Blog om informationssikkerhed, GDPR og compliance

Håndtering af risici

[fa icon="calendar"] 22. maj 2012 / af Jakob Holm Hansen

Risikohåndtering (også kaldet risikobehandling eller "risk treatment") indgår i det lidt bredere begreb risikostyring. Før I kan håndtere jeres risici, skal I vide hvad jeres risici er, og derfor skal I først lave en risikovurdering. Metoden, som vi anbefaler her, tager inspiration i relevante standarder, i dette tilfælde ISO 27005, og tilfører nogle praktiske erfaringer og afprøvede teknikker.

Klik her for at få en personlig gennemgang af metoden på et møde

Scenariet er som følger: I kender jeres risikoniveau, fordi I har lavet forretningskonsekvensvurderinger og sårbarhedsvurderinger på jeres vigtigste forretningsprocesser samt de tilhørende it-services og systemer. Så langt så godt. Risikobehandling er den disciplin, hvor I behandler risikoniveauet.  I har nu fire muligheder for at håndtere eller behandle de enkelte risici:

  • Acceptér
  • Reducér
  • Del
  • Undgå


Acceptér betyder at virksomheden vælger at leve med en risiko. Denne måde at håndtere risici på, er en naturlig følge af at 100% sikkerhed ikke findes.

Reducér betyder at I udfører tiltag der mindsker sandsynligheden for en hændelse eller mindsker konsekvensen når en hændelse sker. Eksempler på disse tiltag finder du i henholdsvis venstre og højre side af skydeskiven, også kaldet forebyggende og udbedrende tiltag.

Del betyder at I behandler risikoen ved at dele den med andre. For eksempel gennem forsikring eller gennem leverandørkontrakter hvor I betaler et forsikringsselskab eller en leverandør for at have en del af risikoen. I den gamle udgave (2008) af ISO 27005-standarden hed dette punkt "overfør". I praksis kan man sjældent eller aldrig overføre hele risikoen.

Undgå. Lyder rart, tænker du? Den vælger vi da! Det kan være et usikkert system, man holder op med at bruge. Denne risiko-behandlingsform er nok ikke den, I kommer til at bruge mest.

I vores compliance værktøj er risikohåndtering implementeret som en del af risikostyringen. Klik her for at få en kort, personlig online-gennemgang. Helt uforpligtende.

 

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg