Risikovurdering (ISO 27001)

Risikovurdering er processen, hvor din organisation systematisk kortlægger, analyserer og evaluerer informationssikkerhedsrisici. Det er et af de centrale krav i ISO 27001 og grundlaget for at vælge de rette sikkerhedskontroller i dit ISMS.

Tilbage til ordbog

Hvad er risikovurdering?

I ISO 27001 er risikovurdering (risk assessment) den proces, hvor organisationen identificerer risici for fortrolighed, integritet og tilgængelighed af sine informationsaktiver. Processen danner grundlaget for alle efterfølgende beslutninger om sikkerhedskontroller og er et obligatorisk krav i standarden (klausul 6.1.2).

En risikovurdering i ISO 27001-kontekst handler om at forstå, hvad der kan gå galt, hvor sandsynligt det er, og hvilken konsekvens det vil have for organisationen. Resultatet bruges til at prioritere, hvilke risici der skal håndteres, og hvordan.

Risikovurderingsprocessen

ISO 27001 kræver en konsistent og reproducerbar metode. En typisk proces indeholder følgende trin:

Risikoidentifikation: Kortlæg informationsaktiver og identificer trusler, sårbarheder og mulige konsekvenser.
Risikoanalyse: Vurder sandsynlighed og konsekvens for hver identificeret risiko.
Risikoevaluering: Sammenlign det analyserede risikoniveau med organisationens risikokriterier og beslut, hvilke risici der er acceptable.

Risikobehandling

Efter risikovurderingen udarbejdes en risikobehandlingsplan. Risici kan behandles på fire måder:

Modificering: Implementer kontroller fra Annex A for at reducere risikoen.
Undgåelse: Stop den aktivitet, der skaber risikoen.
Deling: Overfør risikoen til en tredjepart (fx via forsikring eller outsourcing).
Accept: Accepter risikoen, hvis den er inden for risikokriterierne.

Dokumentationskrav

ISO 27001 kræver dokumenteret information om risikovurderingens resultater. Det betyder, at du skal have dokumentation for de identificerede risici, den valgte metode, resultater og beslutninger om risikobehandling. Disse dokumenter er typisk genstand for ekstern revision ved certificering.

Risikoejere: ISO 27001 kræver, at der udpeges en risikoejer for hver risiko. Det er den person eller funktion, der har ansvaret for at beslutte, hvordan risikoen skal behandles, og for at overvåge om behandlingen er effektiv.

Ofte stillede spørgsmål om risikovurdering (iso 27001)

Hvad er en risikovurdering i ISO 27001?

En risikovurdering i ISO 27001 er en systematisk proces, hvor organisationen identificerer trusler og sårbarheder, vurderer sandsynlighed og konsekvens, og beslutter, hvilke risici der skal behandles. Resultatet danner grundlag for valg af sikkerhedskontroller.

Hvor tit skal man lave risikovurdering?

ISO 27001 kræver, at risikovurderingen gennemføres med planlagte intervaller og ved væsentlige ændringer. I praksis anbefales mindst en gang om året samt ved større organisatoriske eller teknologiske ændringer.

Hvad er forskellen på risikoidentifikation og risikoanalyse?

Risikoidentifikation handler om at finde og kortlægge risici, mens risikoanalyse handler om at vurdere sandsynlighed og konsekvens for hver risiko. Begge trin indgår i den samlede risikovurderingsproces.

Hvad er de fire risikobehandlingsmuligheder?

ISO 27001 anerkender fire måder at behandle risici på: modificering (implementer kontroller for at reducere risikoen), undgåelse (stop den risikoskabende aktivitet), deling (overfør risikoen til en tredjepart) og accept (accepter risikoen inden for definerede kriterier).

Hvilken dokumentation kræver ISO 27001 for risikovurdering?

ISO 27001 kræver dokumenteret information om risikovurderingsmetoden, de identificerede risici, analyseresultaterne og beslutninger om risikobehandling. Disse dokumenter er genstand for ekstern revision ved certificering.