Hopp til innhold
Phishing for trøbbel –
IO Podcasten er tilbake for sesong 2 Hør nå
ISMS.online

AI-risikostyring: Identifiser, vurder og kontroller AI-risikoer

Risikostyring knyttet til kunstig intelligens er den disiplinerte prosessen med å identifisere, vurdere, behandle og overvåke risikoene som kunstig intelligens-systemer introduserer for organisasjonen din, brukerne dine og samfunnet for øvrig. I henhold til ISO 42001 klausul 6.1.2 blir det en formell, dokumentert aktivitet som ligger i hjertet av kunstig intelligens-styringssystemet ditt.

Se hvordan ISMS.online operasjonaliserer risikostyring for kunstig intelligens

Kontakt
Forfatter
Max Edwards
Oppdatert mai 8, 2026
4/5 stjerner

Hva er risikostyring for kunstig intelligens?

Risikostyring knyttet til KI er den strukturerte, repeterbare prosessen en organisasjon bruker for å identifisere, vurdere, behandle og overvåke risikoer som oppstår fra utvikling, levering eller bruk av KI-systemer. Den dekker hele livssyklusen til et KI-system, fra problemformulering og datainnhenting til modelldesign, validering, utrulling og eventuell avvikling.

I motsetning til tradisjonell informasjonssikkerhetsrisiko, som primært fokuserer på konfidensialitet, integritet og tilgjengelighet av informasjon, må risikostyring knyttet til kunstig intelligens ta hensyn til et bredere spekter av bekymringer. Modellskjevhet, manglende forklaringsevne, datadrift, misbruk av resultater, samfunnsmessig påvirkning og oppførselen til tredjeparts fundamentmodeller faller alle helt innenfor rammen. Derfor ISO 42001 krever en dedikert prosess for risikovurdering av kunstig intelligens i stedet for å integrere kunstig intelligens-risiko i et eksisterende informasjonssikkerhetsregister.

I praksis svarer risikostyring knyttet til AI på fire spørsmål for alle brukstilfeller innen AI i bedriften:

  • Hva kan gå galt med dette AI-systemet, for hvem, og hvor galt?
  • Hvor sannsynlig er hvert av disse utfallene gitt kontrollene vi allerede har?
  • Hva skal vi gjøre med risikoene som overstiger vår toleranse?
  • Hvordan vet vi, etter utplassering, om vurderingen vår fortsatt er gyldig?

Gjør det bra, gir det brettet AI-styringskomité, og ingeniørteamene en felles syn på hvilke AI-initiativer som er trygge å fortsette med, hvilke som trenger ytterligere kontroller, og hvilke som bør settes på pause eller få nytt omfang.

Hvordan håndterer ISO 42001 risiko knyttet til kunstig intelligens (punkt 6.1.2 vs. punkt 6.1.4)?

ISO 42001 skiller risikostyring for kunstig intelligens i to relaterte, men separate aktiviteter, og å blande dem sammen er en av de vanligste implementeringsfeilene.

Punkt 6.1.2 – Risikovurdering for KI. Dette er det tradisjonelle risikoperspektivet som fokuserer på selve organisasjonen. Du identifiserer AI-relaterte risikoer, analyserer sannsynligheten og konsekvensen av dem mot organisasjonens risikokriterier og bestemmer hvordan du skal behandle dem. Det er prosessen som fyller ut AI-risikoregisteret ditt.

Punkt 6.1.4 – Konsekvensvurdering av AI-systemer. Dette er det utadrettede perspektivet. Det vurderer den potensielle virkningen et AI-system har på enkeltpersoner, grupper av individer og samfunnet – og dekker rettferdighet, sikkerhet, menneskelig tilsyn og grunnleggende rettigheter. Vedlegg A.5 inneholder kontrollsettet som operasjonaliserer dette. Detaljert veiledning finnes i vår dedikerte AI konsekvensvurderinger side.

Begge er normative. Begge må dokumenteres. Begge bidrar til din Anvendelseserklæring og AI-politikkMen de svarer på forskjellige spørsmål, har forskjellige innspill og involverer vanligvis forskjellige interessenter. Å gjennomføre dem som én kombinert øvelse har en tendens til å miste fokuset på samfunnsmessig innvirkning, noe som er akkurat det revisorer og regulatorer ser etter.

Normativ veiledning for begge aktivitetene er inkludert Veiledning i vedlegg BVedlegg C gir informativ veiledning om risikokilder knyttet til KI, som er en nyttig starttaksonomi når du først fyller ut registeret ditt.

