Input/output Flashcards
Identifikation av tillgångar(Identification of assets)
Input: Scope and boundaries, aktörer, funktion, plats.
Output: Lista med tillgångar som ska riskhanteras tillsammans med relaterade affärprocesser och deras betydelse (importance level).
Identifikation av hot (Identification of threats)
Input: Information om hot från tidigare incidenter, tillgångsägare, användare och hotkataloger.
Output: Hot, typ av hot och källa.
Identifikation av sårbarheter (Identification of vulnerabilities)
Input: En lista med hot, relaterade tillgångar och deras kontroller.
Output: En lista med sårbarheter relaterade till tillgångar, hot och kontroller. Samt sårbarheter som saknar hot för granskning.
Identifikation av existerande kontroller (Identification of existing controls)
Input: Dokumentation av kontroller, riskbehandlingsplaner.
Output: En lista med alla existerande och planerade kontroller, deras implementation och användningsstatus.
Identifikation av konsekvenser (Identification of consequences)
Input: En lista med tillgångar, affärsprocesser, hot och sårbarheter relaterade till tillgångarna och deras relevans.
Output: Lista av incidentscenarios med konsekvenser relaterat till tillgångar och affärsprocesser.
Riskanalys (Risk analysis)
Utvärdering av konsekvenser (Assessment of consequences)
Input: Lista med incidentscenarios, inkluderande hot, sårbarheter, påverkade tillgångar och konskvenser till tillgångarna och affärsprocesser.
Output: En lista med granskade konsekvenser för ett incidentscenario relaterat till tillgångar och impact criteria.
Riskanalys (Risk analysis) Utvärdering av incidentsannolikhet (Assessment of incident likelihood)
Input: Lista med incidentscenarios, inkluderande hot, tillgångar, sårbarheter och konsekvenser mot tillgångar och affärsprocesser. Även en lista av kontroller, deras effektivitet och implementationsstatus.
Output:Sannolikheten av incidentscenarion (Kvantitativt eller kvalitativt)
Riskanalys (Risk analysis)
Fastställande av risknivå för riskscenario (Risk determination)
Input: Lista av risker med relaterade risknivåer och riskutvärderingskriterium(Risk evaluation critera).
Output: En lista av prioriterade risker enligt riskutvärderingskriterium i relation till inicdentscenarios som ledde till riskerna.
Riskutvärdering (Risk evaluation)
Input: Risk, Incident Scenario, Konsekvens, Sannolikhet, Risknivå
Output: Riskutvärdering enligt riskutvärderingskriterium, Riskacceptans enligt riskacceptanskriterium
Riskbehandling (Information security risk treatment)
Input: Risk, Incident Scenario, Risknivå, Existerande kontroller
Output: Riskhanteringsplan
Riskacceptans (Information security risk acceptance)
Input: Riskbehandlingsplan med incidentscenarior som ska accepteras av chefer.
Output: Beslutet att acceptera risken samt ansvar för beslutet dokumenterat.
IS riskkommunikation och konsultation (IS risk communication and consultation)
Input: Allt från föregående aktiviteter.
Action: Information about risk should be exchanged and/or shared between the decision-maker and other stakeholders.
Output: Kontinuerlig förståelse för organisationens ISRM-process och resultat.
IS riskövervakning och granskning (IS risk monitoring and review)
Övervakning och granskning av riskfaktorer (Monitoring and review of risk factors
Input: Allt från föregående aktiviteter.
Action: Risker och deras faktorer (dvs. tillgångarnas värde, effekter, hot, sårbarheter, sannolikhet för förekomst) bör övervakas och ses över för att identifiera eventuella förändringar i organisationens sammanhang i ett tidigt skede och för att behålla en överblick över den fullständiga riskbilden.
Output: Kontinuerlig anpassning av riskhanteringen till organisationens affärsmål och till kriterierna för riskacceptanskriterium.
Riskhanteringsövervakning, granskning och förbättringar (Risk management monitoring, review and improvement)
Input: Allt från föregående aktiviteter.
Action: Processen för hantering av informationssäkerhetsrisker bör kontinuerligt övervakas, ses över och förbättras vid behov och på lämpligt sätt.
Output: Kontinuerlig relevans av processen för hantering av informationssäkerhetsrisker i förhållande till organisationens affärsmål eller uppdatering av processen.
