Vejledning i it-risikostyring og -vurdering · operationelle risici, som opstår ved brug af informationssystemer. Typisk vil ansvaret blive varetaget af informationssikkerhedsudvalget,

Vejledning i it-risikostyring og -vurdering

Februar 2015


Udgivet februar 2015

Udgivet af Digitaliseringsstyrelsen

Publikationen er kun udgivet elektronisk

Henvendelse om publikationen kan i vrigt ske til:

DigitaliseringsstyrelsenLandgreven 41017 Kbenhavn KTlf. 33 92 52 00

Publikationen kan hentes p Digitaliseringsstyrelsens hjemmeside www.digst.dk.

Foto Colourbox

Elektronisk publikationISBN 978-87-93073-09-8


1

Indhold

1. Formlet med risikostyring ............................................................................................. 2

2 Risikostyringsprocessen ................................................................................................ 3

3 Risikovurdering .............................................................................................................. 8


2

I alle organisationer er brugen af systemer, informationer og data i det hele taget forbundet

med risici i strre eller mindre omfang. Alle risici kan ikke fjernes helt, men det er muligt at

styre dem ved hjlp af en systematisk tilgang til styringen.

Formlet med risikostyring er, at organisationens ledelse kan prioritere ressourcerne i forhold

til, hvor de gr mest gavn. Risikovurderingen gr ledelsen bekendt med de aktuelle risici, s

organisationen ikke udstter sig for strre risici, end hvad der er acceptabelt.

Hvad er risiko?

I ISO27000:2013 betegnes risiko som noget neutralt - effect of uncertainty on objectives eller p

dansk som effekten af usikkerhed p mlstninger. En risiko kan sledes bde vre en god eller

negativ ting - alt efter hvad mlstningen er. Den almindelige forstelse af begrebet p dansk er

dog, at risiko er negativt ladet, alts at noget unsket sker.

Risikoen mles ved at bedmme, hvor stor sandsynlighed der er for, at en trussel vil kunne pvirke

en srbarhed og skabe en risiko, og hvor store konsekvenser det kan have. Konsekvenserne er de

forretningsmssige konsekvenser, dvs. hvilken betydning det vil have for organisationen og dens

mlstninger. Sandsynligheden tager udgangspunkt i de trusler og srbarheder, som findes.

De fleste organisationer benytter i forvejen risikostyring som et vrktj til at styre organisa-

tionen i den rigtige retning. For eksempel vil der typisk vre en strategisk risikostyring, hvor

de forretningsmssige ml tilpasses.

Risici i relation til brud p fortrolighed, integritet og tilgngelighed af data og systemer skal

styres som en del af organisationens ledelsessystem for informationssikkerhed (ISMS). Do-

kumentationen og styringen af dette arbejde klarer nogen organisationer fint i Excel, mens

andre har kbt mlrettede systemer. Det mest hensigtsmssige vil i mange tilflde vre at

integrere informationssikkerhedsstyringen med den vrige risikostyring. En samlet risikosty-

ringsproces og rapportering vil give et mere overskueligt og fyldestgrende risikobillede.

1. Formlet med risikostyring

Nyt kapitel


3

I ISO27005 beskrives forslag til arbejdet med it-risikovurderinger. Standarden tager ud-

gangspunkt i en generisk tilgang til risikostyring, som bygger p ISO31000. Denne tilgang

kan anvendes, uanset hvilken type af risici der er tale om. Processen for risikovurdering, som

beskrives i ISO27005, er i overensstemmelse med kravene til risikostyring i ISO27001 og er

udgangspunktet for denne vejledning.

Risikostyringsprocessen, som illustreret i figuren nedenfor, bestr af seks hovedaktiviteter,

hvoraf de tre omhandler risikovurderingen. De seks aktiviteter beskrives kort i det efterfl-

gende. For en mere detaljeret beskrivelse henvises til ISO27005.

Illustration af risikostyringsprocessen

Etablering af kontekst

Risikoidentifikation

Risikoanalyse

Risikoevaluering

Risikohndtering

Risikoaccept

Ris

iko

ko

mm

un

ikat

ion

og

kon

sult

atio

n

Ris

iko

ove

rvg

nin

g o

g re

view

Risikovurdering tilfredsstillende?

JaNej

Risikohndtering tilfredsstillende?

JaNej

Risikovurdering

Kilde: ISO 27005

2. Risikostyringsprocessen Nyt kapitel


4

Etablering af kontekst Med etablering af kontekst faststtes rammerne for risikostyringen. Der foretages organisa-

torisk, fysisk og teknisk afgrnsning af risikostyringens omfang, der udpeges roller og res-

sourcer, defineres kriterier for risikotolerance og beskrives en metode for risikovurderingen.

Risikovurdering Risikovurderingen er omdrejningspunktet i risikostyringen. Her identificeres, analyseres og

evalueres risici med udgangspunkt i den definerede kontekst. Resultatet af risikovurderingen

er en liste over risici, som er prioriteret i forhold til de foruddefinerede kriterier. Risikovurde-

ringen er yderligere beskrevet i sidste halvdel af denne vejledning.

Organisationens risici kan med fordel prsenteres grafisk i en illustration som i den neden-

stende matrix, hvor risici placeres efter konsekvens og sandsynlighed.

Risikobilledet i forhold til konsekvens og sandsynlighed

Den mest almindelige fremgangsmde er at tage udgangspunkt i aktiverne og vurdere dem

ud fra den vurderede sandsynlighed og konsekvens. Alternativt kan risikobilledet fx udarbej-

des ved at tage udgangspunkt i de forretningsprocesser, som aktiverne understtter, eller

som risiciene primrt vil have indflydelse p.


5

Risikohndtering Der er fire muligheder for at hndtere risici:

1. Acceptr (risikoen accepteres, og der foretages ikke yderligere).

2. Flyt (risikoen overfres til en tredjepart, fx ved hjlp af forsikring, outsourcing eller lig-

nende).

3. Undg (risikoen undgs ved at stoppe eller ndre den aktivitet, som er rsag til risiko-

en).

4. Kontroller (risikoen kontrolleres ved at indfre foranstaltninger, som fjerner eller reduce-

rer sandsynligheden eller konsekvenserne).

Som en del af risikohndteringen udarbejdes en plan for, hvordan de identificerede risici skal

hndteres. Nr der udvlges kontroller til reducering af risici, skal det ske ud fra en

cost/benefit-vurdering, s kontrollernes effekt p risikoen vurderes i forhold til omkostninger-

ne.

I forlngelse af risikohndteringsplanen br organisationen opdatere SoA-dokumentet. SoA-

dokumentet skal bl.a. indeholde en beskrivelse af de kontroller, som organisationen har valgt

at implementere. SoA-dokumentet br derfor altid opdateres, nr der er gennemfrt en risi-

kovurdering og taget beslutning om at ndre p kontrollerne.

I Vejledningen til SoA-dokumentet kan der findes mere information om, hvordan det udarbej-

des og vedligeholdes.

Kontroller Formlet med implementering af kontroller er at reducere risikoen. I ISO27000:2013 er en

kontrol defineret som en foranstaltning, som ndrer risikoen. Kontroller omfatter enhver pro-

ces, politik, plan, praksis eller andre handlinger, som ndrer risikoen.

Kontrollerne kan udfres manuelt eller automatisk.

Risikoaccept Risikoaccepten br altid foretages af den verste ledelse. Risikohndteringsplanen kan i

praksis benyttes som en anbefaling/indstilling fra informationssikkerhedsudvalget til ledelsen.

Her anfres det, hvilke tiltag, som br indfres, og hvilke risici, som br accepteres med ud-

gangspunkt i de fastsatte kriterier for risikotolerance.

Selvom risici kontrolleres ved at indfre yderligere kontroller, vil der i de fleste tilflde altid

vre en restrisiko. Det er vigtigt, at der i risikohndteringsplanen foretages en vurdering af de

valgte kontrollers effekt p risikoen, og at den tilbagevrende risiko vurderes og beskrives.