Hvordan er det relatert til informasjonssikkerhetsrisiko (ISO 27005)?

Risikostyring for kunstig intelligens erstatter ikke risikostyring for informasjonssikkerhet. Mange kunstig intelligens-systemer lagrer, behandler eller overfører personopplysninger og ligger på samme infrastruktur som andre regulerte arbeidsbelastninger. ISO 27005 er fortsatt den riktige referansen for informasjonssikkerhetsrisikoprosessen. Den praktiske modellen er:

  • Informasjonssikkerhetsrisikoer knyttet til AI-systemet (konfidensialitet, integritet, tilgjengelighet av treningsdata, modellartefakter, API-er) finnes i ISO 27001-risikoregisteret.
  • AI-spesifikke risikoer (skjevhet, forklarbarhet, avvik, utilsiktet bruk, samfunnsskade) står i AI-risikoregisteret under punkt 6.1.2
  • Kryssreferanser knytter de to sammen, slik at én enkelt risikohendelse kan spores på tvers av begge linsene uten duplisering

Ocuco Gap i styring av kunstig intelligens mellom informasjonssikkerhet og styring av kunstig intelligens er nettopp det ISO 42001 klausul 6.1.2 er utformet for å lukke.

Hvor passer NIST AI RMF inn?

NIST AI Risk Management Framework er et frivillig amerikansk rammeverk organisert rundt fire funksjoner: Styring, Kartlegging, Måling og Håndtering. Det er et supplement til ISO 42001 snarere enn en konkurrerende standard. Organisasjoner som allerede bruker NIST AI RMF, kan knytte funksjonene direkte til ISO 42001-klausulene (Styring samsvarer med klausul 4 og 5, Kartlegging med klausul 6.1, Måling med klausul 9, Håndtering med klausul 8 og 10). Hvis du bygger for et internasjonalt publikum, gir ISO 42001 deg det sertifiserbare styringssystemet. NIST AI RMF gir deg et allment anerkjent vokabular og nyttige håndbøker for de underliggende aktivitetene.

Alt du trenger for ISO 42001, på ISMS.online

Alt du trenger for ISO 42001

Strukturert innhold, kartlagte risikoer og innebygde arbeidsflyter som hjelper deg med å styre AI ansvarlig og med selvtillit.

Start

Hva er hovedkategoriene for AI-risiko?

En god risikotaksonomi for KI hindrer deg i å gå glipp av hele risikoklasser. Vedlegg C i ISO 42001 gir en informativ liste over KI-relaterte risikokilder som de fleste organisasjoner skreddersyr til sin egen kontekst. I praksis dekker åtte kategorier de aller fleste KI-risikoer, og de fleste oppføringene i registeret ditt vil tilordnes én eller flere av dem.

Kategori Eksempel ISO 42001-kontroll(er) Typisk behandling
Bias og rettferdighet Kredittvurderingsmodellen undervurderer systematisk en beskyttet gruppe A.6.2.2, A.6.2.4, A.7.4 Reduser via balanserte treningsdata, rettferdighetstesting og menneskelig gjennomgang
Forklarbarhet og åpenhet Medisinsk triagemodell kan ikke rettferdiggjøre sine anbefalinger til klinikere A.6.2.4, A.8.2, A.8.3 Avhjelp via tolkbare modeller, dokumentasjon og modellkort
Trygghet Rask injeksjonsangrep fjerner konfidensielle data fra en LLM A.6.2.3, A.7.3, A.8.4 Reduser via inputvalidering, beskyttelsesrails og trusselmodellering
Privatliv Opplæringsdata inneholder personopplysninger som brukes uten lovlig grunnlag A.7.2, A.7.4, A.8.2 Reduser gjennom dataminimering, anonymisering og samsvar med DPIA
Sikkerhet Autonomt system forårsaker fysisk skade gjennom uventet oppførsel A.6.2.4, A.9.3, A.9.4 Reduser via validering, trinnvis utrulling, kill switcher og menneskelig tilsyn
samfunnssikkerhet Innholdsmodereringsmodellen forsterker feilinformasjon eller undertrykker legitim tale A.5.2, A.5.3, A.5.4 Avbøte via konsekvensutredning, interessentengasjement og løpende gjennomgang
Operasjonell Modellavvik fører til at prognosenøyaktigheten forringes etter seks måneder i produksjon A.6.2.6, A.6.2.7, A.6.2.8 Reduser via overvåking, omtreningsutløsere og ytelsesterskler
Forsyningskjede Leverandøren av fundamentsmodellen endrer atferd uten forvarsel, og ødelegger dermed et nedstrøms brukstilfelle A.10.2, A.10.3, A.10.4 Reduser via leverandørundersøkelser, kontrakter og reserveleverandører

