potentielle sikkerhedshndelser. Hvis hndelser har forskellige konse-
kvenser for forretningsprocesserne, skal der altid tages udgangspunkt i den mest alvorlige.
Aktiver Risikoidentifikationen br tage udgangspunkt i de aktiver, som er omfattet af organisationens
informationssikkerhedsarbejde. Aktiverne br identificeres p et passende niveau i forhold til
organisationens strrelse og det nskede detaljeringsniveau af risikovurderingen. I mange til-
flde kan aktiverne grupperes p en mde, hvor antallet begrnses, mens det stadig er mu-
ligt at knytte specifikke trusler til dem. For eksempel kan routere, switche, firewalls mv. grup-
peres som netvrksudstyr eller infrastruktur.
3. Risikovurdering Nyt kapitel
Vejledning i it-risikostyring og -vurdering
9
Risikovurderingen br ikke kun omfatte it-systemer men alle de aktiver, som indgr i et infor-
mationssystem. Det inkluderer ogs fysiske aktiver som fx papirarkiver, medarbejdere, imma-
terielle aktiver mv. Aktiverne kan med fordel grupperes efter deres type for at lette identifika-
tionen, eftersom der ofte vil vre en sammenhng med de relevante trusler. I ISO27001 er
der intet krav om, at risikovurderingen skal tage sit afst i aktiverne, men hvis organisationen
har god erfaring med det, er det naturligvis en god id at fortstte. Ellers kan risikovurderin-
gen g p tvrs af organisationen og tage sit afst i forretningsprocesserne.
Trusler Identifikationen af relevante trusler er afgrende for, at man ikke overser risici. Derfor br
trusselsvurderingen ske p en systematisk mde. Ved at tage udgangspunkt i et katalog over
mulige trusler kan organisationen pejle sig ind p de trusler, der er relevante for de enkelte
aktiver. Der findes meget omfattende trusselskataloger, som indeholder enhver tnkelig si-
tuation, men man kan ogs anvende mere generiske kataloger.
ISO27005:2011 Risikoledelse
Iflge National strategi for cyber- og informationssikkerhed er det endvidere et krav, at cyber-
trusler indgr i myndighedernes risikovurderinger og risikoledelse fra 2015. I ISO27005 i an-
neks C beskrives et eksempel p mulige trusler. Disse trusler er opdelt i nogle hovedgrupper,
som vist i figuren ovenfor. Der kan ogs ses p de trusselsvurderinger, som lbende udar-
bejdes af GovCERT1 og vrige myndigheder og organisationer p omrdet.
1 GovCERT er i dag en del af netsikkerhedstjenesten, der forebygger og imdegr avancerede cyberangreb ret-
tet mod tilsluttede myndigheder og virksomheder. Netsikkerhedstjenesten medvirker til, at der i staten er overblik
over avancerede cyberangreb rettet mod brugerkredsen. GovCERT er placeret hos Center for Cybersikkerhed.
Vejledning i it-risikostyring og -vurdering
10
Srbarheder En trussel krver en srbarhed for at kunne resultere i en risiko og omvendt. Srbarheder
kan opst i mange forskellige sammenhng. Det kan for eksempel vre en procedure eller
arbejdsgang, som ikke fungerer efter hensigten eller en teknisk opstning, som gr it-
systemerne bne for angreb. En god mde at f afdkket srbarhederne p er ved at gen-
nemg de implementerede kontroller og vurdere deres effektivitet. Her kan igen tages ud-
gangspunkt i SoA-dokumentet, hvis det er udarbejdet.
Risikoanalyse Den sidste del af risikoidentifikationen er en identifikation af de konsekvenser, som et tab af
fortrolighed, integritet eller tilgngelighed for aktiverne vil medfre. Det er vigtigt at tage ud-
gangspunkt i de forretningsmssige konsekvenser, dvs. hvilken betydning det vil have for
organisationen som helhed og ikke kun for et afgrnset omrde. Konsekvenserne kan opde-
les i forskellige typer. Det kan vre direkte konomiske tab, ressourceforbrug,
tid/forsinkelser, tab af omdmme, politiske konsekvenser mv.
