Publicerad 25 mars 2019 – 2 min read
En riskhanteringsplan är ett skriftligt dokument som beskriver organisationens riskhanteringsprocess. Denna process börjar med att skapa ett team av intressenter i hela organisationen för att granska potentiella risker för organisationen. Detta intressentteam bör inkludera högsta ledningen, compliance officer och eventuella avdelningschefer. Om organisationen utvecklar programvara bör en projektledare från varje projektgrupp också ingå för att granska projektledningen och reagera på projektrisker.
När teamet har skapats kan det börja arbeta med riskhanteringsprocessen.
Sätt upp mål
Först måste teammedlemmarna se över affärsmålen, till exempel produktutveckling eller affärspartnerskap med tredje part. Genom att börja med affärsmålen anpassas riskhanteringsprocessen till såväl nuvarande som framtida mål.
Riskidentifiering
Det andra steget i skapandet av en riskhanteringsplan ligger i att granska digitala tillgångar som system, nätverk, programvara, enheter, leverantörer och data. Genom att katalogisera dessa tillgångar kan gruppmedlemmarna sedan identifiera risker för tillgångarna. En risk, eller en osäker händelse, kan vara ett positivt eller negativt tillstånd som har en finansiell, operativ eller ryktesmässig inverkan.
Riskbedömning
Efter att ha identifierat risker måste riskhanteringsteamet bedöma risken. Positiva risker, till exempel tidig produktleverans, kan också leda till negativa risker, till exempel en kunds oförmåga att hålla en betalningsplan. Organisationen måste förutse riskerna för att hitta ett sätt att analysera deras potentiella inverkan.
Riskanalys
För varje identifierad och bedömd risk måste teamet titta på sannolikheten att händelsen kommer att inträffa och sedan uppskatta konsekvenserna för verksamheten om den inträffar. Genom att multiplicera sannolikheten med den uppskattade effekten kan man få en inblick i riskens effekt. En risk med låg sannolikhet leder till förödande ekonomiska konsekvenser. En risk med hög sannolikhet kan däremot inte ha någon inverkan. En del av den kvantitativa eller kvalitativa analysen är att skapa en riskbedömningsmatris. Detta gör det möjligt för riskhanteringsgruppen att använda riskanalysen och tilldela betyg som till exempel hög, medelhög eller låg.
Riskolerans
Efter att ha tilldelat riskklassificeringar arbetar teamet för att avgöra om det ska acceptera, överföra, mildra eller avvisa en risk. Teamet kan besluta att acceptera en låg risk, en potentiell händelse som sannolikt inte kommer att inträffa och som skulle ha liten inverkan om den inträffade. Men det kan också välja att avvisa en hög risk, dvs. en potentiell händelse som med stor sannolikhet kommer att inträffa och som skulle få stora konsekvenser.
Riskminimering
För accepterade risker måste teamet skapa en uppsättning strategier för riskminimering. För varje risk som en organisation accepterar eller överför måste den definiera svar på problem som kan uppstå. Inom informationssäkerhet innebär detta att fastställa kontroller för att skydda data från cyberbrottslingar. Således fungerar riskminimeringsstrategierna som en beredskapsplan om händelsen inträffar för att bidra till att begränsa den definierade effekten.
Riskhanteringsplan
Riskhanteringsplanen är ett dokument som innehåller alla överväganden om riskbedömning, analys, tolerans och riskminimering.