Hændelseshåndtering (ISO 27001)

Hændelseshåndtering er den strukturerede proces, der sikrer, at informationssikkerhedshændelser opdages, rapporteres og håndteres effektivt og konsistent. ISO 27001 kræver en formelt beskrevet og implementeret hændelseshåndteringsproces.

Tilbage til ordbog

Hvad er en informationssikkerhedshændelse?

En informationssikkerhedshændelse er en uønsket eller uventet begivenhed, der truer fortrolighed, integritet eller tilgængelighed af information. Det kan være alt fra et malware-angreb og et databrud til utilsigtet deling af en fortrolig fil eller tab af en bærbar computer.

ISO 27001 skelner mellem en informationssikkerhedsbegivenhed (event) og en egentlig informationssikkerhedshændelse (incident). En begivenhed er enhver potentielt sikkerhedsrelevant hændelse, mens en incident er en bekræftet begivenhed med negativ konsekvens.

ISO 27001's krav

ISO 27001:2022 Annex A kontrol 5.24–5.28 dækker hændelseshåndtering:

A.5.24: Planlægning og forberedelse til håndtering af informationssikkerhedshændelser.
A.5.25: Vurdering og beslutning om informationssikkerhedsbegivenheder.
A.5.26: Reaktion på informationssikkerhedshændelser.
A.5.27: Læring fra informationssikkerhedshændelser.
A.5.28: Indsamling af beviser.

Hændelseshåndteringsprocessen

En effektiv hændelseshåndteringsproces indeholder typisk disse faser:

Opdagelse og rapportering: Medarbejdere og systemer opdager og indrapporterer potentielle hændelser gennem etablerede kanaler.
Vurdering og klassificering: Hændelsen vurderes og klassificeres efter alvorlighed, hvilket bestemmer det passende responsniveau.
Inddæmning: Begræns skadens omfang og forhindre yderligere spredning af hændelsen.
Udryddelse: Fjern årsagen til hændelsen fra berørte systemer.
Genopretning: Genetablér normal drift og verificér, at systemer fungerer korrekt.
Efteranalyse: Analysér hændelsen og implementér forebyggende tiltag for at undgå gentagelse.

Rapportering til myndigheder: Visse hændelser kræver ekstern rapportering. Et brud på persondatasikkerheden skal anmeldes til Datatilsynet inden 72 timer (GDPR artikel 33). NIS2-hændelser har egne notifikationsfrister.

Læring og forebyggelse

En vigtig, men ofte forsømt, del af hændelseshåndtering er den systematiske læring. Efteranalysen af en hændelse bør munde ud i konkrete tiltag, der forhindrer gentagelse. Disse erfaringer bør indgå i ledelsesgennemgangen og opdatering af risikovurderingen.

ISO 27001 kontrol A.5.27 kræver specifikt, at viden fra informationssikkerhedshændelser bruges til at styrke den overordnede sikkerhedsposition. Dette skaber en cyklus af løbende forbedring, der er grundlæggende for et effektivt ISMS.

Ofte stillede spørgsmål om hændelseshåndtering (iso 27001)

Hvad er hændelseshåndtering i ISO 27001?

Hændelseshåndtering i ISO 27001 er den strukturerede proces til at opdage, rapportere, vurdere og håndtere informationssikkerhedshændelser for at minimere skade og forhindre gentagelse. Den er dækket af Annex A-kontrollerne 5.24 til 5.28.

Hvad er forskellen mellem en sikkerhedsbegivenhed og en sikkerhedshændelse?

En sikkerhedsbegivenhed er enhver potentielt sikkerhedsrelevant hændelse, f.eks. et usædvanligt loginforsøg. En sikkerhedshændelse er en bekræftet begivenhed, der har negativ konsekvens for fortrolighed, integritet eller tilgængelighed af information.

Hvad er faserne i hændelseshåndtering?

De typiske faser er: opdagelse og rapportering, vurdering og klassificering, inddæmning, udryddelse, genopretning og efteranalyse. Hver fase har specifikke mål og aktiviteter.

Kræver ISO 27001 rapportering af hændelser til myndigheder?

ISO 27001 kræver ikke i sig selv rapportering til myndigheder, men den kræver, at organisationen overholder gældende lovmæssige og kontraktuelle krav. GDPR kræver anmeldelse af brud inden 72 timer, og NIS2 har egne rapporteringsfrister.

Hvordan hænger hændelseshåndtering sammen med forretningskontinuitet?

Hændelseshåndtering og forretningskontinuitet er tæt forbundet. Hændelseshåndtering adresserer den umiddelbare respons på sikkerhedshændelser, mens forretningskontinuitetsplanlægning sikrer, at kritiske operationer kan fortsætte under og efter en større forstyrrelse.