I många små och medelstora företag är informationssäkerhetsrisker visserligen kända på en övergripande nivå, men de bedöms inte på samma sätt varje gång och beslut dokumenteras inte synligt. Det leder lätt till att samma frågor kommer upp igen: vilka är egentligen de största riskerna, vad ska göras först och vem ansvarar för framdriften?
I den här artikeln går vi igenom hur ISO 27001 riskbedömning och riskhantering görs i praktiken steg för steg. Ni får en tydlig arbetsmodell, ett exempel på riskpoängsättning, rekommenderade ansvarsroller samt konkreta tidsramar som hjälper er att göra riskhantering till en del av vardagen och inte bara något inför audit.
Förutsättningar
- Utnämnd ansvarig för riskhanteringen, till exempel IT-chef, informationssäkerhetsansvarig eller kvalitetsansvarig
- Beslut om tillämpningsområde, det vill säga vilka delar av verksamheten, system och data som bedömningen omfattar
- Lista över centrala tillgångar: system, information, enheter, leverantörer och kritiska processer
- En gemensam poängsättningsmodell för sannolikhet och påverkan, till exempel på en skala 1–5
- Minst 2–3 timmars workshop med nyckelpersoner för första bedömningen
Vad innebär ISO 27001 riskbedömning i praktiken?
ISO 27001 bygger på tanken att informationssäkerhet inte styrs på måfå utan systematiskt. I praktiken betyder det att företaget identifierar riskerna, bedömer deras allvar, beslutar om hantering och följer upp om överenskomna åtgärder genomförts.
Många tror att riskbedömning är en engångsövning i Excel per år. I verkligheten är det en kontinuerlig modell där samma principer återkommer, till exempel vid införande av nya system, personalförändringar och leverantörsbyten.
En bra riskbedömning svarar minst på dessa frågor:
- Vad vill vi skydda?
- Vad kan gå fel?
- Hur sannolikt är det på en skala 1–5?
- Vad blir affärspåverkan på en skala 1–5?
- Vilken kontroll eller skyddande rutin använder vi redan?
- Vad görs härnäst, vem gör det och när?
Till exempel i ett SaaS-företag som hanterar kunddata kan en risk vara att en tidigare anställds användarkonto är fortsatt aktivt. Påverkan kan vara 4/5 och sannolikheten 3/5, vilket ger en risknivå på 12/25. Om företaget beslutar att alla risker över 10 poäng ska hanteras inom 30 dagar är det enkelt att prioritera åtgärder.
Observera
ISO 27001 föreskriver inte en enskild riskpoängsättningsmodell. Standarden kräver att ni använder ett konsekvent sätt att bedöma risker och kan motivera varför just denna modell fungerar i er organisation.
Riskbedömning startar inte med hot utan med tillgångar
Ett vanligt misstag är att börja med att lista enbart hot, som phishing, skadlig kod eller överbelastningsattacker. Det blir för abstrakt. Ett bättre sätt är att börja med vad företaget faktiskt har och vad som är kritiskt för verksamheten.
I praktiken bör ni först identifiera de viktigaste objekten, alltså tillgångarna. Tillgång kan vara information, system, enhet, process eller till och med en nyckelpersons kompetens.
Börja till exempel med dessa 3–5 grupper:
- Kund- och personuppgifter
- Molntjänster och affärskritiska applikationer
- Arbetsstationer, mobila enheter och underhållskonton
- Leverantörer och underleverantörer
- Centrala affärsprocesser, som försäljning, leverans eller kundsupport
När tillgångarna är identifierade blir riskbedömningen konkret. Ni bedömer inte längre en diffus ”cyberhotbild” utan till exempel vad som händer om ekonomisystemet är otillgängligt i 8 timmar eller om kunddata hamnar hos fel person.
En enkel poängsättningsmodell räcker för de flesta små och medelstora företag
Små och medelstora företag bör undvika alltför tunga modeller. Oftast räcker det att bedöma två saker för varje risk: sannolikhet och påverkan. Båda kan poängsättas på en skala 1–5.
