Prøv NorthGRC
Blog om informationssikkerhed, GDPR og compliance

Risikovurdering er en proces - 3 grunde til at gøre det igen (og igen)

[fa icon="calendar"] 10. juli 2015 / af Jakob Holm Hansen

Risikovurderinger er en nødvendighed, hvis vi vil have styr på informationssikkerheden. Desværre er det ikke ualmindeligt, at virksomheder ser risikovurdering som noget, der skal overstås, fordi de skal efterleve forskellige krav. 

 
Det kan være krav fra eksterne interessenter som for eksempel lovgivning, samarbejdspartnere, kundekontrakter etc. Eller kravene kan være pålagt af virksomheden selv, fordi man måske ønsker at efterleve internationale standarder som ISO 27001 (om ledelsessystem til informationssikkerhed) og/eller ISO 27005 (om risikostyring).

Hvad der ofte sker er, at virksomheden udfører en risikovurdering, skriver en flot rapport ... og det er så det. Rapporten ligger i en skuffe eller på en hylde og samler støv indtil næste år eller indtil næste revision.

Og det er her, fejlen ligger. Risikovurdering er ikke et projekt, der bare kan lukkes ned efter afslutning. Det er en løbende proces.

Hvorfor? Her er 3 gode grunde til, at risikovurdering er en proces og ikke et projekt:

  1. Din virksomhed er i konstant forandring, og det samme er verden omkring den - også  trusler og sårbarheder
  2. Når du har vurderet risici, skal du behandle dem. Risikobehandling må aldrig stoppe - og heller ikke risikovurdering
  3. Informationssikkerheden skal forbedres hele tiden. Det samme gælder risikostyringen

Pointen er, at det ikke dur at stå stille. Du skal vurdere risici med jævne mellemrum, fordi det giver mening for din virksomhed. Tænk på det sådan her: Hvor meget er dit ledelsessystem til informationssikkerhed værd, hvis det ikke afspejler de uundgåelige forandringer din virksomhed og verden omkring den er udsat for?

De gode nyheder

Selv om "risikovurdering" lyder som en kedelig og tidskrævende opgave, behøver den faktisk ikke være så omfangsrig, at den afholder dig fra at risikovurdere med jævne mellemrum.

Du kan tage nogle genveje, som vil spare dig for værdifuld tid, når du udfører dine risikovurderinger:

Ikke alle aktiver

Start med kun at udvælge dine vigtigste forretningsprocesser. Ikke alle aktiver - og slet ikke alt med et ip-nummer. Du kan altid udvide scopet senere. 

Ikke alle trusler

Undgå at dit trusselskatalog vokser sig stort og uoverskueligt. Opdel dine aktiver i typer og identificér hvilke trusler, der er relevante for de forskellige typer af aktiv. 

Op- og nedarvning af risiko

Identificér afhængigheder mellem dine aktiver. Så behøver du færre forretningskonsekvens- og sårbarhedsvurderinger.

Først overordnede vurderinger

Det giver god mening at starte med at lave overordnede risikovurderinger. Senere vil du have mere tid til at gå i detaljen med vurderingerne af dine aktiver.

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg

Prøv NorthGRC

NorthGRC har siden 2002 hjulpet organisationer med at leve op til compliancekrav, bl.a. indenfor informationssikkerhed og databeskyttelse. Vi er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede GRC-værktøj til styring og ledelse af ISO 27001/2, GDPR, NIS2 og mange andre compliance standarder, sparer virksomheders tid og kræver færre konsulenttimer.

NorthGRC A/S - Tobaksvejen 23 B, 1. sal - 2860 Søborg

© 2024 NorthGRC   -   Privacy policy
[fa icon="chevron-up"]