mystifioivaa riskinarviointia

Riskinarvioinnin mysteerin poistaminen: alkaen ISO 27001 -ohjaimista

Tietoturvan riskinarviointi

Riskienhallinta on keskeinen rooli minkä tahansa organisaation tietoturva-asennossa. Ennakoiva lähestymistapa mahdollisten riskien tunnistamiseen, arviointiin ja hoidon määrittämiseen mahdollistaa riskien tehokkaamman vähentämisen, tulosten hallinnan ja tietoturvahäiriöiden vaikutusten vähentämisen yritykseesi, jos niitä sattuu.

Hyvä riskinarviointi- ja hallintakäytäntö on pakollinen kaikille, jotka haluavat noudattaa ISO 27001 -standardia. Standardi edellyttää, että organisaatiosi luo ja ylläpitää tietoturvariskien arviointiprosesseja, mukaan lukien riskien hyväksymis- ja arviointikriteerit riskien todennäköisyyden ja vaikutuksen mittaamiseksi. 

ISO 27001:n riskienhallinta on suoraan linjassa standardin tietoturvaohjauksen kanssa, joka voidaan toteuttaa tunnistamiesi riskien hallintaan.

Tehokas riskinarviointi ISO 27001 -standardissa

Osana ISO 27001 -standardin noudattamista organisaatiosi tulee kehittää riskinarviointi- ja hoitoprosessi. Riskinarviointeja tulee tehdä säännöllisesti, jotta varmistetaan uusien riskien johdonmukainen tunnistaminen ja käsitteleminen, ja riskit tulee osoittaa riskien omistajille heidän elinkaarensa ajan.

Riskien luokittelemiseen ja ymmärtämiseen käytetään useita keskeisiä termejä:

  • Riski: tietojen tai omaisuuden tuhoutuminen, vahingoittuminen tai katoaminen
  • uhka: henkilö tai toiminta, joka lisää tapahtuman todennäköisyyttä, kuten uhkatekijä, joka lähettää phishing-sähköposteja työntekijöille tai käyttää hyväkseen haavoittuvuutta
  • haavoittuvuus: organisaatiosi sovellusten, verkkojen tai infrastruktuurin heikkous, joka voi paljastaa tietosi ja omaisuutesi.

Riskien tunnistaminen

Ennen kuin tunnistat riskin, sinun tulee määrittää tietovarat, jotka organisaatiosi tarvitsee suojata luomalla omaisuusrekisteri. Omaisuutta ovat:

  • Tietoa tai dataa
  • Teollis- ja tekijänoikeudet
  • Fyysiset paikat ja rakennukset
  • järjestelmät
  • Palvelimet
  • Software.

Kun tunnistat näihin omaisuuseriin kohdistuvia riskejä, sinun tulee ottaa huomioon riskit, jotka voivat vaikuttaa tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen (tunnetaan nimellä CIA), mukaan lukien:

  • Kaikki ulkoiset tai sisäiset ongelmat (mukaan lukien Lauseke 4.1)
  • Asianomaisten osapuolten tarpeet ja odotukset (linjassa Lauseke 4.2)
  • Sovellettava lainsäädäntö, määräykset tai sopimusvaatimukset
  • Järjestelmän laajuus (linjassa Lauseke 4.3)
  • Organisaation sisäiset ylimääräiset vaatimustenmukaisuusjärjestelmät, kuten Cyber ​​Essentials.

Riskianalyysi

Riskianalyysi on prosessi, jossa jokainen riski pisteytetään tapahtuman todennäköisyyden ja vaikutuksen perusteella.

ISMS.online-alustalla voit arvioida riskin todennäköisyyden erittäin alhaisesta erittäin korkeaan (1–5) ja vaikutuksen nollasta vakavaan (0–5). Nämä tekijät arvioivat jokaisen riskin 25:stä, ja vaikutusta pidetään tärkeämpänä kuin todennäköisyyttä. Näin voit priorisoida hoidon riskipisteiden perusteella.

ISO 27001 riskikartta
ISO 27001 -riskipisteytysmatriisi

Organisaatiosi saattaa esimerkiksi pitää riskinä, että työntekijä on ohjannut sähköpostin väärin väärälle vastaanottajalle. Kriteereihisi nähden voit päättää, että todennäköisyys on keskinkertainen ja vaikutus vähäinen, koska kaupallista tietoa voidaan lähettää vahingossa useille vastaanottajille yksittäiseen vastaanottajaan verrattuna, mikä antaa riskille suhteellisen alhaisen pistemäärän. Seuraava askel on päättää, miten tätä riskiä hoidetaan.