6

Opflgning p risici Der br lbende foretages opflgning p risici. Dels br det sikres, at de kontroller og tiltag,

der indfres som en del af risikohndteringen rent faktisk ogs bliver implementeret og fun-

gerer efter hensigten. Dels br der lbende flges op p de forudstninger, som ligger til

grund for risikovurderingen. Aktiver, trusler, srbarheder og konsekvenser kan hurtigt ndres

og medfrer tilsvarende ndringer i risikobilledet. Organisationens risikostyring br derfor

sikre, at der p en struktureret mde foretages en lbende opflgning p risici.

Kommunikation om risici Risikostyring er en tvrorganisatorisk proces, og der indgr mange interessenter med for-

skellige opgaver og ansvarsomrder. Kommunikation er derfor en central del af risikostyrin-

gen.

Typisk vil det vre informationssikkerhedsudvalget og sikkerhedskoordinatoren, som har det

praktiske ansvar for risikovurderingen, mens linjeledelsen har ansvaret for risici inden for eget

omrde. For at sikre en flles opfattelse og tilgang til risikovurderingen, br kommunika-

tionen planlgges, s der er en ensartet tilgang og flles forstelse af processen.

Risikostyring er en proces Styring af risici er en lbende proces. Nr der foretages en risikovurdering, er der tale om et

jebliksbillede af situationen p det tidspunkt, hvor vurderingen udarbejdes. Men bde orga-

nisationen, informationsaktiverne, trusler, srbarheder mv. ndres konstant.

Hvem har ansvaret for risikovurderingen?

Organisationens verste ledelse har ansvar for at vre orienteret om risikobilledet og trffe de nd-

vendige beslutninger for at nedbringe risici til et acceptabelt niveau. Dette ansvar omfatter ogs de

operationelle risici, som opstr ved brug af informationssystemer.

Typisk vil ansvaret blive varetaget af informationssikkerhedsudvalget, som s foretager periodisk

rapportering til den verste ledelse.

Flgende roller har ligeledes opgaver i relation til risikostyringen:

Systemejer skal sikre styring af risici i relation til det enkelte it-system.

Dataejer skal sikre styring af risici i relation til data.

Ejere af fysiske aktiver skal sikre styring af risici relateret til disse.

Der skal derfor gennemfres periodiske risikovurderinger, dels for at flge op p risici og de

tiltag, som implementeres, og dels for at flge op p selve risikostyringsprocessen og de

overordnede rammer og principper, som ligger til grund herfor.


7

I figuren nedenfor er de forskellige aktiviteter i risikostyringsprocessen illustreret i plan-do-

check-act-modellen.

Risikovurdering sat ind i plan-do-check-act-modellen

PLAN

Risikovurdering

Risikohndteringsplan

Risikoaccept

CHECK

Opflgning p risici

ACT

Vedligeholde og forbedre

risikostyringsprocessen

DO

Implementere


PLAN

Risikovurdering


Risikoaccept

CHECK

Opflgning p risici

ACT

Vedligeholde og forbedre

risikostyringsprocessen

DO

Implementere



8

Risikovurderingen er fundamentet for risikostyringsprocessen. Det er her, at risici skal

identificeres og beskrives (risikoidentifikation)

analyseres og mles (risikoanalyse)

evalueres i forhold til risikotolerancen (risikoevaluering).

Risikovurdering krver proces Risikovurderingen br altid foretages ud fra en fastlagt proces. De enkelte aktiviteter i risiko-

vurderingen er uddybet nedenfor. Der er intet metodekrav i ISO27001 til, hvordan risikovur-

deringen gennemfres. Valg af metode kan bl.a. afhnge af organisationens strrelse og

kompleksitet. Dog skal der altid gennemfres en vurdering af risikoen for tab af fortrolighed,

integritet og tilgngelighed. Hvordan risikovurderingen i praksis udfres skal fremg af en

proces- og metodebeskrivelse, s risikovurderingen bliver systematisk og resultaterne sam-

menlignelige. Flere af aktiviteterne vil med fordel kunne udfres samtidigt. For eksempel vil

mange risici bde kunne identificeres og analyseres af de samme personer.

Identifikationen af risici br vre s omfattende som muligt. Det er bedre at inkludere for

meget end at afgrnse sig fra potentielle risici. Desuden br alle risici inkluderes, uanset om

organisationen har indflydelse p dem eller ej.

Processer Nr risici skal identificeres, kan der med fordel tages udgangspunkt i organisationens forret-

ningsprocesser. Ved at gennemg processerne opns et overblik over, hvilke aktiver, der un-

dersttter processerne og deres betydning herfor. Samtidig er det muligt at identificere sam-

menhng og afhngigheder mellem aktiverne, som i sidste ende kan have stor betydning

for risikoen. Et aktiv kan fx anvendes af flere forretningsprocesser til forskellige forml og

med forskellige konsekvenser, hvis der sker en hndelse.

Overblik og kendskab til processerne er en forudstning for at vurdere konsekvenserne for

organisationen ved potentielle sikkerhedshndelser. Hvis hndelser har forskellige konse-

kvenser for forretningsprocesserne, skal der altid tages udgangspunkt i den mest alvorlige.

Aktiver Risikoidentifikationen br tage udgangspunkt i de aktiver, som er omfattet af organisationens

informationssikkerhedsarbejde. Aktiverne br identificeres p et passende niveau i forhold til

organisationens strrelse og det nskede detaljeringsniveau af risikovurderingen. I mange til-

flde kan aktiverne grupperes p en mde, hvor antallet begrnses, mens det stadig er mu-

ligt at knytte specifikke trusler til dem. For eksempel kan routere, switche, firewalls mv. grup-

peres som netvrksudstyr eller infrastruktur.

3. Risikovurdering Nyt kapitel


9

Risikovurderingen br ikke kun omfatte it-systemer men alle de aktiver, som indgr i et infor-

mationssystem. Det inkluderer ogs fysiske aktiver som fx papirarkiver, medarbejdere, imma-

terielle aktiver mv. Aktiverne kan med fordel grupperes efter deres type for at lette identifika-

tionen, eftersom der ofte vil vre en sammenhng med de relevante trusler. I ISO27001 er

der intet krav om, at risikovurderingen skal tage sit afst i aktiverne, men hvis organisationen

har god erfaring med det, er det naturligvis en god id at fortstte. Ellers kan risikovurderin-

gen g p tvrs af organisationen og tage sit afst i forretningsprocesserne.

Trusler Identifikationen af relevante trusler er afgrende for, at man ikke overser risici. Derfor br

trusselsvurderingen ske p en systematisk mde. Ved at tage udgangspunkt i et katalog over

mulige trusler kan organisationen pejle sig ind p de trusler, der er relevante for de enkelte

aktiver. Der findes meget omfattende trusselskataloger, som indeholder enhver tnkelig si-

tuation, men man kan ogs anvende mere generiske kataloger.

ISO27005:2011 Risikoledelse

Iflge National strategi for cyber- og informationssikkerhed er det endvidere et krav, at cyber-

trusler indgr i myndighedernes risikovurderinger og risikoledelse fra 2015. I ISO27005 i an-

neks C beskrives et eksempel p mulige trusler. Disse trusler er opdelt i nogle hovedgrupper,

som vist i figuren ovenfor. Der kan ogs ses p de trusselsvurderinger, som lbende udar-

bejdes af GovCERT1 og vrige myndigheder og organisationer p omrdet.

1 GovCERT er i dag en del af netsikkerhedstjenesten, der forebygger og imdegr avancerede cyberangreb ret-

tet mod tilsluttede myndigheder og virksomheder. Netsikkerhedstjenesten medvirker til, at der i staten er overblik

over avancerede cyberangreb rettet mod brugerkredsen. GovCERT er placeret hos Center for Cybersikkerhed.


10

Srbarheder En trussel krver en srbarhed for at kunne resultere i en risiko og omvendt. Srbarheder

kan opst i mange forskellige sammenhng. Det kan for eksempel vre en procedure eller

arbejdsgang, som ikke fungerer efter hensigten eller en teknisk opstning, som gr it-

systemerne bne for angreb. En god mde at f afdkket srbarhederne p er ved at gen-

nemg de implementerede kontroller og vurdere deres effektivitet. Her kan igen tages ud-

gangspunkt i SoA-dokumentet, hvis det er udarbejdet.

