...
Het uitvoeren van een risicoanalyse is aangewezen indien de minimale maatregelen onvoldoende beveiliging bieden, of omdat de organisatie bepaalde klassen van informatie verwerkt. Risicoanalyses zijn bovendien in bepaalde gevallen verplicht vanuit de wet- en regelgeving (bv. GDPR).
Impact bepaling van bedreigingen
Het ICR heeft al een model voor impact bepaling voorzien (zie 1.3.4.4 Impact3 Informatieklassen en impact). Er wordt onderscheid gemaakt tussen materiële en immateriële schade:
...
De impactschalen zijn beschreven op pagina 1.3.4.5 4 Impactschalen .