demystifiserende risikobepaling

Demystifying Risiko Assessering: Begin met kontroles vir ISO 27001

Risiko-evaluering in inligtingsekuriteit

Risikobestuur speel 'n belangrike rol in enige organisasie se inligtingsekuriteitsposisie. 'n Proaktiewe benadering tot die identifisering, evaluering en bepaling van die behandeling vir potensiële risiko's stel jou in staat om risiko meer effektief te versag, uitkomste beter te bestuur en die impak van inligtingsekuriteitsinsidente op jou besigheid te verminder indien dit sou plaasvind.

Goeie risikobepaling en bestuurspraktyke is verpligtend vir enigiemand wat aan die ISO 27001-standaard wil voldoen. Die standaard vereis van jou organisasie om inligtingsekuriteit risiko-assesseringsprosesse te vestig en in stand te hou, insluitend risiko-aanvaarding en assesseringskriteria om die waarskynlikheid en impak van risiko's te meet. 

Risikobestuur in ISO 27001 strook direk met die standaard se inligtingsekuriteitskontroles, wat geïmplementeer kan word om u geïdentifiseerde risiko's te hanteer.

Effektiewe risiko-evaluering in ISO 27001

As deel van ISO 27001-nakoming, moet u organisasie 'n risikobepaling en behandelingsproses ontwikkel. Risiko-evaluerings moet gereeld uitgevoer word om te verseker dat jy konsekwent nuwe risiko's identifiseer en aanspreek, en risiko's moet vir die duur van hul leeftyd aan risiko-eienaars toegewys word.

Daar is verskeie sleutelterme wat gebruik word om risiko te klassifiseer en te verstaan:

  • Risiko: die potensiaal vir vernietiging, skade of verlies van data of bates
  • Bedreiging: 'n persoon of optrede wat die kanse op 'n voorval verhoog, soos 'n bedreigingsakteur wat uitvissing-e-posse aan werknemers stuur of 'n kwesbaarheid uitbuit
  • Kwesbaarheid: 'n swakheid in jou organisasie se toepassings, netwerke of infrastruktuur wat jou data en bates kan blootlê.

Risiko-identifikasie

Voordat u risiko identifiseer, moet u die inligtingsbates bepaal wat u organisasie moet beskerm deur 'n bateregister te skep. Bates sluit in:

  • Inligting of data
  • Intellektuele eiendom
  • Fisiese liggings en geboue
  • Systems
  • hardeware
  • Sagteware.

Wanneer u risiko's vir hierdie bates identifiseer, moet u risiko's oorweeg wat datavertroulikheid, integriteit en beskikbaarheid (bekend as CIA) kan beïnvloed, insluitend:

  • Enige eksterne of interne kwessies (in ooreenstemming met Klousule 4.1)
  • Die behoeftes en verwagtinge van belangstellendes (in ooreenstemming met Klousule 4.2)
  • Toepaslike wetgewing, regulasies of kontraktuele vereistes
  • Die omvang van die stelsel (in ooreenstemming met Klousule 4.3)
  • Enige bykomende nakomingsregimes binne die organisasie, soos Cyber ​​Essentials.

Risiko-analise

Risiko-analise is die proses om elke risiko aan te teken op grond van die waarskynlikheid en impak van die voorkoms.

Binne die ISMS.online platform kan jy die waarskynlikheid van risiko van baie laag tot baie hoog (1-5) en die impak van geen tot ernstig (0-5) beoordeel. Hierdie faktore tel elke risiko uit 25, met impak wat belangriker as waarskynlikheid geag word. Dit laat jou toe om behandeling te prioritiseer op grond van die risikotelling.

ISO 27001 risikokaart
'n ISO 27001 risikopuntmatriks

Byvoorbeeld, jou organisasie kan dalk 'n e-pos identifiseer wat deur 'n werknemer verkeerd na die verkeerde ontvanger gestuur word as 'n risiko. Om aan jou kriteria te meet, kan jy besluit dat die waarskynlikheid medium is en die impak gering is as gevolg van die moontlikheid dat kommersiële inligting verkeerdelik aan baie ontvangers gestuur word in vergelyking met 'n enkele ontvanger, wat die risiko 'n relatief lae telling gee. Die volgende stap is om te besluit hoe om daardie risiko te behandel.