Risikoanalyse Den sidste del af risikoidentifikationen er en identifikation af de konsekvenser, som et tab af

fortrolighed, integritet eller tilgngelighed for aktiverne vil medfre. Det er vigtigt at tage ud-

gangspunkt i de forretningsmssige konsekvenser, dvs. hvilken betydning det vil have for

organisationen som helhed og ikke kun for et afgrnset omrde. Konsekvenserne kan opde-

les i forskellige typer. Det kan vre direkte konomiske tab, ressourceforbrug,

tid/forsinkelser, tab af omdmme, politiske konsekvenser mv.

Begreberne sandsynlighed, konsekvens og eksempler p maksimalt acceptabel nedetid er

beskrevet i skemaerne p de nste sider. Disse termer anvendes til beskrivelse af sandsyn-

lighed og konsekvens for risici samt klassifikation af systemer under vurderingen.

Tabel med beskrivelse af sandsynlighed

Sandsynlighed Eksempelbeskrivelse

Usandsynligt

Det anses for nsten udelukket, at hndelsen nogensinde kan fore-komme - Ingen erfaring med hndelsen - Kendes kun fra f andre offentlige og private virksomheder, men

ikke i Danmark

Mindre sandsynligt

Hndelsen forventes ikke at komme - Ingen erfaring med hndelsen - Kendes kun fra f andre offentlige og private virksomheder, men

ikke i Danmark

Sandsynligt

Det er sandsynligt at hndelsen vil forekomme - Man har erfaring med hndelsen, men ikke inden for de sidste 12

mneder - Kendes fra andre offentlige og private virksomheder i Danmark

(omtales rligt i pressen)

Forventet

Det ventes at hndelsen vil forekomme - Man har erfaring med hndelsen inden for de sidste 12 mneder - Hnder jvnligt i andre offentlige og private virksomheder (omta-

les ofte i pressen)


11

Tabel med konsekvensskala og konsekvenstyper

Konsekvensskala

Konsekvenstype og konsekvensbeskrivelse

Ubetydelig (uvsentlig)

Mindre alvorlig (generende)

Meget alvorlig (kritisk)

Graverende/ delggende (uacceptabelt)

Strategisk Medfrer indskrnkninger i evnen til at handle i en periode

Ingen srlig pvirkning

Planlagte aktivite-ter kan gennem-fres med mindre justeringer

Medfrer revurdering af vigtige aktiviteter p kort sigt

Bliver ude af stand til at gennemfre vigtige aktiviteter, som er planlagt i en periode fremover

konomisk Medfrer meromkostnin-ger eller tab

Ingen srlig p-virkning

Meromkostninger og tab i begrn-set niveau, som kan krve mindre budgetndringer

Store konomiske tab med risiko for at blive sat under administrati-on

Vsentlige konomi-ske tab. Bliver sat un-der administration

Administrativ/ procesmssig Medfrer administrative belastninger

Hndteres uden srligt ressource-trk i de admini-strative funktioner

Hndteres inden for rimeligt ekstra administrativt res-sourcetrk

Der m trkkes v-sentligt p eksisterende og nye administrative ressourcer

Administrative res-sourcer m udvides urealistisk

Omdmme

Pvirker omdmme i un-sket retning


Forbigende op-mrksomhed fra enkelte grupper

Offentligheden fatter generel negativ inte-resse, som kan medf-re begrnset tab af kunder

Vsentlig skade p omdmme. Ministeren m g af

Politisk/strategisk

Medfrer indskrnkninger i evnen til at handle i en periode


Planlagte aktivite-ter kan gennem-fres med mindre justeringer

Medfrer revurdering af vigtige aktiviteter p kort sigt

Ledelsen m g af. Bliver ude af stand til at gennemfre vigtige aktiviteter, som er planlagt i en periode fremover

Forhold til interessenter Pvirker forholdet til inte-ressenter


Forringet samar-bejde med inte-ressenter i en-keltsager

Generelt forringet sam-arbejde med interes-senter

Vsentligt nedbrud i det generelle samar-bejde med interessen-ter

Menneskelige Medfrer konsekvenser for det enkelte individ


Den enkelte ud-sttes for gener, men ikke noget alvorligt

Alvorlig personskade Menneskeliv str p spil

Privacy Medfrer brud p privatli-vets red (privacy)