De fleste organisasjoner tar i bruk denne taksonomien som ryggraden i sitt AI-risikoregister, og legger deretter til sektorspesifikke kategorier (for eksempel legger finansielle tjenester til modellrisikostyring under SR 11-7, helsevesen legger til klinisk sikkerhet). Nøkkelen er at alle brukstilfeller for AI screenes mot hver kategori, selv kort, slik at risikoer ikke overses ved et uhell.

Hvordan gjennomfører du en risikovurdering for kunstig intelligens?

Vurderingsprosessen under punkt 6.1.2 følger den kjente Planlegg-Gjør-Sjekk-Handle-rytmen i ISO-styringssystemer, men med AI-spesifikke innspill i hvert trinn. En praktisk, repeterbar metode har seks trinn.

Risikostyringsprosess for AI i henhold til ISO 42001 klausul 6.1.2 i seks trinn: identifisere, vurdere, prioritere, behandle, implementere kontroller og overvåke risiko etter utrulling

Trinn 1: Definer omfang og risikokriterier

Før du vurderer noe som helst, definer hva som teller som et AI-system i organisasjonen din (dette bør allerede være i din AI Management System (AIMS) omfangserklæring) og hvilke risikokriterier du vil bruke. Risikokriterier inkluderer sannsynlighets- og konsekvensskalaer, risikoakseptterskel og konsekvenskategoriene du bryr deg om (økonomisk, operasjonell, regulatorisk, omdømmemessig, sikkerhetsmessig, samfunnsmessig).

Trinn 2: Identifiser brukstilfeller og ressurser for AI

Lag en inventarliste over alle AI-systemer som er omfattet. For hvert enkelt, registrer tiltenkt bruk, datainndata, modelltype (proprietær, finjustert, tredjeparts grunnlagsmodell), brukere, berørte parter, implementeringsmiljø og kritiskhet. Denne inventarlisten er grunnlaget for resten av prosessen.

Trinn 3: Identifiser risikoer ved hjelp av taksonomien

Gå gjennom de åtte risikokategoriene ovenfor for hvert AI-system. Bruk risikokilder, trusselmodelleringsteknikker og strukturert idémyldring i tillegg C med en tverrfaglig gruppe (datavitenskap, ingeniørfag, sikkerhet, juridisk, produkt og der det er relevant, forretningsenheten som skal bruke resultatet). Registrer hver risiko som en spesifikk hendelse med en årsak og konsekvens, ikke en generisk etikett.

Trinn 4: Analyser sannsynlighet og konsekvens

Poeng hver risiko mot kriteriene dine. Sannsynlighet bør vurdere det nåværende kontrollmiljøet, ikke den ukontrollerte tilstanden. Konsekvens bør vurdere alle berørte parter, ikke bare organisasjonen – det er her broen til konsekvensanalysen i punkt 6.1.4 er viktig. Dokumenter begrunnelsen din; en revisor vil spørre hvordan du kom frem til en høy eller lav poengsum.

Trinn 5: Evaluer mot risikokriterier

Plott hver risiko inn i matrisen din og sammenlign den med risikoakseptterskelen din. Enhver risiko over terskelen krever en behandlingsbeslutning. Enhver risiko på eller under den kan aksepteres med en eksplisitt begrunnelse registrert i registeret.

Trinn 6: Dokumenter og gjennomgå

AI-risikoregisteret er dokumentert informasjon under punkt 7.5. Det trenger eiere, gjennomgangssykluser, versjonshistorikk og godkjenning. Det mates direkte inn i Anvendelseserklæring — kontroller fra vedlegg A er valgt og begrunnet basert på risikoene i dette registeret.

Hvordan håndterer du AI-risikoer?

