Description of Image.


Risikovurdering i forbindelse med informationssikkerhed

En risikovurdering i forbindelse med informationssikkerhedsledelse bør baseres på den fortegnelse over aktiver, som kræves opstillet ifølge DS/EN ISO/IEC 27001:2017, pkt. A.8.1.1.

Fortegnelsen over aktiver kunne fx have følgende form:

Aktivtype Aktiv Aktivejer Scoring Kritisk styringspunkt, der kræver igangsættelse af it-kontroller og/eller handleplaner?
Forretningsprocesser og -aktiviteter CFO Kritisk Ja
Navision-systemet (= Virksomhedens ERP-system med data af væsentlig betydning for ordreeksekvering og kundebetjening) CFO Kritisk Ja
Software It-chefen Kritisk Ja
Standard-Softwarepakker og ikke-tilpasset standard-software i øvrigt It-chefen Ikke kritisk Nej

DS/ISO/IEC 27005:2011, B.2, anbefaler, at alle aktiver værdiansættes - dvs., at det for hvert aktiv forsøges opgjort i kroner og øre, hvad de direkte og indirekte omkostninger vil beløbe sig til, hvis det pågældende aktiv mistes, ødelægges eller på anden måde sættes ud af kraft. Beløbet sammenlignes med, hvad det via iværksættelse af it-kontroller og/eller diverse handleplaner vil koste i løbende driftsudgifter at reducere risikoen for det pågældende aktiv til "common base" = det acceptable restrisiko-niveau.

Hvis der er et meget gunstigt forhold mellem aktivets værdi (materielt og immaterielt) og de løbende driftsudgifter, som vil være forbundet med at nedbringe risikoen til acceptabelt niveau - at få det pågældende punkt bragt i styring - vil det være let for aktivejeren at igangsætte de dermed forbundne kontroller og/eller handleplaner, jf. virksomhedens Statement of Applicability - SoA - Erklæring om it-kontrollers anvendelighed.

Risikovurderingsprocessen kan visualiseres med følgende diagram: