Modul 3

Riskhantering enligt ISO 27001

Utbildningsperiod: oktober 2022. Den här utbildningen är avslutad och inte längre aktiv.

Upprättat av ISO-expert – Rebecka Fredriksson

Tillbaka till Kursöversikt
Informationssäkerhet

Modul 3: Riskhantering och Förbättringsprocesser

Arkiverad kursmodul från ISO 27001-utbildningen där Diyar Parwana i Linköping var utbildningsansvarig.

Utbildningsperiod: oktober 2022 – avslutad

Riskhantering enligt ISO 27001

Riskbedömning

Systematisk identifiering och analys av säkerhetsrisker:

  • Riskidentifiering

    - Hotanalys
    - Sårbarhetsbedömning
    - Konsekvensanalys
    - Sannolikhetsbedömning

  • Riskvärdering

    - Riskmatris
    - Riskkriterier
    - Acceptabla risknivåer
    - Prioritering

Riskbehandling

Strategier för att hantera identifierade risker:

1. Riskreducering
  • Implementering av kontroller
  • Tekniska åtgärder
  • Organisatoriska åtgärder
  • Fysiska åtgärder
2. Risköverföring
  • Försäkringar
  • Outsourcing
  • Serviceavtal
  • Garantier
3. Riskacceptans
  • Riskbedömning
  • Beslutsprocess
  • Dokumentation
  • Övervakning

Förbättringsprocesser

  • Kontinuerlig förbättring

    Systematisk förbättring av säkerhetsnivån:

    • Mätning och analys
    • Korrektiv åtgärd
    • Förebyggande åtgärd
    • Förbättringscykler
  • Övervakning och uppföljning

    Kontinuerlig övervakning av säkerhetsnivån:

    • Prestandamätning
    • Effektivitetsbedömning
    • Trendanalys
    • Rapportering

Praktiska exempel

Exempel: Riskhantering i en finansiell organisation

En bank implementerar följande riskhanteringsprocess:

Risk Sannolikhet Konsekvens Åtgärd
Dataintrång Hög Kritisk Firewall, IDS, kryptering
Fysisk skada Låg Hög Brandskydd, backup
Personalrisker Medium Hög Utbildning, policy