lock search attention facebook home linkedin twittter

Ekki taka gömlum sannleik sem gefnum. Það þarf kjark til að líta hlutina nýjum augum og fá á þá ferska sýn.

Xadd

Capacent hefur þróað hugbúnaðarlausn til að halda utan um áhættumat og úrvinnslu þess fyrir fyrirtæki þar sem miðað er við nýjustu staðla og aðferðir á þessu sviði.

Capacent notast við Xadd við framkvæmd áhættumats, Xadd er þróað af Capacent í samvinnu við hugbúnaðarfyrirtækið Reynd. Xadd gerir kleift að skrá matsþætti, áhættuskrá og aðgerðarlista niður í gagnagrunn til varðvörslu og frekari vinnslu.

Helstu kostir Xadd eru:

  • Excel er notað við gagnainnslátt
  • Aðgangsstýring að gögnum t.d. eftir deildum
  • Auðvelt að kalla upplýsingar fram í skýrslugerðartólum
  • Sveigjanleiki þar sem framendi byggir á Excel
  • Styðst við Active Directory

Xadd og Excel sniðmát sem hannað hefur verið af Capacent, hefur verið notað af fyrirtækjum sem vottuð eru samkvæmt ISO/IEC 27001 og stenst þær kröfur sem gerðar eru um utanumhald áhættuskráningar og áhættumeðhöndlunar samkvæmt staðlinum.

Sú aðferðafræði sem Capacent beitir við framkvæmd áhættumats tekur mið af helstu stöðlum um upplýsingaöryggi og framkvæmd áhættumats. Þeir staðlar eru:

  • ISO/IEC 27005 Information technology – Security techniques – Information security risk management
  • Einnig er litið til ISO 31000 Risk Management Principles and Guidelines

Í nýrri útgáfu af ISO/IEC 27001 er m.a. kynnt nýtt hugtak, áhættueigandi (e. Risk owner) og tekur aðferðafræði Capacent mið af því við útfærslu á Excel sniðmáti sem notað er við gagnainnslátt og utanumhald. Mikilvægt er að vita hver sé ábyrgur fyrir áhættu svo að áhættumeðhöndlun sé hjá viðeigandi aðila.

Í aðferðafræði Capacent er fjallað um áhættumatsþátt (e. Primary asset, sbr. ISO/IEC 27005) sem getur verið m.a. verið ferli, upplýsingar eða stærri verkefni sem fyrirtæki tekur sér fyrir hendur. Stuðningsverðmæti (e. Supporting asset, sbr. ISO/IEC 27005) við þann áhættumatsþátt getur þá t.d. verið vél- eða hugbúnaður, þekking, aðstaða o.s.frv.

Aðferðafræði Capacent er hægt að beita á allan rekstur fyrirtækisins, óháð stjórnkerfum, t.d. stjórnkerfi upplýsingaöryggis. Einnig er hægt að beita þessari nálgun við mat á einstaka verkefnum og stuðla þannig að því að skipulega sé staðið að ákvörðunum um áhættutöku og ábyrgð, eins og ef meta á áhættu vegna innleiðinga breytinga sem geta falið í sér kostnað t.d. þegar verið er að fjalla um endurheimt kerfa.

Helstu kostir aðferðafræði Capacent

  • Stuðningur við ISO 31000
  • Skýrar niðurstöður og framsetning áhættuskrá
  • Sveigjanlegt umhverfi, auðvelt að laga að þörfum
  • Uppfyllir kröfur sem gerðar eru í ISO/IEC 27001:2013
  • Hægt að beita á allan reksturinn og smærri einstök verkefni

Að sama skapi er gæði stýringa metin við framkvæmd áhættumats sem gerir þeim sem beita þessari aðferðafræði kleift að kortleggja gæði og þá virkni helstu stýringa. Þá er hægt að nýta þessa leið sem grunn fyrir mælikvarða fyrir mælanleg markmið eins og gerð er krafa um samkvæmt ISO/IEC 27001.

Kostir þess að gögnin séu vistuð í gagnagrunni er að auðvelt getur verið að kalla gögnin fram í skýrslugerðarhugbúnaði. Hægt að notast við hugbúnað sem þegar er til staðar eins og SharePoint, Reporting Server, QlikView o.s.frv..

Með Xadd fylgir tilbúin Qlik Sense skýrsla þar sem hægt er að fá góða yfirsýn yfir áhættuskrá, eftir ábyrgðaraðilum, deildum, tímasetningu mildunaraðgerða, útgáfum o.m.fl.

 

Annað í „Hugbún­að­ar­lausnir“