Implementatiemaatregel | Belanghebbenden MOETEN geconsulteerd worden bij de behandeling van risico's. De keuze voor behandeling MOET vastgesteld worden op basis van de vier mogelijke opties: Modificatie van risico, acceptatie van risico, vermijding van risico of overdracht van risico. De keuze voor welke vorm van risicobehandeling MOET onderbouwd, goedgekeurd en gedocumenteerd worden. Alle risico's met een Risico Prioriteit Nummer RPN hoger dan 10 MOETEN gemitigeerd worden, tenzij anders wordt besloten door een bevoegd persoon of orgaan. Toelichting: Er is bijna altijd een restrisico met een waarschijnlijkheid en bepaalde aanvaardbare impact. Het RPN dient onder de 10 te blijven. Zolang deze boven de 10 zit, zal zo veel mogelijk verdere mitigatie plaatsvinden. Indien dit niet mogelijk is, dan zal het risico formeel geaccepteerd worden. Restrisico's onder de 10 hoeven niet formeel geaccepteerd te worden. Mitigatie dient zo spoedig mogelijk te worden uitgevoerd met de volgende doorlooptijden: Kritieke risico's (RPN van 20 of hoger): Binnen 3 maanden Hoge risico's (RPN tussen 10 en 20): Binnen 6 maanden Deze tijdlijnen zijn adviserend. Het belangrijkste is dat er voor hoge en kritieke risico’s een behandelplan MOET zijn met duidelijke acties, verantwoordelijkheden en tijdslijnen. Dit plan MOET zijn goedgekeurd op directieniveau en brengt de risico’s terug naar een risicorating in lijn met het risicoappetijt van de organisatie.
Het risicobehandelplan MOET worden gedocumenteerd en te worden herzien bij grote veranderingen. Het risicobehandelplan MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie. Een eigenaar en uitvoerder van beheersmaatregelen MOETEN worden vastgesteld als onderdeel van het behandelplan. De eigenaar en uitvoerder kan dezelfde persoon zijn, maar hoeft niet het geval te zijn en soms is dit zelfs niet wenselijk (bijvoorbeeld in het geval van uitbesteding van de operatie van een proces/product/dienst).
|
|---|
Onderwerp | Risicobehandeling: Methodiek |
|---|
| |
|---|
BIV | | Status |
|---|
| colour | Yellow |
|---|
| title | BESCHIKBAARHEID |
|---|
|
| Status |
|---|
| colour | Blue |
|---|
| title | VERTROUWELIJKHEID |
|---|
|
|
|---|
Type maatregel | |
|---|
Cybersecurityconcept | |
|---|
BeleidsdomeinenBeleidsdomein | | Filter by label (Content by label) |
|---|
| showLabels | false |
|---|
| maxCheckbox | false |
|---|
| showSpace | false |
|---|
| reverse | false |
|---|
| cql | label = "beleidsdomeinen" and label = "risicobeheer" and space = currentSpace ( ) |
|---|
|
|
|---|
ISO 27001:2022 | | Filter by label (Content by label) |
|---|
| showLabels | false |
|---|
| maxCheckbox | false |
|---|
| showSpace | false |
|---|
| reverse | false |
|---|
| cql | label = "iso" and label in ( "iso_6-1-3" , "iso_8-3" ) and space = currentSpace ( ) |
|---|
|
|
|---|
Dreigingen | |
|---|
