ISO 27001-krav 8.3 – Informasjonssikkerhetsrisikobehandling

Hva innebærer punkt 8.3?

I henhold til punkt 8.3 er kravet at organisasjonen skal implementere risikobehandlingsplanen for informasjonssikkerhet og beholde dokumentert informasjon om resultatene av denne risikobehandlingen. Dette kravet er derfor opptatt av å sikre at risikobehandlingsprosessene beskrevet i punkt 6.1, Handlinger for å adressere risikoer og muligheter, faktisk finner sted. Dette bør inkludere bevis og klare revisjonsspor for gjennomganger og handlinger, som viser risikoens bevegelser over tid etter hvert som resultater av investeringer dukker opp (ikke minst også gi organisasjonen så vel som revisor tillit til at risikobehandlingene når sine mål). Som andre deler av klausul 8 er dette allerede oppnådd hvis organisasjonen har adressert den generelle ISMS med tilnærmingen skissert i klausul 7.5.

Oppfyller kravene til 8.3

For å oppfylle kravene i 8.3 må du kunne dokumentere at risikobehandlingsplanen beskrevet i punkt 6.1 blir implementert.

Som beskrevet i 6.1 mer fullstendig, må dette inkludere bevisene bak behandlingen. Enkelt sagt kan "behandling" være arbeid du gjør internt for å kontrollere og tolerere risikoen, eller det kan bety skritt du tar for å overføre risikoen (f.eks. til en leverandør), eller det kan være å avslutte en risiko helt. Kontrollene som velges for å håndtere risikoene må ta hensyn til, men er ikke begrenset til, de som er beskrevet i vedlegg A til standarden. Disse vedlegg A-kontrollene danner erklæringen om anvendelighet (SoA) som beskriver alle kontrollene og hvorfor de har, eller ikke har, blitt implementert av organisasjonen.

Hvordan lage en risikobehandling og administrere risikobehandlingsprosessen

Risikobehandling bør vurderes sammen med risikovurdering og til slutt også inngå i SoA.

Vanligvis finner organisasjoner at styring og bevisføring av risiko er den mest komplekse delen av ISO 27001. Les vår nylige artikkel Information Security Risk Management Explained for å utforske risikostyring mer fullstendig. Det kan ta dager, uker eller måneder med arbeid å etablere en fullt operasjonell risikoløsning.

Denne innsatsen innebærer å etablere samsvarende risikovurderingsmetodikk, en måte å dokumentere og fange bevis for hele sikkerhetsrisikostyringsprosessen, samt å gå gjennom den for det første komplette settet med risikoer og behandlinger.

ISMS.online-programvareløsningen kan redusere den tiden og spare en enorm mengde arbeid på prosessen med de inkluderte risikostyringsverktøyene og metodene. ISMS.online tilbyr også:

• En malpolicy for klausul 8. i ISO 27001:2013
• En malpolicy og metodikk for klausul 6.1 som inkluderer en omfattende, men pragmatisk tilnærming til risikoidentifikasjon, analyse og behandling, samt løpende overvåking og gjennomgang
• Enkle å bruke risikostyringsverktøy, som beskrevet i ovennevnte policy og metodikk, som produserer og vedlikeholder behandlingsplanen
• En hel bank av populære risikoer sammen med foreslåtte vedlegg A kontroller for å koble til og behandle risikoen rundt
• Arbeidsområder for å fange opp alt arbeidet som er utført, som muliggjør oppbevaring av den dokumenterte informasjonen i verktøyene og tilbyr lenker tilbake til kontrollene og retningslinjene som brukes for å håndtere risikoene og problemene
• Dynamisk opprettet erklæring om anvendelighet, lenker tilbake til vedlegg A-kontrollene
• Ett samlet sted for å sikkert administrere hele ISMS

Bli sertifisert opptil 5 ganger raskere med ISMS.online

Overholdelse trenger ikke å være komplisert – ISMS.online er utviklet for å hjelpe deg med å oppnå ISO 27001-sertifisering raskt og rimelig uten behov for opplæring.
Vi har strømlinjeformet ISO 27001-prosessen med vår Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, enkel onboarding og ekspertstøtte.

Bestill en plattformdemo for å se hvordan ISMS.online kan hjelpe bedriften din