Der er formelle mangler i de op-lysninger, der gi-ves den enkelte, men ikke i grave-rende grad

Den enkelte fratages rderetten over egne data. Ikke-flsomme data videregives uret-mssigt

Den enkelte udsttes for uacceptable krn-kelser af privatlivet. Der trffes bebyrden-de afgrelser mod den enkelte p et forkert grundlag. Flsomme data videregives uret-mssigt

Brud p lovgivningen

Medfrer brud p lovgiv-ning, f.eks. forvaltningslov og straffelov


Manglende over-holdelse af admi-nistrative proce-durer og regler, som ikke er af kri-tisk karakter

Lovbrud, der er kritiske og kan stille ministeriet i miskredit

Kritisk lovgivning, f.eks. straffeloven bry-des. Ministeren m g af


12

Tabel med beskrivelse af acceptabel nedetid

Acceptabel nedetid Beskrivelse

Under 4 timer Manglende tilgngelighed vil vre tidskritisk nsten med det samme.

4 8 timer Manglende tilgngelighed m helst ikke vare mere end en enkelt ar-bejdsdag.

2 dage Et par dages utilgngelighed er det maksimalt tilladelige.

Under en uge Manglende tilgngelighed m vare mere end et par dage men helst ikke en hel arbejdsuge.

Mere end en uge Manglende tilgngelighed m vare mere end en uge.

Der findes flere hjlpevrktjer, som kan bruges til at lette arbejdet med at registrere og be-

skrive risici.

Nedenfor er vist et eksempel p et ark til opsamling af risici og dokumentation af vurderingen

af konsekvens og sandsynlighed.

Eksempel p Excel-ark til registrering af risici

Eksempel p Excel-ark til registrering af risici

Aktiv navn Aktiv kategori Trusler Srbarheder Sandsynlighed Konsekvens Konsekvenstype Vgtning Forklaring Risiko

System A It-systemer

Scenarie 1:

Tekniske fejl -

Softwarefejl

Software:

Utilstrkkelig test Sandsynligt (3) Generende (2) Administrativ 1 .. Middel

Krydsfelt It-infrastruktur

Scenarie 5:

fysisk skade -

delggelse

Hardware: Udsat

placering Sandsynligt (3) Kritisk (3) Administrativ 1,5 .. Hj

I forlngelse af vurderingen af konsekvenserne kan man med fordel samtidig opdatere in-

formationsaktivets klassifikation og kritikalitet. Disse oplysninger anvendes i flere sammen-

hnge til at bestemme, hvilke kontroller, beredskabsniveau mv., som aktivet skal have.

Klassifikationen er en vurdering af, hvor flsomme informationerne er, og hvilke krav der er til

fortroligheden. Der anvendes ofte 3-5 forskellige niveauer, fx offentligt, internt, fortroligt mv.


13

Kritikaliteten bruges oftest som betegnelse for, hvor vigtig tilgngeligheden (og eventuelt in-

tegriteten) er for aktivet. Det er vigtigt, at systemerne kategoriseres korrekt i forhold til beho-

vet for tilgngelighed.

Kategorisering af systemkritikalitet

A. Korte systemafbrud (timer) vil medfre katastrofale flgevirkninger for forretningen som flge af v-

sentlige og uoprettelige svigt i mlopfyldelse eller brud p love eller aftaler.

B. Langvarige afbrud (dage) vil medfre katastrofale flgevirkninger for forretningen som flge af v-

sentlige og uoprettelige svigt i mlopfyldelse eller brud p love og aftaler.

C. Afbrud vil medfre vsentlig ulempe, men vil ikke i vsentlig grad hindre mlopfyldelse eller fre til

brud p love eller aftaler.

D. Afbrud medfrer mindre ulemper og begrnsede tab eller omkostninger.

Formlet med risikoanalysen er at mle strrelsen af de identificerede risici i form af sand-

synligheden og konsekvensen. Overordnet set kan dette gres p to forskellige mder, kvan-

titativt eller kvalitativt.