For hver risiko over akseptgrensen krever klausul 6.1.3 en behandlingsbeslutning. De fire klassiske alternativene gjelder, med AI-spesifikke nyanser:

  • Unngå. Ikke bygg, distribuer eller bruk AI-systemet. Passende der den gjenværende risikoen er uakseptabel selv med sterke kontroller (for eksempel et brukstilfelle som automatiserer en beslutning med betydelig juridisk innvirkning på enkeltpersoner uten et menneske i loopen).
  • Reduser. Bruk kontroller for å redusere sannsynlighet, konsekvens eller begge deler. Dette er den vanligste behandlingen. Kontroller hentes fra Vedlegg A kontrollerer, supplert med sektor- eller brukstilfellespesifikke tiltak. Typiske tiltak inkluderer balanserte treningsdata, rettferdighetstesting, beskyttelse mot input og output, menneskelig tilsyn, trinnvis utrulling og kontinuerlig overvåking.
  • Overføre. Flytt risiko gjennom kontrakt, forsikring eller leverandøransvar. Nyttig for risikoer i forsyningskjeden (for eksempel kontraktsmessige tjenestenivåavtaler med en leverandør av stiftelsesmodell), men vær forsiktig: du kan overføre økonomisk ansvar, men sjelden overføre ansvarlighet, spesielt ikke til regulatorer.
  • Aksepterer. Behold risikoen med eksplisitt, dokumentert begrunnelse og en eier. Kun egnet for risikoer på eller under akseptgrensen, eller der behandling påviselig ikke er kostnadseffektiv og konsekvensene er begrensede.

Hver behandlingsbeslutning trenger en navngitt eier, en måldato og bevis på fullføring knyttet tilbake til registeret. En behandlingsplan uten bevis på utførelse er et av de vanligste avvikene i ISO 42001-sertifiseringsrevisjoner.

ISMS.onlines kraftige dashbord

Kom enkelt i gang med en personlig produktdemo

En av våre onboarding-spesialister vil veilede deg gjennom plattformen vår for å hjelpe deg med å komme i gang med selvtillit.

Bestill demoen din

Hvordan overvåker du AI-risikoer etter utrulling?

AI-risiko er ikke statisk. En modell som var trygg ved lansering kan bli usikker seks måneder senere fordi dataavvik, brukeratferd endres, regelverket endres eller en oppstrøms fundamentmodell oppdateres. Ytelsesevaluering i klausul 9 og driftsovervåkingskontroller i vedlegg A.6.2.6 til A.6.2.8 krever at du fortsetter å følge med.

Et pragmatisk overvåkingsprogram har fem signaler:

  • Modellytelse. Nøyaktighet, presisjon, tilbakekalling, kalibrering og rettferdighetsmålinger spores mot terskler satt ved utrulling. Brudd utløser omtrening eller tilbakestilling.
  • Datadrift. Statistisk sammenligning av produksjonsinnsatsfordelinger mot treningsfordelinger. Signifikant avvik utløser en vurdering av om modellen fortsatt er egnet for formålet.
  • Hendelser og nestenulykker. En formell kanal for brukere, berørte parter og internt personale for å rapportere AI-relaterte bekymringer, med sortering, rotårsaksanalyse og korrigerende tiltak loggført i henhold til klausul 10.
  • Kontrolleffektivitet. Periodiske kontroller av at tiltakene i behandlingsplanen faktisk fungerer. Vedlegg A.6.2.6 krever eksplisitt verifisering av driftskontroller.
  • Ekstern kontekst. Nye forskrifter, nye trusselmønstre, endringer i tredjepartsmodeller og ny beste praksis. Dette gis tilbake til risikovurderingen ved hver planlagte gjennomgang.

Resultatene brukes i ledelsens gjennomgang (punkt 9.3) og driver oppdateringer av risikoregisteret, erklæringen om anvendelighet og AI-policyen. Syklusen er kontinuerlig, ikke årlig.

Hvordan strukturerer ISMS.online risikostyring for kunstig intelligens?

ISMS.online gir et spesialbygd hjem for hele AI-risikostyringsprosessen, i samsvar med klausul 6.1.2 og den normative veiledningen i vedlegg B. Du får et AI-risikoregister som er integrert med resten av AIMS-systemet ditt i stedet for å være i et separat regneark.

