Hvorfor ISO 27005?
Risikostyring er hjertet i al informationssikkerhed. Uden at forstå hvilke risici organisationen står overfor er det umuligt at prioritere tiltag effektivt. ISO 27005 giver et struktureret rammeværk for netop at gøre det.
Kobling til NIS2: NIS2 Artikel 21 kræver “politikker for risikoanalyse og informationssystemsikkerhed”. ISO 27005 giver en afprøvet metode til at opfylde dette krav.
Risikostyringsprocessen
ISO 27005 beskriver risikostyring som en cyklisk proces med seks hovedtrin:
- Etabler kontekst Definer risikostyringens omfang og kriterier. Hvad skal beskyttes? Hvilke trusler og sårbarheder er relevante? Hvilke risikokriterier skal anvendes? Hvordan defineres acceptabelt risikoniveau?
- Identificer risici Find, genkend og beskriv risici. Identificer aktiver (systemer, data, processer), trusler (hvad kan gå galt), sårbarheder (svagheder der kan udnyttes), og eksisterende kontrolforanstaltninger.
- Analyser risici Vurder sandsynlighed og konsekvens for hver risiko. Hvor sandsynligt er det at truslen realiseres? Hvad bliver påvirkningen på fortrolighed, integritet og tilgængelighed? Beregn risikoniveau.
- Evaluer risici Sammenlign analyserede risici mod risikokriterierne. Hvilke risici er acceptable? Hvilke kræver behandling? Prioriter baseret på risikoniveau og organisationens risikoappetit.
- Behandl risici Vælg og implementer tiltag for uacceptable risici. Fire hovedalternativer: undgå (eliminer risikoen), reducer (mindsk sandsynlighed eller konsekvens), overfør (forsikring, outsourcing), accepter (informeret beslutning).
- Overvåg og gennemgå Følg op på at risikobehandling fungerer. Overvåg ændringer i trusselsbilledet. Gennemgå og opdater risikovurderingen regelmæssigt. Lær af hændelser.
Risikoidentificering i praksis
Aktividentificering
Begynd med at liste hvad der skal beskyttes:
Aktivtyper:
- Information — Kundedata, forretningshemmeligheder, personoplysninger
- Systemer — Applikationer, databaser, netværk
- Infrastruktur — Servere, datacentre, kommunikation
- Processer — Forretningskritiske processer, støtteprocesser
- Personale — Nøglepersoner, kompetencer
Trusselidentificering
Hvilke trusler kan påvirke aktiverne?
| Trusselkategori | Eksempler |
|---|---|
| Cyberangreb | Ransomware, phishing, DDoS, databrud |
| Insider-trusler | Utilsigtede fejl, ondsindede insidere |
| Fysiske trusler | Brand, oversvømmelse, tyveri |
| Tekniske fejl | Systemfejl, korruption, kapacitetsmangler |
| Leverandørrelaterede | Leverandørbrud, serviceafbrydelser |
Sårbarhederidentificering
Hvilke svagheder kan udnyttes?
- Upatchede systemer
- Svage adgangskoder
- Manglende segmentering
- Fraværende kryptering
- Utilstrækkelig logning
- Manglende backup
Risikoanalyse
Sandsynlighedsvurdering
| Niveau | Beskrivelse | Frekvens |
|---|---|---|
| 1 - Usandsynlig | Meget usædvanligt | <1 gang per 10 år |
| 2 - Lav | Kan indtræffe | 1 gang per 1-10 år |
| 3 - Medium | Indtræffer nogle gange | 1 gang per år |
| 4 - Høj | Indtræffer regelmæssigt | Flere gange per år |
| 5 - Meget høj | Forventes at indtræffe | Månedligt eller oftere |
Konsekvensrevu
| Niveau | Beskrivelse | Påvirkning |
|---|---|---|
| 1 - Ubetydelig | Minimal påvirkning | <100 tkr, ingen servicepåvirkning |
| 2 - Mindre | Begrænset påvirkning | 100-500 tkr, kortvarig forstyrrelse |
| 3 - Moderat | Betydelig påvirkning | 500 tkr-5 mkr, dage |
| 4 - Alvorlig | Stor påvirkning | 5-50 mkr, uger |
| 5 - Katastrofal | Virksomhedskritisk | >50 mkr, måneder |
Risikomatrix
| Ubetydelig | Mindre | Moderat | Alvorlig | Katastrofal | |
|---|---|---|---|---|---|
| Meget høj | Medium | Høj | Høj | Kritisk | Kritisk |
| Høj | Lav | Medium | Høj | Høj | Kritisk |
| Medium | Lav | Lav | Medium | Høj | Høj |
| Lav | Lav | Lav | Lav | Medium | Medium |
| Usandsynlig | Lav | Lav | Lav | Lav | Medium |
Fortolkning: Kritiske og høje risici kræver øjeblikkelig behandling. Medium kræver handlingsplan. Lave kan accepteres med overvågning.
