...
Methodisch onderbouwd: er dient een methode voor risicoanalyses gekozen te worden. Eens deze methode gekozen, moet deze consistent toegepast worden om herhaalbaarheid en vergelijking van resultaten te kunnen garanderen.
Gestructureerd: een goede risicoanalyse verloopt op een gestructureerde wijze waarbij steeds dezelfde stappen worden ondernomen.
Maatwerk: elke risicoanalyse vraagt een inschatting op basis van de specifieke context, tijd, scope en middelen. Zomaar kopiëren van eerder uitgevoerde risicoanalyses is uit den boze.
Begrijpelijk en genuanceerd: de resultaten van de risicoanalyse moeten begrijpelijk geformuleerd worden voor het doelpubliek. Het management moet in staat zijn beslissingen te nemen op basis van de bevindingen en aanbevelingen. De risicoanalyse methodiek dient dan ook de nodige schalen te bevatten om tot een correcte en voldoende genuanceerde inschatting te komen. Hierbij dient rekening te worden gehouden met de impactschalen in het ICR.
Communicatie, consultatie en formele aanvaarding door het management: de nodige medewerkers dienen betrokken te zijn bij de verschillende stappen van de risicoanalyse. Enkel de DPO of CISO betrekken bij de risicoanalyse is niet voldoende.
Objectiviteit: de methodiek moet een objectieve uitwerking van de risicoanalyse ondersteunen.
Uniformiteit en vergelijkbaarheid binnen de Vo: de methodiek moet toelaten om risicoanalyses tussen Vo entiteiten uit te wisselen en/of te vergelijken. Sommige bedreigingen zijn immers Vo-breed en dan kan het interessant zijn om risicoanalyses uit te wisselen.
...