Rådgivning & konsulent

Risiko & sårbarhetsanalyse (ROS)

Risiko & sårbarhetsanalyse (ROS)

Konsulentbistand for fullstendig ROS-analyse av deres IT-miljø.

  • Snakk med en konsulent

Fence forklarer

Risiko & sårbarhetsanalyse

Risiko & sårbarhetsanalyse (ROS) handler om å definere og vurdere de mest relevante truslene mot virksomheten for så å gjøre kvalifiserte vurderinger av sannsynlighet og konsekvens av at uønskede hendelser oppstår. Oversikt over risiko og sårbarhet gjør at hendelser kan håndteres mer fornuftig, og at man gjør klokere vurderinger av hvilke tiltak virksomheten skal investere i. Ved gjennomføring av ROS er det nødvendig å basere seg på en fast metode for å sikre et kvalifisert resultat.

Fence benytter i hovedsak NIST 800-30, men også elementer fra NSMs veiledning til ROS og OCTAVE. Risiko- og sårbarhetsanalysen består i hovedsak av intervju av nøkkelpersonell, resultat fra sikkerhetstesting, vurdering av kritiske tjenester og prosesser i virksomheten, og gjennomgang av dokumentasjon og policyer.

Ved å identifisere uønskede hendelser og vurdere risiko og sårbarhet for disse, vil man avdekke behov for nye tiltak eller utbedring av eksisterende tiltak som reduserer sannsynligheten for, eller konsekvensene av, uønskede hendelser.

Hvorfor og hvor ofte bør man gjennomføre en risiko- og sårbarhetsanalyse?

    • Finansielle selskaper som må følge «IKT forskriften» er pålagt å kontinuerlig jobbe med risikostyring og må minst gjennomføre en årlig risiko- og sårbarhetsanalyse.
    • Virksomheter som lagrer sensitive personopplysninger er pålagt av personopplysningsloven å sikre informasjonen tilstrekkelig, med planlagte og systematiske tiltak.
    • Alle virksomheter er pålagt å kjenne kravene som stilles i forhold til informasjonen man behandler. Og på generelt grunnlag bør man gjennomfører ROS årlig, samt jobbe kontinuerlig med risikovurdering og styring.

Hvem bør gjennomføre Risiko- og sårbarhetsanalyse?

    • Alle som behandler sensitiv informasjon, og som er lovpålagt gjennomføring av ROS. f.eks. alle virksomheter som behandler sensitive personopplysninger og/eller må følge «IKT forskriften»
    • Alle som ønsker å etterleve ISO 27000 må gjennomføre kontinuerlig risikovurdering
    • Virksomheter som ønsker en kvalifisert vurdering av eksisterende sikkerhetstiltak, og forslag til nye tiltak basert på en grundig ROS.
  • Risiko & sårbarhetsanalyse
  • Oversikt over kritiske tjenester og data.
  • Kunnskap om egne sårbarheter og risiko.
  • Analyse av sikkerhetstiltak opp mot ISO 27001.
  • Vurdering av virksomhetens generelle sikkerhet.
  • Anbefalinger om utbedringer og nye tiltak.
  • Rådgivning & konsulent
  • Sertifiserte konsulenter og rådgivere.
  • Lang erfaring med gjennomføring av risiko- og sårbarhetsanalyser.
  • Benytter fast metodikk.
  • Gode referanser.

Vil du ta en prat med oss? Fyll ut skjema så tar vi kontakt med deg