Begreberne sandsynlighed, konsekvens og eksempler p maksimalt acceptabel nedetid er
beskrevet i skemaerne p de nste sider. Disse termer anvendes til beskrivelse af sandsyn-
lighed og konsekvens for risici samt klassifikation af systemer under vurderingen.
Tabel med beskrivelse af sandsynlighed
Sandsynlighed Eksempelbeskrivelse
Usandsynligt
Det anses for nsten udelukket, at hndelsen nogensinde kan fore-komme - Ingen erfaring med hndelsen - Kendes kun fra f andre offentlige og private virksomheder, men
ikke i Danmark
Mindre sandsynligt
Hndelsen forventes ikke at komme - Ingen erfaring med hndelsen - Kendes kun fra f andre offentlige og private virksomheder, men
ikke i Danmark
Sandsynligt
Det er sandsynligt at hndelsen vil forekomme - Man har erfaring med hndelsen, men ikke inden for de sidste 12
mneder - Kendes fra andre offentlige og private virksomheder i Danmark
(omtales rligt i pressen)
Forventet
Det ventes at hndelsen vil forekomme - Man har erfaring med hndelsen inden for de sidste 12 mneder - Hnder jvnligt i andre offentlige og private virksomheder (omta-
les ofte i pressen)
Vejledning i it-risikostyring og -vurdering
11
Tabel med konsekvensskala og konsekvenstyper
Konsekvensskala
Konsekvenstype og konsekvensbeskrivelse
Ubetydelig (uvsentlig)
Mindre alvorlig (generende)
Meget alvorlig (kritisk)
Graverende/ delggende (uacceptabelt)
Strategisk Medfrer indskrnkninger i evnen til at handle i en periode
Ingen srlig pvirkning
Planlagte aktivite-ter kan gennem-fres med mindre justeringer
Medfrer revurdering af vigtige aktiviteter p kort sigt
Bliver ude af stand til at gennemfre vigtige aktiviteter, som er planlagt i en periode fremover
konomisk Medfrer meromkostnin-ger eller tab
Ingen srlig p-virkning
Meromkostninger og tab i begrn-set niveau, som kan krve mindre budgetndringer
Store konomiske tab med risiko for at blive sat under administrati-on
Vsentlige konomi-ske tab. Bliver sat un-der administration
Administrativ/ procesmssig Medfrer administrative belastninger
Hndteres uden srligt ressource-trk i de admini-strative funktioner
Hndteres inden for rimeligt ekstra administrativt res-sourcetrk
Der m trkkes v-sentligt p eksisterende og nye administrative ressourcer
Administrative res-sourcer m udvides urealistisk
Omdmme
Pvirker omdmme i un-sket retning
Ingen srlig p-virkning
Forbigende op-mrksomhed fra enkelte grupper
Offentligheden fatter generel negativ inte-resse, som kan medf-re begrnset tab af kunder
Vsentlig skade p omdmme. Ministeren m g af
Politisk/strategisk
Medfrer indskrnkninger i evnen til at handle i en periode
Ingen srlig p-virkning
Planlagte aktivite-ter kan gennem-fres med mindre justeringer
Medfrer revurdering af vigtige aktiviteter p kort sigt
Ledelsen m g af. Bliver ude af stand til at gennemfre vigtige aktiviteter, som er planlagt i en periode fremover
Forhold til interessenter Pvirker forholdet til inte-ressenter
Ingen srlig p-virkning
Forringet samar-bejde med inte-ressenter i en-keltsager
Generelt forringet sam-arbejde med interes-senter
Vsentligt nedbrud i det generelle samar-bejde med interessen-ter
Menneskelige Medfrer konsekvenser for det enkelte individ
Ingen srlig p-virkning
Den enkelte ud-sttes for gener, men ikke noget alvorligt
Alvorlig personskade Menneskeliv str p spil
Privacy Medfrer brud p privatli-vets red (privacy)
Ingen srlig p-virkning
Der er formelle mangler i de op-lysninger, der gi-ves den enkelte, men ikke i grave-rende grad
Den enkelte fratages rderetten over egne data. Ikke-flsomme data videregives uret-mssigt
Den enkelte udsttes for uacceptable krn-kelser af privatlivet. Der trffes bebyrden-de afgrelser mod den enkelte p et forkert grundlag. Flsomme data videregives uret-mssigt
Brud p lovgivningen
Medfrer brud p lovgiv-ning, f.eks. forvaltningslov og straffelov
Ingen srlig p-virkning
Manglende over-holdelse af admi-nistrative proce-durer og regler, som ikke er af kri-tisk karakter
Lovbrud, der er kritiske og kan stille ministeriet i miskredit
Kritisk lovgivning, f.eks. straffeloven bry-des. Ministeren m g af
Vejledning i it-risikostyring og -vurdering
12
Tabel med beskrivelse af acceptabel nedetid
Acceptabel nedetid Beskrivelse
Under 4 timer Manglende tilgngelighed vil vre tidskritisk nsten med det samme.