Plattformen gir deg:

  • Et dedikert AI-risikoregister forskjellig fra risikoregisteret for informasjonssikkerhet, med felt for KI-spesifikke attributter (brukstilfelle, datakilder, modelltype, berørte parter, risikokategori) sammen med standard sannsynlighets-, konsekvens-, behandlings- og eierfelt
  • En forhåndslastet risikotaksonomi for AI som dekker de åtte kategoriene ovenfor pluss risikokilder i vedlegg C, slik at teamene starter med en omfattende liste i stedet for et blankt ark
  • Konsekvensvurderinger av koblede AI-systemer for punkt 6.1.4, slik at det utadrettede konsekvensperspektivet forblir knyttet til det organisatoriske risikoperspektivet uten duplisering
  • Direkte kontrollkobling fra hver risiko til relevante kontrolltiltak i vedlegg A, til bevisene som demonstrerer behandlingen, og frem til erklæringen om anvendelighet
  • Gjennomgå arbeidsflyter og automatiserte påminnelser slik at risikoer blir gjennomgått i sin definerte syklus, ikke når noen husker det
  • Kryssreferanse med ISO 27001-risikoer der en hendelse har både informasjonssikkerhets- og AI-dimensjoner, noe som forhindrer dobbelttelling og motstridende behandlingsplaner
  • Rapporteringsvisninger for styret, AI-styringskomiteen og sertifiseringsrevisorer, produsert fra de samme underliggende dataene

Resultatet er en AI-risikoprosess som en revisor kan gå ende til ende på under ti minutter, og som organisasjonen faktisk kan operere mellom revisjoner.

Hvorfor velge ISMS.online for risikostyring med kunstig intelligens?

De fleste GRC-verktøy behandler AI-risiko som en ettertanke boltet inn i en infosec-modell. ISMS.online ble utviklet med AI-styring som en førsteklasses funksjon. Her er hva det betyr i praksis:

  • Separate, men sammenkoblede registre. AI-risiko (punkt 6.1.2), konsekvensvurdering av AI-systemer (punkt 6.1.4) og informasjonssikkerhetsrisiko (ISO 27005) sitter i distinkte, men kryssrefererte registre, slik at hvert objektiv forblir skarpt mens data deles der de skal være.
  • Forhåndsbygd AI-risikotaksonomi. Risikokilder i vedlegg C og modellen med åtte kategorier er forhåndslastet, slik at teamet ditt identifiserer risikoer mot et strukturert rammeverk i stedet for å finne opp et.
  • Live-kartlegging til Vedlegg A kontrollerer. Enhver risiko er direkte knyttet til kontrollene som behandler den, bevisene som beviser at behandlingen fungerer, og oppføringen i erklæringen om anvendelighet som rettferdiggjør den.
  • Bygget for veiledning i vedlegg B. Arbeidsflyten følger den normative implementeringsveiledningen i vedlegg B, slik at prosessen din er standardjustert som standard i stedet for å kreve skreddersydd konfigurasjon.
  • Integrert med fullversjonen av AIMS. Risikoer knyttet til deg AI-politikk, konsekvensutredningene dine, revisjonsprogrammet ditt (punkt 9.2) og korrigerende tiltak (punkt 10), slik at ingenting faller mellom hullene.
  • Metode for garanterte resultater. En velprøvd implementeringsvei og menneskelig støtte som har hjulpet hundrevis av organisasjoner med å oppnå sertifisering første gang, med AI-risikostyring integrert fra starten i stedet for å bli lagt til sent.

Enten du bygger ditt første AI-risikoregister eller modner et eksisterende, ISMS.online gir deg strukturen og verktøyene til å bruke punkt 6.1.2 som en levende prosess. For bredere kontekst, se vår implementeringsveiledning.

Klar til å se plattformen i aksjon? Kontakt.

Spørsmål og svar

Hva er forskjellen mellom risikovurdering av kunstig intelligens (punkt 6.1.2) og konsekvensvurdering av kunstig intelligens-systemer (punkt 6.1.4)?

Punkt 6.1.2 er det innadvendte risikoperspektivet for organisasjonen – hva som kan gå galt for organisasjonen, dens mål og drift, og hvordan skal vi håndtere det. Punkt 6.1.4 er det utadvendte perspektivet – hva kan AI-systemet gjøre med enkeltpersoner, grupper og samfunnet, og dekker rettferdighet, sikkerhet og grunnleggende rettigheter. Begge er normative, begge må dokumenteres, og de gir næring til hverandre. Å drive dem som én kombinert aktivitet betyr vanligvis at perspektivet på samfunnsmessig påvirkning går tapt, noe som er et vanlig funn i revisjonen.

Kan jeg gjenbruke ISO 27001-risikoregisteret mitt for risikostyring i kunstig intelligens?

