03. november 2023
Der stilles hele tiden højere krav til virksomheder og organisationer om risikostyring, bl.a. med det nye NIS2-direktiv. ISO/IEC 27005-standarden, Vejledning i vurdering og håndtering af risici inden for informationssikkerhed, giver en grundig indføring i de nødvendige overvejelser og processer for effektiv risikostyring, og for første gang foreligger den nu på dansk.
- At ISO/IEC 27005 er blevet oversat, gør, at den er mere tilgængelig for danske virksomheder, og det vil forhåbentlig betyde, at endnu flere kan komme i gang med en risikobaseret tilgang til håndtering af informations- og cybersikkerhed, siger Majken Prip, konsulent i Dansk Standard.
Hun fortæller, at det for mange virksomheder og organisationer kan være svært at få rigtig hånd om de processer, der tilsammen udgør en risikobaseret tilgang, men at det er her, standarden virkelig kommer til gavn:
- Det er et kæmpe – og for nogen uoverskueligt – arbejde eller projekt at sætte i søen. Det hjælper ISO/IEC 27005 med, for det er et metodeværktøj, som sikrer, at man som organisation kommer hele vejen rundt, og har gjort sig de nødvendige overvejelser om risikoscenarier, konsekvenser og eventuelle foranstaltninger m.m.
Majken Prip understreger, at standarden ikke er en tjekliste til sikkerhed, men den er det værktøj, der sikrer, at man får tænkt de nødvendige tanker om, hvad der er vigtigt, hvilke risici for informationsaktiver og forretningsprocesser, der skal prioriteres, og hvordan man bedst muligt både forebygger sikkerhedshændelser og agerer, hvis de sker:
- Risikostyring ift. informations- og cybersikkerhed er afgørende for virksomheder, siger hun, og fortsætter:
- Det handler både om at beskytte fortrolige og følsomme informationer, men også om at have hånd i hanke med de processer, der skal sikre forretningskontinuitet, hvis og når uheldet er ude. Det er en proaktiv tilgang, der styrker tilliden til virksomheden.
At struktureret risikostyring af it-sikkerheden både er en nødvendighed og en fordel, er Phillippe Roy, security advisor i KMD, enig i:
- Risikostyring kan bruges til at opdage potentielle trusler, før de bliver farlige. Ved at implementere en effektiv risikostyring kan man identificere, vurdere og håndtere disse risici på en struktureret måde. Det gør en organisation mere robust, konkurrencedygtig og i stand til at tilpasse sig et dynamisk forretningsmiljø, forklarer han.
Philippe Roy mener, at man som virksomhed altid bør udarbejde en risikohåndteringsplan for sin it-sikkerhed:
- For at overvåge og revurdere de identificerede risici samt identificere nye risici og hele tiden forbedre risikostyringsprocessen – Plan, Do, Check, Act! afslutter han.
På baggrund af sine mange års erfaring som rådgiver inden for risikostyring og it-sikkerhed optræder Philippe Roy fra KMD også på Dansk Standards kommende webinar om cybersikkerhed i november. Her vil han fortælle, hvordan man som virksomhed eller organisation kommer i gang med den risikobaserede tilgang.
Webinaret kommer omkring det konkrete arbejde med risikostyring med afsæt i ISO/IEC 27005 og giver inspiration til at imødekomme kravene i NIS2-direktivet samt indblik i, hvilken værdi det giver at arbejde risikobaseret. Det afholdes tirsdag d. 28. november, kl. 13-14 og henvender sig til alle, der arbejder med informationssikkerhed og ønsker at arbejde struktureret med risikostyring.
ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.
ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.
ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.
Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.