Det viktigaste är inte perfekt matematisk precision utan att olika personer bedömer riskerna enligt samma logik. Därför bör ni definiera beskrivningar för poängen.
| Poäng | Sannolikhet | Påverkan på verksamheten |
|---|---|---|
| 1 | Mycket osannolikt, mindre än en gång på 5 år | Mindre störning, ingen betydande kund- eller ekonomipåverkan |
| 2 | Möjligt, ungefär en gång på 2–5 år | Begränsad störning, kan åtgärdas inom en arbetsdag |
| 3 | Måttlig, kan inträffa årligen | Tydlig störning, orsakar merarbete eller begränsad kundpåverkan |
| 4 | Sannolik, flera observationer per år | Betydande störning, driftstopp, avtal- eller ryktepåverkan |
| 5 | Mycket sannolik eller återkommande | Allvarlig påverkan, långvarigt avbrott, dataläckage eller betydande ekonomisk skada |
Risknivån beräknas genom att multiplicera poängen. Därefter bör ni komma överens om hanteringsgränser i förväg.
| Risknivå | Tolkning | Åtgärd |
|---|---|---|
| 1–5 | Låg | Uppföljning i normal årsgenomgång |
| 6–9 | Måttlig | Åtgärd planeras inom 90 dagar |
| 10–15 | Hög | Åtgärd beslutas inom 30 dagar |
| 16–25 | Kritisk | Omedelbar hantering, ägare utses inom 24 timmar |
Tips
Om riskworkshopen fastnar i poängfinslipning, begränsa diskussionen till 15 minuter per risk. Målet är att prioritera, inte att bygga en perfekt teori.
Bestäm gräns och deltagare för bedömningen
Börja med att bestämma vilken del av verksamheten bedömningen avser. För små företag kan en bra första avgränsning vara till exempel hanteringen av kunddata, centrala molntjänster och underhållskonton. Bjud in 3–6 personer till workshopen: verksamhetsägare, IT, HR eller ekonomi samt vid behov den som ansvarar för dataskydd.
Lista tillgångar, hot och befintliga kontroller
Dokumentera minst en risk för varje kritiskt objekt. Använd en enkel struktur: tillgång, hot, sårbarhet, befintlig kontroll. Till exempel: kundregister, obehörig användning, föråldrad åtkomstprocess, befintlig kontroll är tvåfaktorsautentisering men borttagningsprocess saknas.
Poängsätt riskerna med gemensam modell
Bedöm för varje risk sannolikhet och påverkan på skalan 1–5. Dokumentera en mening som motivering för poängen så att bedömningen är möjlig att upprepa senare. Om två risker får samma totalpoäng, prioritera först den med störst påverkan på kunder, lagkrav eller tjänstkontinuitet.
Bestäm hantering och ägare för risken
För varje hög risk ska ett beslut fattas: ska risken minskas, undvikas, överföras exempelvis med avtal eller försäkring, eller accepteras med motivering? Utnämn en ägare och deadline för varje åtgärd, till exempel “HR och IT tar bort avgående medarbetares åtkomster inom 24 timmar efter anställningens slut”.
Följ upp genomförandet och bedöm återstående risk
När en åtgärd är genomförd, bedöm risken på nytt. Detta kallas återstående risk, det vill säga risknivå efter kontroller. Gå igenom höga risker minst varje månad och hela riskregistret minst 2 gånger per år eller vid betydande förändringar.
Vilka riskhanteringsåtgärder bör väljas?
Riskbedömning är värdelöst om det inte leder till praktiska förändringar. Därför måste varje betydande risk kopplas till en åtgärd som är realistisk att genomföra och vars effekt kan följas upp.