Riskihoito

Jokainen riskinomistaja on vastuussa sopivan riskikäsittelyn tunnistamisesta. Heidän tulee myös harkita kriteerejä riskin sietämiseksi. Viisi hoitovaihtoehtoa ovat:

  • lopettaa – poistaa riski kokonaan
  • Hoitaa – riskien vaikutuksen tai todennäköisyyden vähentämiseksi
  • Siirtää – riskin siirtäminen tai jakaminen (esim. hankkimalla vakuutus)
  • Sietää – hyväksyä jäännösriski
  • Yhdistelmä – useamman kuin yhden edellä mainituista toimista.

Riskien hyväksymisen, joka tunnetaan myös nimellä riskinsietokyky, tulee perustua seuraaviin kriteereihin:

  • Hyväksyttävä riskitaso
  • Vaarassa olevien henkilökohtaisten tunnistetietojen (PII) tyyppi ja määrä
  • Laki-, sääntely- tai sopimusvelvoitteet
  • Liiketoiminnan tavoitteet ja vaatimustenmukaisuusvaatimukset
  • Kaikki muut ristiriitaiset riskit, joita voidaan ottaa käyttöön tai muuttaa tunnistetun riskin hoitamisesta, kuten riskit resurssitasolle.

Voit päättää hyväksyä esimerkkiriskin harkittuasi lisäkontekstia. Organisaatiosi on esimerkiksi saattanut ottaa käyttöön laajempia ohjauskeinoja, jotka vähentävät sähköpostin erehdyksessä väärälle vastaanottajalle välittämisen vaikutusta, kuten esim. Liite A.5.14 tiedonsiirto ja A.6.4 kurinpitoprosessi.

Hoitoa voidaan tarvita vakavampien riskien, kuten henkilötietojen loukkauksen, vuoksi. Tässä esimerkissä riskinomistaja voi käsitellä riskiä järjestämällä säännöllisesti kaikille työntekijöille tietojenkalastelutietoisuuskoulutusta ja ottamalla käyttöön työkaluja tietojenkalastelutoiminnan seurantaan. Riskitaso kertoo myös, kuinka usein se tulee tarkistaa – esimerkiksi kuukausittain, neljännesvuosittain, kuuden kuukauden välein tai vuosittain.

Riskien hallinta ISO 27001 -ohjaimilla

Riskinarviointiprosessi jättää sinulle selkeän joukon riskejä, kun taas riskinkäsittelyprosessi edellyttää, että valitset sopivat riskinhoitovaihtoehdot ja määrität tarvittavat kontrollit. ISO 27001:2022 Liite A sisältää 93 ohjausobjektin joukon neljään luokkaan: organisaation ohjaukset, fyysiset ohjaukset, ihmisten ohjaukset ja teknologiset ohjaukset.

Nämä hallintalaitteet sisältävät prosesseja, käytäntöjä, laitteita, käytäntöjä ja muita ehtoja tai toimia, jotka ylläpitävät tai muokkaavat riskejä, kuten salasanakäytännöt, virustorjuntaohjelmistot ja salaus. Niiden käyttöönotto auttaa vähentämään riskejä ja vähentämään tietoturvaloukkausten vaikutuksia. Käyttämällä kohdassa esitettyjä säätimiä ISO 27001:2022 liite A varmistaa, että olet omaksunut kattavan lähestymistavan yrityksesi riskien hallintaan.

Olennaisia ​​ISO 27001:2022 liitteen A ohjaimia ovat:

  • A.5.1 Tietoturvakäytännöt, joka edellyttää, että organisaatiollasi on tietoturvapolitiikka-asiakirja, joka suojaa tietoturvauhilta
  • A.5.34 Henkilökohtaisten tunnistetietojen yksityisyys ja suoja, ennaltaehkäisevä valvonta, joka sisältää ohjeita ja menettelytapoja, jotka auttavat organisaatiotasi täyttämään henkilökohtaisen tunnistetietojen (PII) säilyttämiseen, yksityisyyteen ja turvallisuuteen liittyvät vaatimukset.
  • A.6.8 Tietoturvatapahtumaraportointi, jonka tavoitteena on helpottaa henkilöstön havaitsemien tietoturvatapahtumien oikea-aikaista, johdonmukaista ja tehokasta raportointia
  • A.7.9 Omaisuuden turvaaminen muualla kuin toimitiloissa, joka edellyttää, että organisaatiot luovat ja ottavat käyttöön protokollat ​​ja määräykset, jotka kattavat kaikki yrityksen omistamat tai käytetyt laitteet.
  • A.8.7 Suojaus haittaohjelmia vastaan, joka tarjoaa ohjeita haittaohjelmien suojauksen toteuttamiseen, joka kattaa valvotut järjestelmät ja tilien pääsyn, muutostenhallinnan, haittaohjelmien torjuntaohjelmistot ja organisaation tietoturvatietoisuuden
  • A.8.24 Salauksen käyttö asettaa seitsemän vaatimusta, joita organisaatioiden on noudatettava salausmenetelmiä käyttäessään.

