Versions Compared

Old Version 2

changes.mady.by.user Hijke Maes

Saved on

compared with

New Version 3

changes.mady.by.user Yentl Goossens

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Beschikbaarheid, integriteit en vertrouwelijkheid zijn dus essentiële principes voor informatiebeveiliging. Ze helpen om bedreigingen te identificeren en deze op een gepaste manier aan te pakken.

Documenten organisatie

Risicobeheer is pas effectief als het een integraal onderdeel is van de processen van de organisatie. Daarom moet een raamwerk gehanteerd worden dat bepaald welke de criteria rond risicoanalyses zijn, hoe het proces risicobeheer eruit ziet, de methodiek en welk instrumentarium kan aangewend worden.

...

  • Documentatie level 2:

    • Risicoanalyse: zie ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’.

    • Risicoproces: zie ‘Vo informatieclassificatie – Minimale maatregelen – Proces Risicobeheer.

  • Documentatie level 3: risicomethodiek.

  • Documentatie level 4: instrumentarium

Scope, doelgroep en voordelen

De risicomethodiek is bedoeld voor alle typen organisaties binnen de Vo, ongeacht grootte en aard van de activiteiten, en is vooral gericht op organisatie-brede risico’s.

De doelgroep van dit document is heel divers: verantwoordelijken voor risicobeheer binnen organisaties als geheel of voor specifieke onderdelen of activiteiten, maar ook personen/organisaties die er op toe moeten zien dat een organisatie haar risico’s goed beheert of de aanpak daarvan moet beoordelen, waaronder business-analysten, toepassingsbeheerders en projectmanagers.

Rollen en verantwoordelijkheden

Binnen de uitvoering van een risicoanalyse zijn volgende actoren betrokken:

Rollen

Verantwoordelijkheden

CISO/ ISO

  • Vastleggen risicoanalysemethodiek van de organisatie conform de wet- en regelgeving;

  • Vastleggen van de nodige tools voor risicoanalyses

  • Uitvoeren, meewerken aan of initiëren van risicoanalyses inzake informatieveiligheid

  • Erover waken dat risicoanalyses worden uitgevoerd conform het beleid van de organisatie.

  • Erover waken dat de risicoanalyses conform de vastgelegde methodiek worden uitgevoerd.

DPO/PO

  • Meewerken aan of initiëren risicoanalyse inzake bescherming van persoonsgegevens;

  • Erover waken dat DPIA’s worden uitgevoerd conform de wet- en regelgeving en het beleid van de organisatie.

  • Erover waken dat de uitgevoerde DPIA’s volgens de vastgelegde methodiek worden uitgevoerd.

Topmanagement

  • De nodige budgetten en werkingsmiddelen aanreiken, ondersteunen van het uitvoeren van risicoanalyses

  • Goedkeuring risico-verslag

  • Goedkeuring toe te passen risico-strategie

  • Acceptatie restrisico

Lijn management

  • Vastellen risico-verslag

  • Beoordeling toe te passen risico-strategie.

Coördinator risicoanalyse

  • Het begeleiden en faciliteren van de risicoanalyse;

  • Opstellen verslag risicoanalyse.

Proces-eigenaar / Informatie- eigenaar

(inclusief projecteigenaar, business-analysten)

  • Vaststellen van de processen in scope van de risicoanalyse

  • Beoordelen prioriteit v/d processen

  • Vaststellen van de gebruikte informatie

  • Beoordelen van de relevante bedreigingen

  • Beoordelen beveiligingsmaatregelen.

Systeem-eigenaar

(inclusief toepassingsbeheerders)

  • Vaststellen van de systemen in scope van de risicoanalyse

  • Beoordelen prioriteit v/d systemen

  • Beoordelen van de relevante bedreigingen

  • Beoordelen beveiligingsmaatregelen.

...