lock search attention facebook home linkedin twittter

Ekki taka gömlum sannleik sem gefnum. Það þarf kjark til að líta hlutina nýjum augum og fá á þá ferska sýn.

Xadd

Capacent hefur þróað hugbún­að­ar­lausn til að halda utan um áhættumat og úrvinnslu þess fyrir fyrir­tæki þar sem miðað er við nýjustu staðla og aðferðir á þessu sviði.

Capacent notast við Xadd við fram­kvæmd áhættu­mats, Xadd er þróað af Capacent í samvinnu við hugbún­að­ar­fyr­ir­tækið Reynd. Xadd gerir kleift að skrá mats­þætti, áhættu­skrá og aðgerð­ar­lista niður í gagna­grunn til varð­vörslu og frekari vinnslu.

Helstu kostir Xadd eru:

  • Excel er notað við gagnainn­slátt
  • Aðgangs­stýring að gögnum t.d. eftir deildum
  • Auðvelt að kalla upplýs­ingar fram í skýrslu­gerð­ar­tólum
  • Sveigj­an­leiki þar sem fram­endi byggir á Excel
  • Styðst við Active Directory

Xadd og Excel sniðmát sem hannað hefur verið af Capacent, hefur verið notað af fyrir­tækjum sem vottuð eru samkvæmt ISO/IEC 27001 og stenst þær kröfur sem gerðar eru um utan­um­hald áhættu­skrán­ingar og áhættu­með­höndl­unar samkvæmt staðl­inum.

Sú aðferða­fræði sem Capacent beitir við fram­kvæmd áhættu­mats tekur mið af helstu stöðlum um upplýs­inga­ör­yggi og fram­kvæmd áhættu­mats. Þeir staðlar eru:

  • ISO/IEC 27005 Information technology – Security techniques – Information security risk mana­gement
  • Einnig er litið til ISO 31000 Risk Mana­gement Principles and Guidelines

Í nýrri útgáfu af ISO/IEC 27001 er m.a. kynnt nýtt hugtak, áhættu­eig­andi (e. Risk owner) og tekur aðferða­fræði Capacent mið af því við útfærslu á Excel snið­máti sem notað er við gagnainn­slátt og utan­um­hald. Mikil­vægt er að vita hver sé ábyrgur fyrir áhættu svo að áhættu­með­höndlun sé hjá viðeig­andi aðila.

Í aðferða­fræði Capacent er fjallað um áhættu­mats­þátt (e. Primary asset, sbr. ISO/IEC 27005) sem getur verið m.a. verið ferli, upplýs­ingar eða stærri verk­efni sem fyrir­tæki tekur sér fyrir hendur. Stuðn­ings­verð­mæti (e. Supp­orting asset, sbr. ISO/IEC 27005) við þann áhættu­mats­þátt getur þá t.d. verið vél- eða hugbún­aður, þekking, aðstaða o.s.frv.

Aðferða­fræði Capacent er hægt að beita á allan rekstur fyrir­tæk­isins, óháð stjórn­kerfum, t.d stjórn­kerfi upplýs­inga­ör­yggis. Einnig er hægt að beita þessari nálgun við mat á einstaka verk­efnum og stuðla þannig að því að skipu­lega sé staðið að ákvörð­unum um áhættu­töku og ábyrgð, eins og ef meta á áhættu vegna innleið­inga breyt­inga sem geta falið í sér kostnað t.d. þegar verið er að fjalla um endur­heimt kerfa.

Helstu kostir aðferða­fræði Capacent

  • Stuðn­ingur við ISO 31000
  • Skýrar niður­stöður og fram­setning áhættu­skrá
  • Sveigj­an­legt umhverfi, auðvelt að laga að þörfum
  • Uppfyllir kröfur sem gerðar eru í ISO/IEC 27001:2013
  • Hægt að beita á allan rekst­urinn og smærri einstök verk­efni

Að sama skapi er gæði stýr­inga metin við fram­kvæmd áhættu­mats sem gerir þeim sem beita þessari aðferða­fræði kleift að kort­leggja gæði og þá virkni helstu stýr­inga. Þá er hægt að nýta þessa leið sem grunn fyrir mæli­kvarða fyrir mælanleg markmið eins og gerð er krafa um samkvæmt ISO/IEC 27001.

Kostir þess að gögnin séu vistuð í gagna­grunni er að auðvelt getur verið að kalla gögnin fram í skýrslu­gerð­ar­hug­búnaði. Hægt að notast við hugbúnað sem þegar er til staðar eins og SharePoint, Reporting Server, QlikView o.s.frv..

Með Xadd fylgir tilbúin Qlik Sense skýrsla þar sem hægt er að fá góða yfirsýn yfir áhættu­skrá, eftir ábyrgð­ar­að­ilum, deildum, tíma­setn­ingu mild­un­ar­að­gerða, útgáfum o.m.fl.

 

Annað í „Hugbún­að­ar­lausnir“