4 8 timer Manglende tilgngelighed m helst ikke vare mere end en enkelt ar-bejdsdag.
2 dage Et par dages utilgngelighed er det maksimalt tilladelige.
Under en uge Manglende tilgngelighed m vare mere end et par dage men helst ikke en hel arbejdsuge.
Mere end en uge Manglende tilgngelighed m vare mere end en uge.
Der findes flere hjlpevrktjer, som kan bruges til at lette arbejdet med at registrere og be-
skrive risici.
Nedenfor er vist et eksempel p et ark til opsamling af risici og dokumentation af vurderingen
af konsekvens og sandsynlighed.
Eksempel p Excel-ark til registrering af risici
Eksempel p Excel-ark til registrering af risici
Aktiv navn Aktiv kategori Trusler Srbarheder Sandsynlighed Konsekvens Konsekvenstype Vgtning Forklaring Risiko
System A It-systemer
Scenarie 1:
Tekniske fejl -
Softwarefejl
Software:
Utilstrkkelig test Sandsynligt (3) Generende (2) Administrativ 1 .. Middel
Krydsfelt It-infrastruktur
Scenarie 5:
fysisk skade -
delggelse
Hardware: Udsat
placering Sandsynligt (3) Kritisk (3) Administrativ 1,5 .. Hj
I forlngelse af vurderingen af konsekvenserne kan man med fordel samtidig opdatere in-
formationsaktivets klassifikation og kritikalitet. Disse oplysninger anvendes i flere sammen-
hnge til at bestemme, hvilke kontroller, beredskabsniveau mv., som aktivet skal have.
Klassifikationen er en vurdering af, hvor flsomme informationerne er, og hvilke krav der er til
fortroligheden. Der anvendes ofte 3-5 forskellige niveauer, fx offentligt, internt, fortroligt mv.
Vejledning i it-risikostyring og -vurdering
13
Kritikaliteten bruges oftest som betegnelse for, hvor vigtig tilgngeligheden (og eventuelt in-
tegriteten) er for aktivet. Det er vigtigt, at systemerne kategoriseres korrekt i forhold til beho-
vet for tilgngelighed.
Kategorisering af systemkritikalitet
A. Korte systemafbrud (timer) vil medfre katastrofale flgevirkninger for forretningen som flge af v-
sentlige og uoprettelige svigt i mlopfyldelse eller brud p love eller aftaler.
B. Langvarige afbrud (dage) vil medfre katastrofale flgevirkninger for forretningen som flge af v-
sentlige og uoprettelige svigt i mlopfyldelse eller brud p love og aftaler.
C. Afbrud vil medfre vsentlig ulempe, men vil ikke i vsentlig grad hindre mlopfyldelse eller fre til
brud p love eller aftaler.
D. Afbrud medfrer mindre ulemper og begrnsede tab eller omkostninger.
Formlet med risikoanalysen er at mle strrelsen af de identificerede risici i form af sand-
synligheden og konsekvensen. Overordnet set kan dette gres p to forskellige mder, kvan-
titativt eller kvalitativt.
Med en kvantitativ fremgangsmde anvendes numeriske vrdier som for eksempel procen-
ter eller kroner og re. Det kan vre meget omfattende at udfre en kvantitativ analyse, og
det vil ofte vre svrt at stte tal p de indirekte konsekvenser ssom tab af omdmme. En
mde at gribe det an p kan vre ved at sprge, hvor meget man er villig til at betale for at
undg en bestemt hndelse.