Riskien ja hallinnan tunnistamisprosessit on yksinkertaistettu ISMS.online-alustalla. Alusta tunnistaa vakiona yli 100 yleistä riskiä ja ehdottaa asianmukaisia ​​valvontakeinoja, joita voidaan soveltaa kunkin riskin hoitamiseen, mikä vähentää merkittävästi riskinarviointia ja hallintatyötäsi.

Jatkuvan riskien seurannan merkitys

Jatkuva seuranta ja arvioinnit ovat olennainen osa riskienhallintaa, koska riskin todennäköisyys tai vaikutus voi muuttua ajan myötä, mikä tarkoittaa, että tarvitaan uusi hoitomenetelmä. Matalan tason riskien osalta voit päättää, että vuosikatsaukset ovat riittäviä, kun taas keskitason riskit voidaan joutua arvioimaan uudelleen kolmen tai kuuden kuukauden välein ja korkean tason riskit kuukausittain.

Riippumatta siitä, minkä tarkastelujakson päätät sopivaksi tunnistetulle riskille, on erittäin tärkeää varmistaa, että riskien omistajat toimittavat sen, jotta sinulla on ajan tasalla oleva näkemys organisaatiosi riskikartoituksesta. ISMS.online-alusta ilmoittaa automaattisesti riskien omistajille tapahtumista, kuten vuosittaisista riskiarvioinneista, ja varmistaa, että riskienhallintasi on vankkaa ja johdonmukaista tiimisi vähäisellä vaivalla.

Näitä säännöllisiä tarkastuksia voidaan käyttää todisteena siitä, että organisaatiosi ylläpitää ja kehittää vankkaa tietoturvan hallintajärjestelmää (ISMS) tarkastajallesi.

Riskienhallinnan yksinkertaistaminen ISMS.onlinen avulla

Sen lisäksi, että ISMS.online tarjoaa valmiin riskipankin yli 100 yleisellä liiketoimintariskillä, se sisältää myös dynaamisen riskikartan. Kartta antaa sinulle ajantasaisen yleiskatsauksen organisaatiosi riskiprofiilista, joten riskienhallinnan koordinointi, mahdollisten uhkien ja mahdollisuuksien tarkasteleminen ja sidosryhmien ajan tasalla pitäminen on helpompaa kuin koskaan.

Alustassa on myös dynaaminen muistutusominaisuus, joka muistuttaa automaattisesti riskien omistajia, kun on aika tarkistaa riski, josta he ovat vastuussa, onko se tarkistettava kuukausittain, neljännesvuosittain, kuuden kuukauden välein tai vuosittain. Riskihistoriakaavion avulla voit tunnistaa ja seurata riskilähteitä ja korostaa, miten riskiprofiilisi on kehittynyt.

Hallitse tietoturvariskiäsi ennakoivasti

Monille yrityksille ISO 27001 -sertifiointi tarjoaa kiistattoman kilpailuedun: ne voivat todistaa asiakkaille ja mahdollisille asiakkaille, että he ovat sitoutuneet pitämään tietonsa turvassa.

Riskienhallinta ja valvonnan käyttöönotto ovat tärkeitä osa-alueita ISO 27001 -sertifioinnissa, jotka muodostavat vankan tietoturva-asennon ja ISMS:n ytimen. Ennakoivan riskienhallinnan avulla voit seurata riskejä, ehkäistä tapauksia ja vähentää tapahtuvien tapausten vaikutuksia. Priorisoimalla riskien arvioinnin jatkuvana prosessina voit varmistaa, että organisaatiosi on aina valmis vastaamaan uusimpiin uhkiin.

ISMS.online-alusta tarjoaa yksinkertaistetun lähestymistavan riskinarviointiin, jossa on riskipankki, ehdotetut kontrollit kullekin riskille ja automaatio, joka muistuttaa riskien omistajia, kun on aika tarkastella riskejä, joista he ovat vastuussa. Jos olet valmis saavuttamaan ISO 27001 -yhteensopivuuden helposti ja säästämään aikaa riskienhallinnassa, varaa demosi.

kirjailija

Christie Rae

Christie on sisältömarkkinoinnin asiantuntija ISMS.onlinessa. Yli seitsemän vuoden kokemuksella hän pyrkii kirjoittamaan informatiivista, mukaansatempaavaa sisältöä ja on työskennellyt useilla eri aloilla, mukaan lukien kyberturvallisuus, ohjelmistot palveluna, tekniikka ja lääketeollisuus.

Näytä kaikki Christie Raen viestit

Aiheeseen liittyvät julkaisut

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!