Med en kvantitativ fremgangsmde anvendes numeriske vrdier som for eksempel procen-

ter eller kroner og re. Det kan vre meget omfattende at udfre en kvantitativ analyse, og

det vil ofte vre svrt at stte tal p de indirekte konsekvenser ssom tab af omdmme. En

mde at gribe det an p kan vre ved at sprge, hvor meget man er villig til at betale for at

undg en bestemt hndelse.

De kvalitative metoder definerer skalaer med et vist antal trin. Herefter rangordner og indpla-

cerer man hndelser inden for disse trin. En sdan metode er relativ hurtig at anvende, om

end det vil vre svrt at placere en konkret indeksering p en skala. Brug af kvalitative vur-

deringer til at indplacere hndelser er i sagens natur ikke prcise. Erfaringen viser imidler-

tid, at denne metode ofte giver et kvalificeret bidrag til at afdkke de ndvendige indsatsom-

rder.

I praksis kan organisationen med fordel benytte en kombination af kvalitative og kvantitative

metoder i risikovurderingsprocessen. Eksempelvis kan der indledes med en kvalitativ vurde-

ring af konsekvenser. Denne kan efterflgende underbygges kvantitativt for at beslutte, om

der i konkrete tilflde skal indfres skrpede kontroller.

Risikoevaluering Det sidste skridt i risikovurderingen er evalueringen af de fundne risici i forhold til de kriterier,

som er fastlagt af ledelsen. Der foretages en prioritering af risici, fx ved indplacering i en ska-

la eller risikobillede, som illustreret p side 4. Et risikobillede er et simpelt og effektivt vrktj

til at formidle risici i organisationen.

Kontroller De eksisterende kontroller br gennemgs og vurderes i forhold til deres effektivitet. Dette er

ndvendigt for at kunne identificere eventuelle srbarheder, der skal hndteres. Gennem-


14

gangen af kontrollerne er ogs en forudstning, hvis man nsker at dokumentere effekten

heraf, ved at vurdere risikoen bde fr og efter en kontrol er implementeret.

Hvis der er udarbejdet et SoA-dokument, som beskriver de indfrte kontroller, kan der med

fordel tages udgangspunkt heri.

Ledelsesforankring Risikovurderingen er den aktivitet, som ved involvering af ledelsen kan skabe grundlaget for

ledelsesforankring.

Ved at initiere en debat og vurdering af organisationens risikobillede og -profil vil det samlede

sikkerhedsarbejde og indsatserne blive synlige for ledelsen. Samtidig kan det knyttes til en

prioritering af de ndvendige, fremtidige indsatser.

Leverandrstyring Den gennemfrte it-risikovurdering vil give et samlet risikobillede, og der vil vre taget stilling

til eventuelle handlinger med henblik p at mindske risici gennem implementering af yderlige-

re kontroller. Anvendes ekstern leverandr til drift af systemer og data, er det vigtigt, at leve-

randren informeres om resultatet af risikovurderingen, s systemer og data beskyttes i

overensstemmelse med den accepterede restrisiko.

Informationen til leverandren kan derfor indeholde flgende:

Samlet oversigt over risikobilledet for systemer, der er driftet hos leverandren.

Krav til tilgngelighed for de enkelte systemer, herunder til oppetider og maksimal ac-

ceptabel nedetid.

Krav til fortrolighed vurdering af korrekt beskyttelse af data bde i forhold til fortrolig-

hed generelt og i forhold til karakteren af personoplysninger som fx adgangsstyring og

kryptering.

Krav i forbindelse med tab af data.

Krav til srlige kontroller som fx fysisk sikkerhed, adgangsstyring, driftsprocedurer, ud-

vikling og vedligeholdelse, logning, rapportering, backup og restore.

Leverancer fra eksterne leverandrer skal sikres gennem kundeaftaler. Ved srlige sikker-

hedskrav, herunder hndtering af personoplysninger, skal der indgs en databehandleraftale.


Marts 2013


Februar 2015
Omslag - Risikostyring og -vurderingKolofon og titelblade_Risikostyring og -vurderinigVejledning - it-risikostyring og -vurdering_endelig

Documents

Vejledning i it-risikostyring og -vurdering · operationelle risici, som opstår ved brug af informationssystemer. Typisk vil ansvaret blive varetaget af informationssikkerhedsudvalget,