Bra riskhanteringsåtgärder kan vara till exempel:
- Ta bort åtkomster inom 24 timmar efter anställningens slut
- Separera underhållskonton från vanliga användarkonton
- Genomföra återställningstester av backuper 2 gånger per år
- Införa informationssäkerhetskrav i leverantörsavtal innan inköp
- Införa multifaktorautentisering för all fjärråtkomst inom 30 dagar
- Öva process för hantering av informationssäkerhetsincidenter en gång per år
Nedan ett exempel på hur en risk kan dokumenteras i praktiken.
| Risk | Nuvarande nivå | Åtgärd | Ägare | Deadline | Mål för återstående risk |
|---|---|---|---|---|---|
| Avgående medarbetares konto är fortsatt aktivt | 12/25 | Inför borttagningsprocess i HR-IT arbetsflöde, checklista och månadsrapport | IT-chef | 14 dagar | 4/25 |
| Backuper har inte testats | 15/25 | Återställningstest för affärskritisk data | Systemägare | 30 dagar | 6/25 |
| Informationssäkerhetskrav saknas i leverantörsavtal | 10/25 | Avtalsbilaga för nya och förnyade avtal | Inköpsansvarig | 60 dagar | 5/25 |
Om ni undrar hur många risker som är lagom för första bedömningen, börja hellre begränsat. Ofta räcker 10–20 risker för första omgången. Det viktigaste är att få fram de 3–5 centrala riskerna som ledningen verkligen kan agera på.
Vanligaste misstagen som fördröjer ISO 27001-arbetet
Riskbedömning misslyckas sällan för att hot saknas. Oftare beror det på att modellen är för tung eller ansvar är oklara.
Känner ni igen något från er organisation?
- Risker dokumenteras på för generell nivå som “cyberattack” utan mål eller påverkan
- Poängsättningsmodell saknas eller används olika av olika personer
- Åtgärder saknar ägare och deadline
- Riskregistret uppdateras endast inför audit
- Kontroller kopieras från mall utan koppling till egen riskbedömning
Varning
Ett vanligt misstag är att tyst acceptera en hög risk eftersom det känns besvärligt att åtgärda. Om risken beslutas accepteras måste beslutet dokumenteras, motiveras och godkännas av rätt ansvarig person.
I praktiken är denna checklista bra att gå igenom för varje risk:
- Är risken beskriven med en tydlig mening?
- Syns vilken tillgång eller process risken gäller?
- Finns motivering för poängsättningen?
- Har åtgärden en ägare?
- Är deadlinen realistisk, till exempel 14, 30 eller 90 dagar?
- Vet ni när risken ska omvärderas?
Hur håller ni riskhantering levande i vardagen?
Den bästa ISO 27001-modellen är den som används även utan audit. Därför bör riskhantering knytas till befintliga ledningsrutiner och inte bli ett separat projekt.
En fungerande rutin i ett SME kan vara till exempel denna:
| Intervall | Vad görs | Varaktighet | Deltagare |
|---|---|---|---|
| Månatligen | Lägesrapport för höga risker | 30 min | IT, verksamhetsägare |
| Kvartalsvis | Bedömning av nya och ändrade risker | 60 min | Ledning, IT, processägare |
| 2 gånger per år | Uppdatering av hela riskregistret | 2–3 h | Nyckelpersoner |
| Årligen | Ledningsgenomgång och prioriteringsbekräftelse | 60–90 min | Ledning |
Om företaget redan har ISO 9001 eller annat ledningssystem är det bra att integrera riskhantering i samma genomgångar. Då lever arbetet inte i sin egen silo. I lösningar från Softapankki Oy och QMClouds Oy syns samma tanke även i Kvalitetsbanken-produktfamiljen: ledningssystemet fungerar bäst när ansvar, uppgifter och uppföljning finns samlat i samma vardagsverktyg.
Tietoturvapankki hjälper särskilt när ni vill göra riskbedömningen konsekvent utan tung manuell administration. När risker, kontroller, ansvar och uppföljning finns på samma plats förbättras revisionsberedskapen samtidigt som vardagsarbetet blir mer effektivt.
Sammanfattning
- ISO 27001 riskbedömning fungerar bäst när ni börjar med kritiska tillgångar istället för generella hot.
- För små företag räcker ofta en tydlig 1–5 poängsättningsmodell för sannolikhet och påverkan.
- För varje hög risk ska ägare, åtgärd och deadline utses, till exempel 30 dagar eller 24 timmar.
- Riskregistret bör uppdateras regelbundet, inte bara före audit.
- Målet är inte ett perfekt Excel utan en beslutsstödjande, återupprepbar modell för riskhantering.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.