Beheersmaatregelen worden opgedeeld in volgende types:
En we onderscheiden de volgende beheersmaatregelen:
...
Dezelfde IS027001, indien toegepast op een hogere informatieklasse;
Maatregelen uit andere standaarden (ISO27017, ISO27018, PCI, …);
Als antwoord op specifieke vereisten in wetgeving en/of regelgeving, bijvoorbeeld GDPR.
Opmerking:
De specifieke maatregelen bevatten mogelijk maatregelen die niet zijn opgenomen in het ICR.
...
Aanvullende maatregelen passen we toe op basis van:
De verplichte risicoanalyse in informatieklasse 3;
Het gebruik van alternatieve mitigerende maatregelen ter vervanging van minimale algemene en/of specifieke maatregelen.
Blijkt uit een risicoanalyse dat onaanvaardbare residuele risico’s aanwezig zijn en dat aanvullende maatregelen nodig zijn om tot een aanvaardbaar restrisico te komen, dan is het aan de eigenaar van de informatie om voor een correcte opvolging en rapportering te zorgen. Dit kan risicoacceptatie zijn, of mitigatie door extra maatregelen of overdracht van het risico. Merk op dat acceptatie van een risico door top management gebeurt.
...