ISO 27001 Krav 8.3 – Informationssäkerhetsriskbehandling

Vad innebär paragraf 8.3?

Enligt paragraf 8.3 är kravet att organisationen ska implementera riskhanteringsplanen för informationssäkerhet och behålla dokumenterad information om resultaten av denna riskbehandling. Detta krav handlar därför om att säkerställa att de riskhanteringsprocesser som beskrivs i punkt 6.1, Åtgärder för att hantera risker och möjligheter, faktiskt äger rum. Detta bör inkludera bevis och tydliga revisionsspår av granskningar och åtgärder, som visar riskernas rörelser över tid när resultat av investeringar uppstår (inte minst ger såväl organisationen som revisorn förtroende för att riskbehandlingarna når sina mål). Liksom andra delar av klausul 8 uppnås detta redan om organisationen har tagit itu med det övergripande ISMS med det tillvägagångssätt som beskrivs i klausul 7.5.

Uppfyller kraven för 8.3

För att uppfylla kraven för 8.3 måste du kunna bevisa att riskbehandlingsplanen som beskrivs i punkt 6.1 håller på att implementeras.

Som beskrivs i 6.1 mer fullständigt måste detta inkludera bevisen bakom behandlingen. Enkelt uttryckt kan "behandling" vara arbete du utför internt för att kontrollera och tolerera risken, eller det kan betyda åtgärder du vidtar för att överföra risken (t.ex. till en leverantör), eller det kan vara att helt avsluta en risk. De kontroller som väljs för att hantera riskerna måste beakta, men är inte begränsade till, de som beskrivs i bilaga A till standarden. Dessa bilaga A-kontroller utgör ett uttalande om tillämplighet (SoA) som beskriver alla kontroller och varför de har eller inte har implementerats av organisationen.

Hur du skapar en riskbehandling och hanterar din riskbehandlingsprocess

Riskbehandling bör övervägas vid sidan av riskbedömningen och i slutändan också ingå i SoA.

Vanligtvis upplever organisationer att hantering och bevis på risk är den mest komplexa delen av ISO 27001. Läs vår senaste artikel Information Security Risk Management Explained för att utforska riskhantering mer fullständigt. Det kan ta dagar, veckor eller månaders arbete att etablera en fullt operativ risklösning.

Denna ansträngning innebär att etablera den överensstämmande riskbedömningsmetoden, ett sätt att dokumentera och fånga bevis för hela säkerhetsriskhanteringsprocessen, samt att gå igenom den för den första fullständiga uppsättningen av risker och behandlingar.

Mjukvarulösningen ISMS.online kan minska den tiden och spara en enorm mängd arbete på processen med de inkluderade riskhanteringsverktygen och metoderna. ISMS.online tillhandahåller också:

• En mallpolicy för klausul 8 i ISO 27001:2013
• En mallpolicy och metod för klausul 6.1 som inkluderar ett omfattande men pragmatiskt tillvägagångssätt för riskidentifiering, analys och behandling, såväl som fortlöpande övervakning och granskning
• Enkla att använda verktyg för riskhantering, som beskrivs i ovanstående policy och metodik, som tar fram och underhåller behandlingsplanen
• En hel bank av populära risker tillsammans med föreslagna bilaga A-kontroller för att länka till och hantera risken runt
• Arbetsytor för att fånga allt utfört arbete, vilket möjliggör bevarande av den dokumenterade informationen i verktygen och erbjuder länkar tillbaka till de kontroller och policyer som används för att hantera risker och problem
• Dynamiskt skapad uttalande om tillämplighet, länkar tillbaka till bilaga A kontroller
• En sammanfogad plats för att säkert hantera hela ISMS

Bli certifierad upp till 5 gånger snabbare med ISMS.online

Efterlevnad behöver inte vara komplicerat – ISMS.online är utformad för att hjälpa dig att uppnå ISO 27001-certifiering snabbt och till ett överkomligt pris utan utbildning som krävs.
Vi har effektiviserat ISO 27001-processen med vår metod för garanterade resultat, en 80 % försprång, din egen virtuella coach dygnet runt, enkel onboarding och expertsupport.

Boka en plattformsdemo för att se hur ISMS.online kan hjälpa ditt företag