Generelt om Risikostyring
ComplyClouds risikomodul gør det muligt at risikovurdere dine behandlingsaktiviteter, systemer og aktiver fra ét sted. På den måde får du et samlet overblik over jeres risikoprofil. Når du klikker ind på fanen Risiko og sikkerhed i ComplyCloud, får du adgang til tre menuer:
-
Risikovurdering af aktiver: Her vurderer du risikoen for dine systemer, behandlingsaktiviteter og andre aktiver.
-
Risikoscenarier: Her kan du lave risikovurderinger af specifikke trusselsscenarier til jeres virksomhed (eksempelvis "strømsvigt")
- Risikoindstillinger: Her kan du lave et katalog over risici og sikkerhedsforanstaltninger som du kan bruge i jeres risikovurderinger.
-
Hændelseshåndtering: Her kan du dokumentere og følge op på sikkerhedshændelser.
Bemærk: Risikoscenarie-siden vil kun være tilgængelig hvis du har adgang til ComplyClouds ISMS løsning.
Sådan kommer du i gang med risikovurdering af dine aktiver
Tilføj systemer eller behandlingsaktiviteter:
Når du har tilføjet et IT-system eller en behandlingsaktivitet under Kortlægning, kan du oprette en risikovurdering under Risikovurdering af aktiver ved at klikke Handlinger > Tilføj aktiver.
Prioritér rækkefølgen af dine risikovurderinger
Når du har tilføjet de systemer og/eller behandlingsaktiviteter du gerne vil risikovurdere, kan du lave en indledende risikovurdering for at prioritere hvor du skal foksuere din tid. Dette gøres ved at vælge konsekvensniveauet og sandsynligheden på en skala fra 1-5:
Konsekvens: Hvor alvorlige konsekvenser det vil have for virksomheden, hvis systemet eller behandlingsaktiviteten bliver udsat for et brud eller en fejl.
Lav dine risikovurderinger
For hver af dine aktiver har du mulighed for at tilføje alle de trusler du ser som mulige ved at klikke Tilføj trusler. For hver trussel bør du gennemgå det 3-skridts-flow, du kan igangsætte ved at klikke Vurdér ud fra hver trussel.
Trin 1: Bestem din indledende risiko
-
Vurdér den indledende konsekvensscore for hver trussel
-
Tilføj den indledende sandsynlighed for truslen.
-
Se din indledende risikoscore.
Bemærk: Hvis du har aktiveret CIA under Risikoindstillinger skal du rangere din score efter Confidentiality (fortrolighed), Integrity (integritet) og Availability (tilgængelighed). Den højeste score af de tre bliver automatisk din konsekvens-score.
Trin 2: Tilføj sikkerhedsforanstaltninger
Vælg foranstaltninger fra dit sikkerhedskatalog (Se Risikoindstillinger for mere information) eller opret dine egne.
Trin 3: Beregn restrisiko
Efter tilføjelse af foranstaltninger foretager du en endelig vurdering.
Gentag processen for alle trusler for at opnå en komplet, dokumenteret risikovurdering.
Bemærk: Truslen med den højeste risikoscore vil blive aktivets overordnede risikoscore.
Risikoindstillinger
Her kan du gøre det nemmere og mere effektivt at arbejde med risikostyring. Du kan:
- Aktivere "CIA", så der på hver af dine trusler benyttes den samme fremgangsmetode til at vurdere trusler på*
- Tilføje sikkerhedsforanstaltninger som kan benyttes af resten af organisationen under selve risikovurderingen
- Tilføje trusler til et trusselskatalog som også kan benyttes på tværs af jeres risikovurderinger
*Tip: Hvis du har aktiveret CIA under Risikoindstillinger, skal du vurdere din score baseret på fortrolighed (Confidentiality), integritet (Integrity) og tilgængelighed (Availability) . Den højeste score blandt de tre vil automatisk blive brugt som din konsekvensscore.
Risikoversioner og godkendelse af risikovurderinger
Du kan drage fordel af at sende en risikovurdering til godkendelse. Når den er godkendt, gemmes risikovurderingen som en ny version.
Ved at tilføje godkendere til vurderingerne bliver de notificeret via e-mail, og der oprettes en opgave til dem. Alle versioner af dine risikovurderinger gemmes over tid så du altid kan se hvordan en risikovurdering blev lavet historisk.
Tip:
- Start med jeres mest kritiske aktiver
- Gentag vurderinger jævnligt for at sikre opdateret risikostyring.