...
risico-evaluatie:
bepalen van de positie van de organisatie ten aanzien van het gewenste risiconiveau. Dit voor bedreigingen die gemitigeerd dienen te worden, dit met name voor de bedreigingen die ingeschaald zijn met een prio 1 of een prio 2.
Het gewenste risiconiveau vormt de baseline, waarbij alle controlemaatregelen zijn getroffen zoals bepaald binnen het raamwerk informatieclassificatie
bepalen of de bestaande controlemaatregelen in maturiteit kunnen verhoogd worden, of er gekozen dient te worden voor andere controlemaatregelen
bepaal opnieuw de waarschijnlijkheid en de impact na het nemen van deze bijkomende controlemaatregelen, en bereken de risicoscore(=restrisico)
topmanagement beslist of het restrisico, en zijn bijhorende controlemaatregelen, al dan niet aanvaard worden
Rollen | Werkwijze | Middelen |
|
|
|
Resultaat |
|
Welke risico’s te beheersen?
Welke bedreigingen aanvaardbaar zijn, en wat er dient te gebeuren, verschilt voor iedere organisatie. Onderstaande tabel geeft een indicatie van de risico-appetijt.
Risico-appetijt | |
Kleurencode | Omschrijving |
Kritiek risico | Risico is niet aanvaardbaar, controlemaatregelen zijn nodig verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Hoog risico | Risico is niet aanvaardbaar, controlemaatregelen zijn nodig verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Gemiddeld risico | Risico verdient extra aandacht tot verdere beheersing verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Laag risico | Aanvaardbaar risico, extra controlemaatregelen nemen is mogelijk verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Risico-evaluatie
Er zijn twee manieren om bedreigingen die niet aanvaardbaar zijn, te beheersen: ofwel verhoogt men de maturiteit van de bestaande maatregelen, ofwel identificeert men bijkomende controlemaatregelen.
...