Hvorfor ISO 27005?
Risikostyring er hjertet i all informasjonssikkerhet. Uten å forstå hvilke risikoer organisasjonen står overfor er det umulig å prioritere tiltak effektivt. ISO 27005 gir et strukturert rammeverk for å gjøre nettopp det.
Kobling til NIS2: NIS2 Artikkel 21 krever “retningslinjer for risikoanalyse og informasjonssystemsikkerhet”. ISO 27005 gir en utprøvd metode for å oppfylle dette kravet under digitalsikkerhetsloven.
Risikostyringsprosessen
ISO 27005 beskriver risikostyring som en syklisk prosess med seks hovedtrinn:
- Etablere kontekst Definer risikostyringens omfang og kriterier. Hva skal beskyttes? Hvilke trusler og sårbarheter er relevante? Hvilke risikokriterier skal brukes? Hvordan defineres akseptabelt risikonivå?
- Identifisere risikoer Finn, gjenkjenn og beskriv risikoer. Identifiser verdier (systemer, data, prosesser), trusler (hva kan gå galt), sårbarheter (svakheter som kan utnyttes), og eksisterende kontroller.
- Analysere risikoer Vurder sannsynlighet og konsekvens for hver risiko. Hvor sannsynlig er det at trusselen realiseres? Hva blir påvirkningen på konfidensialitet, integritet og tilgjengelighet? Beregn risikonivå.
- Evaluere risikoer Sammenlign analyserte risikoer mot risikokriteriene. Hvilke risikoer er akseptable? Hvilke krever behandling? Prioriter basert på risikonivå og organisasjonens risikoappetitt.
- Behandle risikoer Velg og implementer tiltak for uakseptable risikoer. Fire hovedalternativer: unngå (eliminere risikoen), redusere (minske sannsynlighet eller konsekvens), overføre (forsikring, outsourcing), akseptere (informert beslutning).
- Overvåke og granske Følg opp at risikobehandling fungerer. Overvåk endringer i trusselbildet. Gransk og oppdater risikovurderingen regelmessig. Lær av hendelser.
Risikoidentifisering i praksis
Verdiidentifisering
Start med å liste hva som trenger beskyttelse:
Verdityper:
- Informasjon — Kundedata, forretningshemmeligheter, personopplysninger
- Systemer — Applikasjoner, databaser, nettverk
- Infrastruktur — Servere, datasentre, kommunikasjon
- Prosesser — Forretningskritiske prosesser, støtteprosesser
- Personell — Nøkkelpersoner, kompetanse
Trusselidentifisering
Hvilke trusler kan påvirke verdiene?
| Trusselkategori | Eksempel | |-------------|---------|| | Cyberangrep | Ransomware, phishing, DDoS, datainnbrudd | | Innsidertrusler | Utilsiktede feil, ondsinnede innsidere | | Fysiske trusler | Brann, oversvømmelse, tyveri | | Tekniske feil | Systemfeil, korrupsjon, kapacitetsmangler | | Leverandørrelaterte | Leverandørinnbrudd, tjenesteavbrudd |
Sårbarhetsidentifisering
Hvilke svakheter kan utnyttes?
- Upatchede systemer
- Svake passord
- Mangelfull segmentering
- Fravær av kryptering
- Utilstrekkelig logging
- Mangelfull backup
Risikoanalyse
Sannsynlighetsvurdering
| Nivå | Beskrivelse | Frekvens |
|---|---|---|
| 1 - Usannsynlig | Meget uvanlig | <1 gang per 10 år |
| 2 - Lav | Kan inntreffe | 1 gang per 1-10 år |
| 3 - Middels | Inntreffer av og til | 1 gang per år |
| 4 - Høy | Inntreffer regelmessig | Flere ganger per år |
| 5 - Meget høy | Forventes å inntreffe | Månedlig eller oftere |
Konsekvensvurdering
| Nivå | Beskrivelse | Påvirkning |
|---|---|---|
| 1 - Ubetydelig | Minimal påvirkning | <100 tkr, ingen tjenestepåvirkning |
| 2 - Mindre | Begrenset påvirkning | 100 tkr-1 mkr, kortvarig forstyrrelse |
| 3 - Moderat | Betydelig påvirkning | 1-10 mkr, dager |
| 4 - Alvorlig | Stor påvirkning | 10-100 mkr, uker |
| 5 - Katastrofal | Virksomhetskritisk | >100 mkr, måneder |
Risikomatrise
| Ubetydelig | Mindre | Moderat | Alvorlig | Katastrofal | |
|---|---|---|---|---|---|
| Meget høy | Middels | Høy | Høy | Kritisk | Kritisk |
| Høy | Lav | Middels | Høy | Høy | Kritisk |
| Middels | Lav | Lav | Middels | Høy | Høy |
| Lav | Lav | Lav | Lav | Middels | Middels |
| Usannsynlig | Lav | Lav | Lav | Lav | Middels |
Tolkning: Kritiske og høye risikoer krever umiddelbar behandling. Middels krever handlingsplan. Lave kan aksepteres med overvåking.