De kvalitative metoder definerer skalaer med et vist antal trin. Herefter rangordner og indpla-
cerer man hndelser inden for disse trin. En sdan metode er relativ hurtig at anvende, om
end det vil vre svrt at placere en konkret indeksering p en skala. Brug af kvalitative vur-
deringer til at indplacere hndelser er i sagens natur ikke prcise. Erfaringen viser imidler-
tid, at denne metode ofte giver et kvalificeret bidrag til at afdkke de ndvendige indsatsom-
rder.
I praksis kan organisationen med fordel benytte en kombination af kvalitative og kvantitative
metoder i risikovurderingsprocessen. Eksempelvis kan der indledes med en kvalitativ vurde-
ring af konsekvenser. Denne kan efterflgende underbygges kvantitativt for at beslutte, om
der i konkrete tilflde skal indfres skrpede kontroller.
Risikoevaluering Det sidste skridt i risikovurderingen er evalueringen af de fundne risici i forhold til de kriterier,
som er fastlagt af ledelsen. Der foretages en prioritering af risici, fx ved indplacering i en ska-
la eller risikobillede, som illustreret p side 4. Et risikobillede er et simpelt og effektivt vrktj
til at formidle risici i organisationen.
Kontroller De eksisterende kontroller br gennemgs og vurderes i forhold til deres effektivitet. Dette er
ndvendigt for at kunne identificere eventuelle srbarheder, der skal hndteres. Gennem-
Vejledning i it-risikostyring og -vurdering
14
gangen af kontrollerne er ogs en forudstning, hvis man nsker at dokumentere effekten
heraf, ved at vurdere risikoen bde fr og efter en kontrol er implementeret.
Hvis der er udarbejdet et SoA-dokument, som beskriver de indfrte kontroller, kan der med
fordel tages udgangspunkt heri.
Ledelsesforankring Risikovurderingen er den aktivitet, som ved involvering af ledelsen kan skabe grundlaget for
ledelsesforankring.
Ved at initiere en debat og vurdering af organisationens risikobillede og -profil vil det samlede
sikkerhedsarbejde og indsatserne blive synlige for ledelsen. Samtidig kan det knyttes til en
prioritering af de ndvendige, fremtidige indsatser.
Leverandrstyring Den gennemfrte it-risikovurdering vil give et samlet risikobillede, og der vil vre taget stilling
til eventuelle handlinger med henblik p at mindske risici gennem implementering af yderlige-
re kontroller. Anvendes ekstern leverandr til drift af systemer og data, er det vigtigt, at leve-
randren informeres om resultatet af risikovurderingen, s systemer og data beskyttes i
overensstemmelse med den accepterede restrisiko.
Informationen til leverandren kan derfor indeholde flgende:
Samlet oversigt over risikobilledet for systemer, der er driftet hos leverandren.
Krav til tilgngelighed for de enkelte systemer, herunder til oppetider og maksimal ac-
ceptabel nedetid.
Krav til fortrolighed vurdering af korrekt beskyttelse af data bde i forhold til fortrolig-
hed generelt og i forhold til karakteren af personoplysninger som fx adgangsstyring og
kryptering.
Krav i forbindelse med tab af data.
Krav til srlige kontroller som fx fysisk sikkerhed, adgangsstyring, driftsprocedurer, ud-
vikling og vedligeholdelse, logning, rapportering, backup og restore.
Leverancer fra eksterne leverandrer skal sikres gennem kundeaftaler. Ved srlige sikker-
hedskrav, herunder hndtering af personoplysninger, skal der indgs en databehandleraftale.
Vejledning i it-risikostyring og -vurdering
Marts 2013
Vejledning i it-risikostyring og -vurdering
Marts 2013
Vejledning i it-risikostyring og -vurdering
Marts 2013
Vejledning i it-risikostyring og -vurdering
Februar 2015
Omslag - Risikostyring og -vurderingKolofon og titelblade_Risikostyring og -vurderinigVejledning - it-risikostyring og -vurdering_endelig