Klik her for at få en personlig gennemgang af metoden på et møde
Scenariet er som følger: I kender jeres risikoniveau, fordi I har lavet forretningskonsekvensvurderinger og sårbarhedsvurderinger på jeres vigtigste forretningsprocesser samt de tilhørende it-services og systemer. Så langt så godt. Risikobehandling er den disciplin, hvor I behandler risikoniveauet. I har nu fire muligheder for at håndtere eller behandle de enkelte risici:
- Acceptér
- Reducér
- Del
- Undgå
Acceptér betyder at virksomheden vælger at leve med en risiko. Denne måde at håndtere risici på, er en naturlig følge af at 100% sikkerhed ikke findes.
Reducér betyder at I udfører tiltag der mindsker sandsynligheden for en hændelse eller mindsker konsekvensen når en hændelse sker. Eksempler på disse tiltag finder du i henholdsvis venstre og højre side af skydeskiven, også kaldet forebyggende og udbedrende tiltag.
Del betyder at I behandler risikoen ved at dele den med andre. For eksempel gennem forsikring eller gennem leverandørkontrakter hvor I betaler et forsikringsselskab eller en leverandør for at have en del af risikoen. I den gamle udgave (2008) af ISO 27005-standarden hed dette punkt "overfør". I praksis kan man sjældent eller aldrig overføre hele risikoen.
Undgå. Lyder rart, tænker du? Den vælger vi da! Det kan være et usikkert system, man holder op med at bruge. Denne risiko-behandlingsform er nok ikke den, I kommer til at bruge mest.
I vores compliance værktøj er risikohåndtering implementeret som en del af risikostyringen. Klik her for at få en kort, personlig online-gennemgang. Helt uforpligtende.
