Risikostyringspolitik

Risikostyringspolitikken (P06) giver et stringent, organisationsdækkende rammeværk for risikoidentifikation, risikoanalyse, risikoevaluering og risikobehandling af informationssikkerhedsrisici. Formålet er at operationalisere risikobaserede principper for at beskytte fortrolighed, integritet og tilgængelighed for informationsaktiver og at indlejre informationssikkerhedsrisikostyring i alle niveauer af beslutningstagning. Politikken sikrer, at både interne strategiske mål og eksterne reguleringsmæssige krav opfyldes, hvilket gør den til en grundlæggende komponent i ledelsessystemet for informationssikkerhed. Specifikt opfylder politikken kravene i ISO/IEC 27001:2022 klausul 6.1, principperne i ISO 31000:2018 og matcher de detaljerede metoder i ISO/IEC 27005. Politikkens ISMS-omfang er omfattende og gælder for alle forretningsenheder, forretningsprocesser, alt personale, informationssystemer (fysiske, digitale og cloud-hostede systemer) samt tredjeparter, der er involveret i informationsaktiver. Hvert trin, hvor risiko kan introduceres, såsom nye projekter, systemimplementeringer, ændringer i arkitektur, onboarding af leverandører, håndtering af sikkerhedshændelser og regelmæssige gennemgange, er omfattet af denne politik. Denne samlede tilgang sikrer, at ingen informationssikkerhedsrisiko overses, uanset om den opstår fra forretningsændringer, teknologiopdateringer eller eksterne partnerskaber. Ansvar er tydeligt afgrænset. Direktionen definerer risikovillighed og godkender risikobehandling for restrisiko over risikotolerance og risikoaccepttærskler. ISMS-ansvarlig eller risikoansvarlig ejer rammeværket, sikrer politikoverensstemmelse, leder risikovurdering og vedligeholder det centrale risikoregister og risikobehandlingsplan. Risikoejer og informationssikkerhedsteam identificerer, vurderer og behandler risici for specifikke aktiver eller processer. Intern revision og compliance-teams validerer kontroleffektivitet og revisionsbarhed af risikostyringsaktiviteter og udløser korrigerende handlinger ved mangler eller overtrædelser. Denne klare styringsstruktur sikrer stringent tilsyn og effektiv eskalering af uacceptable risici. Styringskrav kræver vedligeholdelse af et centralt risikoregister, der dokumenterer alle kendte risici, deres ejere, risikoscoring, risikobehandlingsplan og kontrolkoblinger. Risikovurdering skal følge dokumenterede metoder, herunder klassificering af aktiver, trussel- og sårbarhedskortlægning og evaluering af kontroller. Anvendelseserklæring (SoA) holdes ajour for at spore behandlingsbeslutninger og kontrolstatus. Muligheder for risikobehandling (undgå, overfør, accepter, reducer) dokumenteres formelt, og undtagelser fra procedurer kontrolleres strengt og kræver godkendelser på højere niveau med begrundelse og tidslinjer. Regelmæssig overvågning, nøglerisikoindikatorer og risikodashboard understøtter effektiv rapportering til øverste ledelse. Håndhævelse er et kerneelement: Manglende overholdelse er underlagt disciplinære foranstaltninger, og ISMS-ansvarlig sammen med revision gennemgår regelmæssigt fuldstændighed, revisionsbarhed og rettidighed af risikostyringsaktiviteter. Politikken gennemgås mindst årligt eller efter væsentlige sikkerhedshændelser eller organisatoriske ændringer, så den forbliver ajour med udviklende forretningsbehov og reguleringsmæssige landskaber. Denne strukturerede tilgang understøtter direkte ansvarlighed, gennemsigtighed og løbende forbedring i informationssikkerhedsrisikostyring og gør den integreret i organisationens samlede robusthed.