Vi tilbyr kurs i ISO/IEC 27005 risikostyring for informasjonssikkerhet. Hvordan kan du redusere risikoen for alvorlige cyberhendelser? Dette kurset gir deg en praktisk og strategisk tilnærming til risikostyring for informasjonssikkerhet basert på standarden ISO/IEC 27005.
Innhold:
Du lærer hvordan du identifiserer, vurderer og håndterer digitale trusler på en kostnadseffektiv måte, slik at sikkerheten ivaretas uten å bruke mer ressurser enn nødvendig. ISO/IEC 27005 er en veileder for hvordan virksomheter kan jobbe systematisk med risikostyring innen informasjonssikkerhet, enten som del av et ISMS (Ledelsessystem for informasjonssikkerhet) etter ISO/IEC 27001, eller som et frittstående rammeverk.
Standarden bygger på prinsippene i ISO 31000, men er skreddersydd for cyberrisiko og digitale verdier. En kjerneidé i ISO 27000-serien av sikkerhetsstandarder er at informasjonssikkerhet skal styres gjennom risikostyring. Det innebærer at virksomheter skal identifisere og vurdere sine mest kritiske trusler, og prioritere tiltak basert på alvorlighetsgrad.
Å overse de største risikoene er ikke bare ineffektivt, det kan også regnes som styringssvikt og uaktsomhet. Dette kurset gir deg verktøyene du trenger for å gjøre gode og etterprøvbare vurderinger av risiko, og fatte beslutninger som beskytter virksomheten og dens verdier.
Agenda:
• Tolkning av risiko
• Rollen av risikostyring i ISMS
• Prosesser for risikostyring og risikovurdering
• Identifisering av risiko
• Kvalitativ, relativ og kvantitativ risikoanalyse
• Representering av uvisshet ved risikovurderinger
• Risikoevaluering, -håndtering og -rapportering
• Bruk av regneark i risikovurdering
• Praktisk case for risikostyring
Mål for kurset:
Etter å ha fullført dette kurset vil du:
• Ha kunnskap om prinsippene for risikostyring i informasjonssikkerhet
• Kunne gjennomføre en trussel- og risikovurdering for informasjonssikkerhet
• Være i stand til å bedømme hensiktsmessigheten av tiltak for å redusere sikkerhetsrisiko
• Bruke regneark til risikovurdering og rapportering
Foreleser: Audun Jøsang
Audun Jøsang er professor i cybersikkerhet på UiO der han foreleser i flere emner om informasjonssikkerhet og risikostyring. Prof. Jøsang har en MSc i informasjonssikkerhet fra Royal Holloway College, University of London, og en MSc i telekommunikasjon fra NTNU hvor han også tok sin doktorgrad. Prof. Jøsang har publisert flere bøker, bl.a. Cybersikkerhet - teknologier og styring (Universitetsforlaget 2025).
Prof. Jøsang leder den norske komiteen for WG1 Ledelse av informasjonssikkerhet i Standard Norge. Jøsang har vært medredaktør for den nyeste utgaven av ISO/IEC 27000 Oversikt, og har deltatt i oversettelsen til norsk av ISO/IEC 27005 Risikostyring for informasjonssikkerhet.
Målgruppe for kurset:
Kurset passer for alle som arbeider med informasjonssikkerhet, særlig innen GRC (Governance, Risk & Compliance), cybersikkerhetsstyring og ISMS. Det er ikke et sertifiseringskurs, men gir et solid faglig grunnlag.
Forkunnskaper:
• Du trenger ingen spesielle forkunnskaper, men det er en fordel med kjennskap til ISMS. Kurset gir uansett en grunnleggende introduksjon til ISMS.