...
Sommige organisaties vinden het moeilijk om gebeurtenissen, oorzaken en gevolgen te splitsen. Zij hebben vaak baat bij het systematisch opstellen van de hierboven opgenomen schematische weergave, waardoor een heldere en duidelijke omschrijving van het risico ontstaat met aanknopingspunten voor beheersmaatregelen.
...
Uiteindelijk gaat risicobeheer over het effectief beheersen van bedreigingen. Als organisatie moet je kunnen aantonen hoe je de belangrijkste bedreigingen beheerst. In de stap risico-evaluatie wordt gekeken welke controlemaatregelen mogelijk zijn en welke het meest geschikt zijn aan de hand van de risicoscore, en aan welke maturiteit deze moet voldoen.
...
Het inherent risico bepalen door het plaatsen van de geïdentificeerde bedreiging in een risicomatrix als assen de waarschijnlijkheid en de impact
Het inherent risico geeft aan hoe belangrijk de maturiteit van de beheersmaatregelen zal moeten zijn om de bedreiging te beheersen.
Het vergelijken van het niveau van het residueel risico met de maturiteit van de bestaande/te nemen controlemaatregel(en)
Op basis van deze beoordeling over de risicoafdekking (met de huidige beheersmaatregelen en zijn maturiteit) wordt de nood in verdere aanpak (vermijden, mitigeren, overdragen of accepteren – zie risicostrategie hieronder) van de bedreiging bepaald.
...
Verantwoording van maatregelen vereist zowel binnen de scope van de AVG als in relatie tot het tactische beleid een Plan-Do-Check-Act-cyclus, die ervoor zorgt dat de organisatie blijft voldoen aan de AVG en het tactische beleid. Veel maatregelen die nodig zijn voor het voldoen aan de AVG vallen samen met de beveiligingsmaatregelen die in het kader van het tactische beleid zijn geïmplementeerd.
Uitbesteding van gegevensverwerkingen aan derden vereist bijvoorbeeld zowel in het kader van de AVG als in het kader van het tactische beleid dat verwerkersovereenkomsten worden gesloten met verwerkers. Voor een leidinggevende is het vervelend als hij dezelfde maatregel tegenover twee verschillende functionarissen moet verantwoorden.
...
Dit onderdeel van het proces bestaat uit een opvolging inzake de implementatie van de genomen controlemaatregelen, alsook een evaluatie inzake het effect van de genomen controlemaatregelen uit de risicostrategie. Jaarlijks moet verantwoording worden afgelegd over de waarmee informatiebeveiliging aandacht krijgt van de organisatie. De focus ligt op de horizontale verantwoording: binnen de organisatie, met een belangrijke rol voor het management. Met een interne audit sluit de verantwoording over informatieveiligheid aan op de planning en control-cyclus van de organisatie. Hierdoor heeft de organisatie meer overzicht over de informatieveiligheid van hun organisatie en kan het beter sturen en verantwoording afleggen aan o.a. externe audits of een toezichthoudende autoriteit. Uitgangspunt voor de verantwoording is het horizontale verantwoordingsproces aan het management.