Risikobehandling
Eliminer risikoen ved å ikke gjennomføre aktiviteten, fjerne systemet, eller velge annen løsning. Eksempel: Avvikle usikkert legacy-system.
Implementer kontroller som minsker sannsynlighet eller konsekvens. Eksempel: Installer brannmur, krypter data, utdann personell.
Flytt risikoen til annen part gjennom forsikring eller outsourcing. Eksempel: Cyberforsikring, skyleverandør med SLA.
Informert beslutning om å leve med risikoen. Dokumenter beslutning og ansvarlig. Overvåk risikoen løpende.
Dokumentasjon
Risikoregister
Et risikoregister skal inneholde:
| Felt | Beskrivelse |
|---|---|
| Risiko-ID | Unik identifikator |
| Beskrivelse | Hva er risikoen? |
| Verdi | Hvilken verdi påvirkes? |
| Trussel | Hvilken trussel? |
| Sårbarhet | Hvilken sårbarhet? |
| Sannsynlighet | 1-5 |
| Konsekvens | 1-5 |
| Risikonivå | Beregnet |
| Behandling | Unngå/reduser/overfør/aksepter |
| Tiltak | Hva skal gjøres? |
| Ansvarlig | Hvem eier risikoen? |
| Status | Åpen/pågående/lukket |
| Granskningsdato | Når skal risikoen granskes? |
Vanlige feil
"Cyberangrep" som én risiko. Bryt ned i spesifikke scenarioer for meningsfull analyse.
Risikoer skal vurderes med hensyn til allerede implementerte tiltak.
IT kan ikke vurdere forretningskonsekvenser alene. Virksomheten må delta.
Risikostyring er kontinuerlig, ikke et årlig prosjekt.
Slik kan Securapilot hjelpe
Securapilots risikostyringsmodul bygger på ISO 27005:
- Strukturert prosess — Guidet risikoidentifisering og vurdering
- Risikoregister — Sentralisert håndtering av alle risikoer
- Risikomatrise — Visuell presentasjon av risikolandskapet
- Behandlingsplaner — Sporing av tiltak
- Dashboard — Oversikt for ledelsen
- Historikk — Full sporbarhet over tid
Bestill en demo og se hvordan vi kan støtte deres risikostyring.
Ofte stilte spørsmål
Er ISO 27005 obligatorisk?
Nei, ISO 27005 er en veiledende standard, ikke et sertifiserbart krav. Men NIS2 og ISO 27001 krever risikostyring, og ISO 27005 gir en etablert metode for å oppfylle disse kravene.
Hvordan henger ISO 27005 sammen med ISO 27001?
ISO 27001 krever risikostyring (klausul 6.1.2) men spesifiserer ikke metoden. ISO 27005 gir detaljert veiledning for hvordan risikostyringen kan gjennomføres.
Hvor ofte skal risikovurderinger gjennomføres?
Minst årlig, men også ved større endringer i virksomheten, IT-miljøet eller trusselbildet. Løpende overvåking av risikoer anbefales.
Hva er forskjellen mellom risikovurdering og risikostyring?
Risikovurdering er en del av risikostyringen. Risikostyring er hele prosessen fra å etablere kontekst til å overvåke og granske. Risikovurdering er trinnet hvor risikoer identifiseres, analyseres og evalueres.