Risiko Behandeling

Elke risiko se eienaar is verantwoordelik vir die identifisering van die toepaslike risikobehandeling. Hulle moet ook kriteria oorweeg om die risiko te verdra. Die vyf behandelingsopsies is:

  • beëindig – om die risiko heeltemal uit te skakel
  • behandel – om die risiko-impak of waarskynlikheid te verminder
  • Oordrag – oordrag of deel van die risiko (bv. deur versekering te bekom)
  • Verdra – om die oorblywende risiko te aanvaar
  • 'N Kombinasie – neem meer as een van die aksies hierbo.

Risiko-aanvaarding, ook bekend as risikotoleransie, moet op die volgende kriteria gebaseer word:

  • Die vlak van risiko wat aanvaar moet word
  • Die tipe en volume van persoonlik identifiseerbare inligting (PII) in gevaar
  • Wetlike, regulatoriese of kontraktuele verpligtinge
  • Besigheidsdoelwitte en voldoeningsvereistes
  • Enige ander botsende risiko's wat ingestel of verander kan word vanaf die behandeling van die geïdentifiseerde risiko, soos risiko's tot hulpbronvlakke.

U kan besluit om die voorbeeldrisiko te duld nadat u verdere konteks oorweeg het. Byvoorbeeld, jou organisasie het dalk breër kontroles geïmplementeer wat die impak verminder van 'n e-pos wat verkeerdelik na die verkeerde ontvanger aangestuur word, soos bv. Bylae A.5.14 inligtingsoordrag en A.6.4 dissiplinêre proses.

Behandeling kan nodig wees vir meer ernstige risiko's, soos 'n persoonlike data-oortreding. In hierdie voorbeeld kan die risiko-eienaar die risiko hanteer deur gereeld uitvissing-bewustheidsopleiding vir alle werknemers uit te voer en nutsgoed te ontplooi om uitvissingaktiwiteit te monitor. Die vlak van risiko dui ook aan hoe gereeld dit hersien moet word—byvoorbeeld maandeliks, kwartaalliks, sesmaandeliks of jaarliks.

Aanspreek risiko met ISO 27001-kontroles

Jou risiko-assesseringsproses sal jou met 'n duidelike stel risiko's laat, terwyl die risikobehandelingsproses vereis dat jy toepaslike risikobehandelingsopsies kies en die beheermaatreëls bepaal wat jy moet implementeer. ISO 27001:2022 Bylae A verskaf 'n stel van 93 kontroles in vier kategorieë: organisatoriese kontroles, fisiese kontroles, mensekontroles en tegnologiese kontroles.

Hierdie kontroles sluit prosesse, beleide, toestelle, praktyke en ander toestande of aksies in wat risiko handhaaf of wysig, soos wagwoordbeleide, antivirusprogrammatuur en kriptografie. Die implementering daarvan help om risiko's te versag en die impak van inligtingsekuriteitsinsidente te verminder. Die gebruik van die kontroles uiteengesit in ISO 27001:2022 Bylae A verseker dat jy 'n volledige benadering gevolg het om risiko's vir jou besigheid aan te spreek.

Noodsaaklike ISO 27001:2022 Bylae A-kontroles sluit in:

  • A.5.1 Beleide vir inligtingsekuriteit, wat vereis dat jou organisasie 'n inligtingsekuriteitsbeleiddokument in plek moet hê om teen inligtingsekuriteitbedreigings te beskerm
  • A.5.34 Privaatheid en beskerming van PII, 'n voorkomende beheer met riglyne en prosedures om jou organisasie te help om aan sy vereistes met betrekking tot die berging, privaatheid en sekuriteit van persoonlik identifiseerbare inligting (PII) te voldoen.
  • A.6.8 Rapportering van inligtingsekuriteitsgebeurtenisse, wat daarop gemik is om tydige, konsekwente en effektiewe verslagdoening van inligtingsekuriteitsgebeure wat deur personeel opgespoor word, te fasiliteer
  • A.7.9 Sekuriteit van bates buite die perseel, wat vereis dat organisasies protokolle en regulasies opstel en implementeer wat alle toestelle dek wat namens die maatskappy besit of gebruik word
  • A.8.7 Beskerming teen wanware, wat riglyne verskaf vir die uitvoering van 'n wanware-verdediging wat beheerde stelsels en rekeningtoegang, veranderingsbestuur, anti-wanware sagteware en organisatoriese inligtingsekuriteitsbewustheid insluit
  • A.8.24 Gebruik van kriptografie bepaal sewe vereistes waaraan organisasies moet voldoen wanneer hulle kriptografiese metodes gebruik.

