Formålet med risikostyring er at kende sin egen organisations risici, altså usikkerheder, der kan medføre skader eller værditab i organisationen - og dernæst finde ud af, hvordan organisationen bedst håndterer dem.
I en informationssikkerhedssammenhæng er fokus på usikkerheder vedrørende systemer, informationer og data.
Styrelsen for Samfundssikkerhed har udarbejdet en vejledning til risikostyring inden for informationssikkerhed, som du kan finde nedenfor.
Hent "Vejledning til risikostyring inden for informationssikkerhed"
I tilknytning til vejledningen og som inspiration til din organisations risikovurderingsproces, finder du en risikovurderingstemplate nedenfor. Templaten indeholder ligeledes inspiration til trussels- og sårbarhedskatalog, konsekvens- og sandsynlighedsskemaer samt eksempler på risikohåndtering.
Hent "Skabelon til risikovurderinger" (Excel)
I filmen nedenfor berøres de vigtigste temaer i arbejdet med risikostyring. Du kan teste din viden undervejs i filmen.
Hvorfor bruger vi risikostyring?
Ofte er informationer om de fleste risici kendt i organisationen, men befinder sig som spredt viden i forskellige kontorer og afdelinger. De ord og begreber, der bruges, varierer typisk også på tværs af organisationen. Det gør det vanskeligt at prioritere og identificere organisationens mest betydningsfulde risici. Risikostyring sikrer en struktureret fremgangsmåde, der skaber overblik, fremmer en fælles forståelse for risici og muliggør, at man kan bruge sine kræfter, så de nedbringer risiciene.
Hvordan skaber risikostyring værdi?
Risikostyring hjælper ledelsen med at prioritere ressourcer effektivt ved at fokusere på de mest væsentlige risici og de mest relevante tiltag. Risikostyring kan samtidig fungere som et styringsværktøj i organisationen, der fremmer dialog mellem sikkerhedsfunktionen og fagkontorer. Når risikovurderinger bruges aktivt, kan de øge bevidstheden om trusler og nødvendige foranstaltninger, styrke de beslutninger, der træffes, og understøtte generel awareness i organisationen.
Hvordan passer risikostyring ind i ISMS’et og ISO 27001?
At være i overensstemmelse med ISO 27001 betyder, at man skal etablere et ISMS (Information Security Management System). Et helt centralt krav i ISMS’et er risikostyring. Risikostyring går ud på, at man har en struktureret og systematisk tilgang til at behandle risici. Du kan finde kravene til risikostyring i ISO 27001 kapitel 6.1 samt kapitel 8.2 og 8.3. Der er en række andre områder inden for ISO 27001’s krav til ISMS’et, der skal være på plads for at gennemføre risikostyring. Et vigtigt element er kravet om, at organisationer har en fortegnelse over information og understøttende aktiver, også kaldet et aktivregister (anneks A, 5.9). Oftest inddeles disse aktiver i primære aktiver, fx forretningsprocesser, systemer og informationer og sekundære aktiver, fx hardware, software, netværk, og personale.
ISO 27005 er en standard, der anviser metoder og giver detaljeret vejledning til en struktureret tilgang til risikostyring, som er i overensstemmelse med kravene i ISO 27001. Der er intet krav i ISO 27001 til, hvilken metode der skal anvendes, blot at organisationen anvender en metode, og at den er dokumenteret.
Risikostyring og NIS 2-loven
Med NIS2 direktivet vil EU styrke cybersikkerheden på tværs af unionen. Baggrunden for direktivet er bl.a. den stigende samfundsmæssige afhængighed af digitale systemer og netværk i kombination med de stadigt flere og mere avancerede cybertrusler fra fx hackere.
Med afsæt i ISO 27001 og GDPR har risikovurderinger hidtil skullet tage stilling til, hvilke risici ved behandling af informationer for hhv. organisationen og individers rettigheder, som skal håndteres. Med NIS 2-loven understreges det, at fokus nu også skal inkludere et sigte på risici for hele samfundet. I en risikostyringssammenhæng betyder det, at myndighederne også skal vurdere, hvorvidt en hændelse vil kunne påvirke eller skade andre.
Dette kan fx gøres ved, at den enkelte myndighed overvejer risici og konsekvenser for samfundet, hvis myndighedens kerneforretning rammes af en hændelse. Fx kan myndigheder i transportsektoren overveje risici forbundet med uautoriseret indgreb i trafikstyring i lufthavnen eller manglende styring af trafiksignaler på jernbanenettet. For myndigheder i sundhedssektoren kunne eksempler være manglende el-forsyning til Rigshospitalet eller fejl i fordelingen af medicinrecepter til borgere. Det er i denne forbindelse vigtigt at medtage potentielle konsekvenser og sandsynligheder i hele leverandørkæden for den pågældende service.
I lighed med kravene i ISO 27001, lægger NIS 2-loven vægt på, at ledelsen skal godkende og føre tilsyn med de sikkerhedsforanstaltninger, der skal håndtere risiciene. Ledelsen får dermed en rolle, der er mere aktiv og involveret i den løbende risikostyring i forbindelse med myndighedernes arbejde med cyber- og informationssikkerhed.
For nogle organisationer vil NIS2’s krav til ledelsesinvolvering også betyde, at kriterierne for risikoaccept skal genbesøges. Se nærmere om fastsættelse af kriterier for risikoaccept i ”Vejledning til risikostyring inden for informationssikkerhed”.