Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Ohjeet
Riskitason arviointi Digiturvamallissa

Riskien arviointi on tietoturvariskien hallinnassa vaihe, jossa riskit asetetaan tärkeysjärjestykseen. Tämä tapahtuu arvioimalla riskin vaikutus ja todennäköisyys ja siten määrittäen riskitaso.

Riskien automaatioasetukset

Riskienhallinta voidaan toteuttaa Digiturvamallissa täysin manuaalisesti tai hyödyntämällä automaatioita.

Löydät asetukset tätä varten kohdasta Asetukset -> Riskienhallinta: Yleiset asetukset.

Jos haluat hyödyntää Digiturvamallin automaattista riskinarviointia, ota riskien autopilot-moodi käyttöön.

Mikä on automaattinen riskiarviointi?

Kuten tämän artikkelin alusta muistat, riskien arvioinnin tarkoituksena on saada riskit asetettua asianmukaiseen tärkeysjärjestykseen. Tässä tulisi ottaa huomioon riskin luonne, mutta myös nykyiset toimesi sekä liiketoimintasi ja sen toimintaympäristön tyyppi.

Tämä ei ole yksinkertainen tehtävä, ja tätä varten Digiturvamallissa onkin vaihtoehtona automatisoitu riskinarviointi, joka tukee sinua.

Jos käytät automaattista riskinarviointia, seuraavat asiat tapahtuvat automaattisesti:

  • Kunkin riskin lähtöarvion täyttäminen (todennäköisyys + vaikutusten arviointi) asiantuntijoiden näkemyksen mukaisesti.
  • Riskitason mukauttaminen riskien hallintakertoimen mukaan.

Digiturvamalli yhdistää liittyvät hallintatehtävät aina automaattisesti riskeihin, mutta voit myös säätää näitä kytkentöjä manuaalisesti riskikortilta.

Riskitason laskemisen yksityiskohdat

Riskitaso lasketaan kertomalla todennäköisyys x vaikutus. Riskin autopilottiasetuksen mukaisesti tämä kerrotaan sitten nykyisten kontrollien maturiteettikertoimella (0-1) (eli riskin hallintakertoimella).

Riskitaso autopilotti-moodissa

Jos riskien autopilotti on käytössä, riskitaso lasketaan todennäköisyys x vaikutus x riskin hallintakerroin.

Riskin hallintakerroin lasketaan seuraavasti, ja se on aina väliltä 0-1:

  1. Etsi kaikki riskiin liittyvät hallintatehtävät ("Nykyiset riskiin liittyvät tehtävät" -osiossa).
  2. Luo kullekin tehtävälle riskinhallinta-arvo sen tilan mukaan.
    • 0.02 kun tila on ODOTTAVA (Ei tehty)
    • 0,05 kun tila on AKTIIVINEN (Osittain/Pääosin tehty)
    • 0,10 kun tila on VALMIS (Täysin tehty)
  3. Säädetään kunkin riskinhallintatehtävän riskinhallinta-arvoa sen prioriteetin mukaan.
    • 2x, kun prioriteetti on KRIITTINEN
    • 1.5x, kun prioriteetti on KORKEA
    • 1x, kun prioriteetti on NORMAALI
    • 0.5x, kun prioriteetti on MATALA
  4. Vähennetään kaikkien tehtävien riskinhallinta-arvojen summa 1:stä, jotta saadaan laskettua tämän riskin hallintakerroin.
    • esim. 1 - ( valmis_matala_prioriteetti_tehtävä + aktiivinen_korkea_prioriteetti_tehtävä)
    • = 1 - (0.05 + 0.075)
    • = 0.875

Tässä tapauksessa, jos riskin arvioidut todennäköisyyden ja vaikutuksen lähtöarvot ovat 2 ja 3, laskelma on seuraava:

  • Riskitaso = 2 * 3 * 0.875 = 5.25

Riskitaso ilman autopilottia

Jos päätät kytkeä riskiautopilotin pois päältä, täytät riskinarvioinnit manuaalisesti, ja riskitaso lasketaan suoraan todennäköisyys x vaikutus-menetelmällä.

Sisältö

Jaa artikkeli