Riskhantering Flashcards
1
Q
Varför riskhantering?
A
- Dagens organisationer är extremt beroende av information av IT
- Organisationen måste designa och skapa en trygg miljö för sina processer och funtkioner
- Riskhantering är en del av ett ledningssystem för informationssäkerhet (LIS)
- Grundläggande del av planering för säkerhet, kan inte skydda sig utan kunskap om risker och hot
2
Q
Vilka utför riskhanteringsarbetet?
A
Utförs av grupper av intressenter
- Personer från ledning
- IT-säkerhet
- Användare
- IT
Denna grupp behöver vara en representativ grupp som jobbar tillsammans för att:
- evaluera motåtgätder
- Bedöma kostnadseffektiviteten av åtgärder
- Anskaffa och implementera motåtgärder
- Övervaka effektiviteten av motåtgärtder
3
Q
Beskriv några nyckelkoncept inom riskhantering
A
- Hot: Vilken som helst händelse som kan inträffa och förorsaka skada
- Risk: Möjlig händelse som kan förorsaka skada
- Konsekvens: Vilken effekt på verksamheten?
- Sannolikhet: Hur troligt är det att ett hot realiseras
- Sårbarhet: Någon känd eller okänd svaghet som kan utnyttjas för att attackera en tillgång
- Risktolerans: Hur stork risk är organisationen beredd att ta?
- Resterande risk: Den resterande risken efter att organisationen har vidtagit åtgärder för att skydda en tillgång
4
Q
Beskriv 3 element inom riskhanteringsprocessen
A
- Riskidentifiering (Risk Identification): Identifiera och kategorisera tillgångar, klassificera risker
- Riskvärdering (Risk Assessment): Bedöma, mäta och värdera risker
- Behandling av risk (Risk Control): Vidta åtgärder för att reducera risker till en acceptabel nivå
5
Q
Beskriv planeringen av ett riskidentifieringsarbete
A
- Skapa ett team, representanter från berörda enheter (sannolikt hela organisationen)
- Vanlig projektledning:
- Delmål
- Granskningar
- Presentationer till ledningen
- Uppgifter, ansvar och tidtabeller
6
Q
Ge några exempel på tillgångar som kan identifieras och inventeras
A
- Personer
- Instruktioner
- Data och information
- Programvara
- Hårdvara
- Nätverk
7
Q
Ge några exempel på tillgångar som kan kategoriseras
A
- Personer (interna eller externa, utökade eller vanliga befogenheter)
- Instruktion (känsliga eller inte)
- Data och information
- Mjukvara (programvara, operativsystem eller säkerhetskomponent)
- Hårdvara (del av säkerhetsarkitektur eller vanlig hårdvara)