Birt á Moggablogginu 28.7.2008 - Efnisflokkur: Áhættustjórnun
Nýlega kom út nýr staðall um áhættustjórnun sem snýr að upplýsingaöryggi, ISO/IEC 27005:2008 Information technology - Security techniques - Information Security risk management. Hægt er að nálgast staðalinn hjá Staðlaráði og á www.iso.org. Staðallinn er í bland alþjóðleg útgáfa breska staðalsins BS 7799-3, uppfærsla á stöðlunum ISO/IEC TR 13335-3:1998 og ISO/IEC TR 13335-4:2000, sem jafnframt falla úr gildi, og ritinu Guide to BS 7799 Risk Assessment frá BSI.
Staðallinn ISO/IEC 27005 er fjórði staðallinn í 2700x röð staðla um upplýsingaöryggi sem komið hefur út. Áður eru út komnir:
ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements. Er til sem íslenskur staðall ÍST ISO/IEC 27001:2005 Upplýsingatækni - Öryggistækni - Stjórnkerfi upplýsinga[öryggis] - Kröfur
ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management. ER til sem íslenskur staðall ÍST ISO/IEC 27002:2005 Upplýsingatækni - Öryggistækni - Starfsvenjur fyrir stjórnun upplýsingaöryggis
ISO/IEC 27006:2007 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems
Þá eru tveir á leiðinni:
ISO/IEC 27000 Information technology - Security techniques - Information security management systems - Overview and Vocabulary
ISO/IEC 27004 Information technology - Security techniques - Information security management measurements
Innihald staðalsins
Staðallinn inniheldur lýsingu á áhættustjórnunarferlinu fyrir upplýsingaöryggi og aðgerðum tengdu því. Skynsamlegt er að beita kerfisbundinni nálgun við alla áhættustjórnun, hvort heldur vegna upplýsingaöryggis eða annarra þátta, svo hægt sé að bera kennsl á þarfir fyrirtækja fyrir öryggisstjórnun. Auk þess er áhættustjórnun einatt grundvöllur þessa að hægt sé að koma upp skilvirku öryggisstjórnkerfi. Þannig gera staðlarnir ISO 27001 og ISO 27002 ráð fyrir að framkvæmt sé áhættumat og beitt sé áhættumeðferð við val á ráðstöfunum og við innleiðingu staðlanna.
Í grófum dráttum ætti áhættustjórnun hafa áhrif á eftirfarandi þætti:
Að borin séu kennsl á áhættu/ógnir
Að áhætta sé metin með hliðsjón af afleiðingum þess fyrir reksturinn/aðstæður og líkunum á því að áhættan/ógnirnar raungerist
Að höfð séu samskipti um líkurnar og afleiðingarnar og allir viðkomandi skilji hvað átt er við
Að skilgreind sé forgangsröðun vegna áhættumeðferðar
Að skilgreind sé forgangsröðun til að draga úr áhættu
Að hagsmunaaðilar taki þátt í ákvörðunum varðandi áhættustjórnun og séu upplýstir um gang mála
Að eftirlit með áhættumeðferð sé árangursríkt
Að áhætta/ógnir og áhættustjórnunarferlið sé yfirfarið og endurskoðað reglulega
Að upplýsingum sé safnað til að bæta aðferðir við áhættustjórnun
Að stjórnendur og starfsfólk auki þekkingu sína um áhættu/ógnir og ráðstafanir til að draga úr áhrifum.
Segja má að áhættustjórnunarferlið skiptist í fimm þætti:
Áhættumat, sem felst í að greina áhættu/ógnir og meta áhrif þeirra
Áhættumeðferð, sem getur falist í því að draga úr áhættu, að viðhalda áhættu, forðast hana eða flytja hana til.
Samþykja eða viðurkenna áhættu
Gera hagsmunaaðilum grein fyrir áhættunni (láta vita af henni)
Hafa eftirlit með og endurskoða áhættu
Staðallinn fjallar um þessa fimm þætti, auk þess sem honum fylgja nokkrir viðaukar þar sem m.a. er lýst vhernig gott er að standa að afmörkun (viðauki A), hvaða eignir/verðmæti er dæmigert að taka með og hvernig þetta er metið (viðauki B), dæmi um dæmigerðar ógnir (viðauki C), veilur og hvernig er hægt að meta þær (viðauki D), aðferðir við áhættumat (viðauki E) og loks atriði sem geta takmarkað möguleika til að draga úr áhættu (viðauki F).
Nánari upplýsingar um þetta er að finna í staðlinum, en hann er hægt að nálgast á rafrænu formi með því að smella hér - rafræn útgáfa. Vilji fólk frekar prentaða útgáfu, þá má smella hér-prentuð útgáfa.
Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar veitir ráðgjöf um notkun staðalsins og hefur margra ára reynslu af notkun þeirra aðferða sem þar er lýst. Nánari upplýsingar veittir Marinó í síma 898-6019, en einnig er hægt að senda tölvupóst á oryggi@internet.is.