Risikobehandling
Eliminer risikoen ved ikke at gennemføre aktiviteten, fjerne systemet, eller vælge anden løsning. Eksempel: Afvikle usikkert legacy-system.
Implementer kontrolforanstaltninger som mindsker sandsynlighed eller konsekvens. Eksempel: Installer firewall, krypter data, træn personale.
Flyt risikoen til anden part gennem forsikring eller outsourcing. Eksempel: Cyberforsikring, cloud-leverandør med SLA.
Informeret beslutning om at leve med risikoen. Dokumenter beslutning og ansvarlig. Overvåg risikoen løbende.
Dokumentation
Risikoregister
Et risikoregister skal indeholde:
| Felt | Beskrivelse |
|---|---|
| Risiko-ID | Unik identifikator |
| Beskrivelse | Hvad er risikoen? |
| Aktiv | Hvilket aktiv påvirkes? |
| Trussel | Hvilken trussel? |
| Sårbarhed | Hvilken sårbarhed? |
| Sandsynlighed | 1-5 |
| Konsekvens | 1-5 |
| Risikoniveau | Beregnet |
| Behandling | Undgå/reducer/overfør/accepter |
| Tiltag | Hvad skal gøres? |
| Ansvarlig | Hvem ejer risikoen? |
| Status | Åben/igangværende/lukket |
| Gennemgangsdato | Hvornår skal risikoen gennemgås? |
Almindelige fejl
"Cyberangreb" som én risiko. Opdel i specifikke scenarier for meningsfuld analyse.
Risici skal vurderes med hensyn til allerede implementerede tiltag.
IT kan ikke vurdere forretningskonsekvenser alene. Virksomheden skal deltage.
Risikostyring er kontinuerligt, ikke et årligt projekt.
Sådan kan Securapilot hjælpe
Securapilots risikostyringsmodul bygger på ISO 27005:
- Struktureret proces — Guidet risikoidentificering og -vurdering
- Risikoregister — Centraliseret håndtering af alle risici
- Risikomatrix — Visuel præsentation af risikolandskabet
- Behandlingsplaner — Sporing af tiltag
- Dashboard — Overblik for ledelsen
- Historik — Fuld sporbarhed over tid
Book en demo og se hvordan vi kan støtte jeres risikostyring.
Ofte stillede spørgsmål
Er ISO 27005 obligatorisk?
Nej, ISO 27005 er en vejledende standard, ikke et certificerbart krav. Men NIS2 og ISO 27001 kræver risikostyring, og ISO 27005 giver en etableret metode til at opfylde disse krav.
Hvordan hænger ISO 27005 sammen med ISO 27001?
ISO 27001 kræver risikostyring (klausul 6.1.2) men specificerer ikke metoden. ISO 27005 giver detaljeret vejledning for hvordan risikostyringen kan gennemføres.
Hvor ofte skal risikovurderinger gennemføres?
Mindst årligt, men også ved større ændringer i virksomheden, IT-miljøet eller trusselsbilledet. Løbende overvågning af risici anbefales.
Hvad er forskellen mellem risikovurdering og risikostyring?
Risikovurdering er en del af risikostyring. Risikostyring er hele processen fra at etablere kontekst til at overvåge og gennemgå. Risikovurdering er trinnet hvor risici identificeres, analyseres og evalueres.
