Risikostyring og analyse

Informasjonssikkerhet handler om risikostyring for å sikre viktig informasjon mot tap og misbruk. En systematisk tilnærming til risiko er nødvendig for å identifisere sikkerhetsbehovene og for å kunne etablere effektive og målrettede sikringstiltak.

Tjeneste

Risikostyring er kjernen i vårt arbeid innen informasjonssikkerhet. Vår metode for risikostyring er scenariobasert og bygger på den internasjonale standarden ISO/IEC 27005. Vi har utviklet ulike verktøy og maler for å kartlegge og analysere status, samt identifisere og følge opp tiltak. Verktøyene som er utviklet er basert på ISO/IEC 27001 og COBITs modenhetsmodell.

Kartleggingsresultatene er utgangspunkt for sårbarhets- og risikoanalyser. Vi benytter de samme verktøyene i modenhetsanalyser, revisjoner, sikkerhetsanalyser og personvernanalyser. Analysene gir svar på hvilke tiltak som virksomheten bør fokusere på for å oppnå ønsket situasjon.

Personvernlovgivningen (GDPR) krever at virksomhetene gjennomfører risikoanalyser. Det samme kravet bør også stilles når det gjelder virksomhetskritisk informasjon og informasjonssystemer. For å kunne identifisere det aktuelle trusselbildet og gjennomføre en risikoanalyse, er det en forutsetning å forstå kundens virksomhet. Vi bistår kundene med å etablere kriterier for akseptabel risiko og gjennomføre risikoanalyser. Risikoreduserende tiltak og etablering av modeller for videre oppfølging er virkemidler som tar utgangspunkt i analysene.

 

 

devoteam