Nei, ikke som et enkelt kombinert register. Informasjonssikkerhetsrisiko (ISO 27005) og KI-risiko (ISO 42001 klausul 6.1.2) har overlappende, men forskjellige omfang. Infosec dekker konfidensialitet, integritet og tilgjengelighet av informasjon. KI-risiko dekker i tillegg skjevhet, forklarbarhet, avvik, sikkerhet og samfunnsmessig påvirkning – bekymringer som ikke passer perfekt inn i en CIA-modell. Det riktige mønsteret er to sammenkoblede registre med kryssreferanser der en enkelt hendelse har begge dimensjoner. ISMS.online støtter nettopp denne ordningen.

Er NIST AI RMF et alternativ til ISO 42001 for risikostyring?

De er komplementære, ikke alternativer. NIST AI RMF er et frivillig amerikansk rammeverk organisert rundt funksjonene «Govern», «Map», «Meal» og «Manage», med utmerket veiledning fra praktikere. ISO 42001 er en internasjonalt sertifiserbar standard for styringssystemer. Organisasjoner bruker ofte NIST AI RMF-vokabular og -håndbøker for å utføre aktivitetene som ISO 42001 krever. De to er tydelig knyttet til hverandre, og mange organisasjoner implementerer begge parallelt.

Hvilke kategorier av AI-risiko bør jeg dekke i registeret mitt?

Som et minimum: skjevhet og rettferdighet, forklarbarhet og åpenhet, sikkerhet, personvern, trygghet, samfunnsmessig påvirkning, operasjonell (drift, ytelse, tilgjengelighet) og forsyningskjede (tredjepartsmodeller, dataleverandører). Vedlegg C i ISO 42001 gir en informativ liste over AI-relaterte risikokilder som er i samsvar med denne taksonomien. Sektorspesifikke kategorier som modellrisikostyring for finansielle tjenester eller klinisk sikkerhet for helsevesenet bør legges til der det er relevant.

Hvor ofte bør jeg gjennomgå risikoregisteret for kunstig intelligens?

Minst årlig som en fullstendig gjennomgang, med innspill til ledelsens gjennomgang i henhold til punkt 9.3. Individuelle risikoer bør ha sine egne gjennomgangssykluser basert på kritiskhet – vanligvis kvartalsvis for høy risiko og halvårlig for middels risiko. Enhver vesentlig endring bør utløse en ad hoc-gjennomgang: nytt brukstilfelle for AI, betydelig modelloppdatering, ny forskrift, en rapportert hendelse eller en endring til en viktig tredjepartsleverandør. Registeret er et levende dokument, ikke et årlig samsvarsartefakt.

Krever ISO 42001 automatisert risikoovervåking av kunstig intelligens?

Standarden foreskriver ikke automatisering, men den krever kontinuerlig overvåking av AI-systemytelse og kontrolleffektivitet (punkt 9.1 og vedlegg A.6.2.6 til A.6.2.8). For alt utover en håndfull lavrisiko-AI-systemer er automatisert overvåking av modellytelse, datadrift og kontrolleffektivitet den eneste måten å oppfylle kravet i praksis. Manuell overvåking i stor skala har en tendens til å produsere foreldede data og oversett hendelser, som dukker opp som avvik ved overvåkingsrevisjon.

Hvem bør eie risikostyringen for kunstig intelligens i organisasjonen?

Ansvaret bør ligge hos en navngitt leder, vanligvis CISO, Chief Risk Officer eller en dedikert leder for AI-styring, avhengig av organisasjonens størrelse og AI-modenhet. Det daglige eierskapet ligger hos en AI-styringskomité eller tilsvarende tverrfaglig gruppe bestående av datavitenskap, ingeniørfag, sikkerhet, juridisk avdeling, personvern og forretningsenhetene som bruker AI. Individuelle risikoer har hver en navngitt eier som er ansvarlig for behandling og overvåking. Punkt 5.3 krever at disse rollene, ansvarsområdene og fullmaktene formelt tildeles og kommuniseres.

Max Edwards

Max jobber som en del av ISMS.online markedsføringsteamet og sørger for at nettsiden vår er oppdatert med nyttig innhold og informasjon om alt som gjelder ISO 27001, 27002 og samsvar.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbordet er helt perfekt

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Sommeren 2026
Høypresterende – Sommeren 2026 Small Business UK
Regional leder - sommeren 2026 EU
Regional leder - Sommeren 2026 EMEA
Regional leder - Sommeren 2026 Storbritannia
Høypresterende - Sommeren 2026 Mellommarked EMEA

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.