Risikovurdering
Få overblik over risici i jeres it-systemer og behandlingsaktiviteter
Både ISO27001 og GDPR stiller krav til, at kommunerne risikovurderer deres it-systemer løbende.
Det kan være en stor opgave at komme i gang, hvis I endnu ikke har risikovurderet alle jeres systemer.
Vi hjælper jer med at få overblikket.
Sådan får i risikovurderet jeres systemer
Nogle it-systemer og behandlingsaktiviteter er forbundet med større risiko end andre.
Derfor har NIBIS Konsulenterne udviklet en model, som screener alle jeres it-løsninger ud fra en overordnet og differentieret risikoprofil:
Rød: Systemet/aktiviteten skal revideres årligt
Gul: Systemet/aktiviteten skal revideres hvert andet år
Grøn: Systemet/aktiviteten skal revideres hvert tredje år
Screeningerne er grundlaget for, at I kan lægge en plan for gennemførelse af risikovurderinger i et tre års-rul.
På den måde kan I lettere planlægge risikovurderingerne sammen med øvrige aktiviteter i forbindelse med drift og projekter i it.
Vi gennemfører den indledende screening med et reduceret trusselskatalog for at etablere modellen og identificere trusler, der skal mitigeres.
Kontakt os for et møde om, hvordan vi kommer i gang.
Ofte stillede spørgsmål om it-risikovurdering
Hvad er formålet med en it-risikovurdering?
Risikovurderingen af jeres samlede systemlandskab og behandlingsaktiviteter har til formål at identificere sikkerhedsrisici og vurdere, hvilken trussel de udgør.
Dybest set handler det om at kunne prioritere indsatsen i forhold til informations- og databeskyttelse.
Det ultimative mål er at forhindre sikkerhedshændelser og fejl.
Hvilke krav er der til risikovurdering af systemer og behandlingsaktiviteter?
Arbejder I efter standarderne ISO27001/02, er der krav til, at I foretager handlinger til håndtering af risici.
Risikostyring er en central proces i standarderne baseret på et ISMS (ledelsessystem for informationssikkerhed), hvor informationer beskyttes på et niveau, som ledelsen i organisationen har godkendt som værende acceptabelt ud fra økonomi og ressourcer.
Hvilke komponenter er der i en risikovurdering for it-systemer?
En risikovurdering begynder med en analyse af det generelle sikkerheds niveau i kommunens systemer og aktiviteter.
Blandt andet skal disse områder analyseres:
- Hvilke systemer og aktiviteter er der – og hvor stor skade vil tab eller eksponering af dem medføre?
- Hvilke processer afhænger af disse aktiviteter/systemer?
- Hvilke trusler kan påvirke systemer og aktiviteter, og hvor stor er sandsynligheden for disse begivenheder?
Hvor ofte skal der laves risikovurderinger i forhold til it- og informationssikkerhed?
Vi anbefaler, at I får lavet en omfattende risikovurdering af alle systemer én gang for alle.
Når den er lavet, er den grundlaget for en plan for, hvilke systemer der skal risikovurderes hvert år, hvert andet år og hvert tredje år.