Varför ISO 27005?
Riskhantering är hjärtat i all informationssäkerhet. Utan att förstå vilka risker organisationen står inför är det omöjligt att prioritera åtgärder effektivt. ISO 27005 ger ett strukturerat ramverk för att göra just det.
Koppling till NIS2: NIS2 Artikel 21 kräver “policyer för riskanalys och informationssystemsäkerhet”. ISO 27005 ger en beprövad metod för att uppfylla detta krav.
Riskhanteringsprocessen
ISO 27005 beskriver riskhantering som en cyklisk process med sex huvudsteg:
- Etablera kontext Definiera riskhanteringens omfattning och kriterier. Vad ska skyddas? Vilka hot och sårbarheter är relevanta? Vilka riskkriterier ska användas? Hur definieras acceptabel risknivå?
- Identifiera risker Hitta, känna igen och beskriva risker. Identifiera tillgångar (system, data, processer), hot (vad kan gå fel), sårbarheter (svagheter som kan utnyttjas), och befintliga kontroller.
- Analysera risker Bedöm sannolikhet och konsekvens för varje risk. Hur troligt är det att hotet realiseras? Vad blir påverkan på konfidentialitet, integritet och tillgänglighet? Beräkna risknivå.
- Utvärdera risker Jämför analyserade risker mot riskkriterierna. Vilka risker är acceptabla? Vilka kräver behandling? Prioritera baserat på risknivå och organisationens riskaptit.
- Behandla risker Välj och implementera åtgärder för oacceptabla risker. Fyra huvudalternativ: undvika (eliminera risken), reducera (minska sannolikhet eller konsekvens), överföra (försäkring, outsourcing), acceptera (informerat beslut).
- Övervaka och granska Följ upp att riskbehandling fungerar. Övervaka förändringar i hotbilden. Granska och uppdatera riskbedömningen regelbundet. Lär av incidenter.
Riskidentifiering i praktiken
Tillgångsidentifiering
Börja med att lista vad som behöver skyddas:
Tillgångstyper:
- Information: Kunddata, affärshemligheter, personuppgifter
- System: Applikationer, databaser, nätverk
- Infrastruktur: Servrar, datacenter, kommunikation
- Processer: Affärskritiska processer, stödprocesser
- Personal: Nyckelpersoner, kompetens
Hotidentifiering
Vilka hot kan påverka tillgångarna?
| Hotkategori | Exempel |
|---|---|
| Cyberattacker | Ransomware, phishing, DDoS, dataintrång |
| Insiderhot | Oavsiktliga misstag, illvilliga insiders |
| Fysiska hot | Brand, översvämning, stöld |
| Tekniska fel | Systemfel, korruption, kapacitetsbrister |
| Leverantörsrelaterade | Leverantörsintrång, tjänsteavbrott |
Sårbarhetsidentifiering
Vilka svagheter kan utnyttjas?
- Opatchade system
- Svaga lösenord
- Bristande segmentering
- Avsaknad av kryptering
- Otillräcklig loggning
- Bristande backup
Riskanalys
Sannolikhetsbedömning
| Nivå | Beskrivning | Frekvens |
|---|---|---|
| 1 - Osannolik | Mycket ovanligt | <1 gång per 10 år |
| 2 - Låg | Kan inträffa | 1 gång per 1-10 år |
| 3 - Medium | Inträffar ibland | 1 gång per år |
| 4 - Hög | Inträffar regelbundet | Flera gånger per år |
| 5 - Mycket hög | Förväntas inträffa | Månadsvis eller oftare |
Konsekvensbedömning
| Nivå | Beskrivning | Påverkan |
|---|---|---|
| 1 - Försumbar | Minimal påverkan | <10 tkr, ingen tjänstepåverkan |
| 2 - Mindre | Begränsad påverkan | 10-100 tkr, kortvarig störning |
| 3 - Måttlig | Betydande påverkan | 100 tkr-1 mkr, dagar |
| 4 - Allvarlig | Stor påverkan | 1-10 mkr, veckor |
| 5 - Katastrofal | Verksamhetskritisk | >10 mkr, månader |
Riskmatris
| Försumbar | Mindre | Måttlig | Allvarlig | Katastrofal | |
|---|---|---|---|---|---|
| Mycket hög | Medium | Hög | Hög | Kritisk | Kritisk |
| Hög | Låg | Medium | Hög | Hög | Kritisk |
| Medium | Låg | Låg | Medium | Hög | Hög |
| Låg | Låg | Låg | Låg | Medium | Medium |
| Osannolik | Låg | Låg | Låg | Låg | Medium |
Tolkning: Kritiska och höga risker kräver omedelbar behandling. Medium kräver handlingsplan. Låga kan accepteras med övervakning.
Riskbehandling
Eliminera risken genom att inte genomföra aktiviteten, ta bort systemet, eller välja annan lösning. Exempel: Avveckla osäkert legacysystem.
Implementera kontroller som minskar sannolikhet eller konsekvens. Exempel: Installera brandvägg, kryptera data, utbilda personal.
Flytta risken till annan part genom försäkring eller outsourcing. Exempel: Cyberförsäkring, molnleverantör med SLA.
Informerat beslut att leva med risken. Dokumentera beslut och ansvarig. Övervaka risken löpande.
Dokumentation
Riskregister
Ett riskregister ska innehålla:
| Fält | Beskrivning |
|---|---|
| Risk-ID | Unik identifierare |
| Beskrivning | Vad är risken? |
| Tillgång | Vilken tillgång påverkas? |
| Hot | Vilket hot? |
| Sårbarhet | Vilken sårbarhet? |
| Sannolikhet | 1-5 |
| Konsekvens | 1-5 |
| Risknivå | Beräknad |
| Behandling | Undvika/reducera/överföra/acceptera |
| Åtgärd | Vad ska göras? |
| Ansvarig | Vem äger risken? |
| Status | Öppen/pågående/stängd |
| Granskningsdatum | När ska risken granskas? |
Vanliga misstag
"Cyberattacker" som en risk. Bryt ner i specifika scenarier för meningsfull analys.
Risker ska bedömas med hänsyn till redan implementerade åtgärder.
IT kan inte bedöma affärskonsekvenser ensam. Verksamheten måste delta.
Riskhantering är kontinuerligt, inte ett årligt projekt.
Så kan Securapilot hjälpa
Securapilots riskhanteringsmodul bygger på ISO 27005:
- Strukturerad process: Guidad riskidentifiering och bedömning
- Riskregister: Centraliserad hantering av alla risker
- Riskmatris: Visuell presentation av risklandskapet
- Behandlingsplaner: Spårning av åtgärder
- Dashboard: Överblick för ledningen
- Historik: Full spårbarhet över tid
Boka en demo och se hur vi kan stödja er riskhantering.
Vanliga frågor
Är ISO 27005 obligatorisk?
Nej, ISO 27005 är en vägledande standard, inte ett certifierbart krav. Men NIS2 och ISO 27001 kräver riskhantering, och ISO 27005 ger en etablerad metod för att uppfylla dessa krav.
Hur hänger ISO 27005 ihop med ISO 27001?
ISO 27001 kräver riskhantering (klausul 6.1.2) men specificerar inte metoden. ISO 27005 ger detaljerad vägledning för hur riskhanteringen kan genomföras.
Hur ofta ska riskbedömningar genomföras?
Minst årligen, men också vid större förändringar i verksamheten, IT-miljön eller hotbilden. Löpande övervakning av risker rekommenderas.
Vad är skillnaden mellan riskbedömning och riskhantering?
Riskbedömning är en del av riskhantering. Riskhantering är hela processen från att etablera kontext till att övervaka och granska. Riskbedömning är steget där risker identifieras, analyseras och utvärderas.