Die risiko- en kontrole-identifikasieprosesse word binne die ISMS.aanlyn-platform vereenvoudig. As standaard identifiseer die platform meer as 100 algemene risiko's en stel relevante beheermaatreëls voor wat toegepas kan word om elke risiko te behandel, wat jou risiko-evaluering en bestuurswerklading aansienlik verminder.

Die belangrikheid van deurlopende risikomonitering

Deurlopende monitering en hersiening is 'n noodsaaklike deel van risikobestuur omdat 'n risiko se waarskynlikheid of impak met verloop van tyd kan verander, wat beteken dat 'n nuwe metode van behandeling nodig is. Vir laevlakrisiko's kan jy besluit dat jaarlikse hersiening voldoende is, terwyl mediumvlakrisiko's dalk elke drie of ses maande heroorweeg moet word en hoëvlakrisiko's elke maand.

Watter hersieningstydperk jy ook al besluit is geskik vir 'n geïdentifiseerde risiko, dit is noodsaaklik om te verseker dat risiko-eienaars dit lewer sodat jy 'n bygewerkte siening van jou organisasie se risikokartering het. Die ISMS.online platform stel risiko-eienaars outomaties in kennis wanneer gebeurtenisse soos jaarlikse risiko-oorsigte plaasvind, om te verseker dat jou risikobestuur robuust en konsekwent is met minimale moeite van jou span.

Hierdie gereelde resensies kan gebruik word as bewys dat jou organisasie 'n robuuste inligtingsekuriteitbestuurstelsel (ISMS) vir jou ouditeur onderhou en ontwikkel.

Vereenvoudig Risikobestuur met ISMS.online

Benewens die verskaffing van 'n klaargemaakte risikobank met meer as 100 algemene besigheidsrisiko's, bevat die ISMS.online platform ook 'n dinamiese risikokaart. Die kaart gee jou 'n bygewerkte toesig oor jou organisasie se risikoprofiel, so dit is makliker as ooit om jou risikobestuur te koördineer, potensiële bedreigings en geleenthede te sien en belanghebbendes op hoogte te hou.

Die platform kom ook met 'n dinamiese herinneringsfunksie, wat risiko-eienaars outomaties herinner wanneer dit tyd is om 'n risiko waarvoor hulle verantwoordelik is, te hersien, of dit maandeliks, kwartaalliks, sesmaandeliks of jaarliks ​​hersien moet word. Die risikogeskiedenisgrafiek stel jou in staat om risikobronne te identifiseer en op te spoor en beklemtoon hoe jou risikoprofiel ontwikkel het.

Bestuur jou inligtingsekuriteitsrisiko proaktief

Vir baie besighede bied ISO 27001-sertifisering 'n onmiskenbare mededingende voordeel: hulle kan aan kliënte en vooruitsigte bewys dat hulle daartoe verbind is om hul data veilig te hou.

Risikobestuur en beheerimplementering is noodsaaklike aspekte van ISO 27001-sertifisering, wat die kern vorm van 'n robuuste inligtingsekuriteitsposisie en ISMS. Proaktiewe risikobestuur stel jou in staat om risiko's te monitor, voorvalle te voorkom en die impak van insidente wat wel plaasvind te verminder. Deur risikobepaling as 'n deurlopende proses te prioritiseer, kan jy verseker dat jou organisasie altyd bereid is om op die jongste bedreigings te reageer.

Die ISMS.online platform bied 'n vereenvoudigde benadering tot risikobepaling, met 'n risikobank, voorgestelde kontroles vir elke risiko, en outomatisering wat risiko-eienaars herinner wanneer dit tyd is om die risiko's waarvoor hulle verantwoordelik is, te hersien. As jy gereed is om maklik ISO 27001-nakoming te bereik en tyd op jou risikobestuur te bespaar, bespreek jou demo.

skrywer

Christie Rae

Christie is 'n inhoudbemarkingspesialis by ISMS.online. Met meer as sewe jaar se ondervinding beoog sy om insiggewende, boeiende inhoud te skryf en het oor 'n reeks industrieë gewerk, insluitend kuberveiligheid, sagteware as 'n diens, tegnologie en farmaseutiese produkte.

Sien alle plasings deur Christie Rae

Verwante poste

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!