| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
Het proces risicobeheer
Begrippenkader
Risicobeheer is echter pas effectief als het een integraal onderdeel is van de processen van de organisatie. Daarom moet een raamwerk gehanteerd worden dat bepaald welke de criteria rond risicoanalyses zijn, hoe het proces risicobeheer eruitziet, de methodiek en welk instrumentarium kan aangewend worden.
Het proces risicobeheerproces omvat de systematische aanpak om risico’s te identificeren, analyseren, evalueren, behandelen en monitoren, maar ook de consultatie en communicatie gedurende dat proces.
...
Risicobeheer in het kader van informatieclassificatie
De definities van ‘beschikbaarheid, ‘vertrouwelijkheid’ en ‘integriteit’ zijn al gegeven binnen de pagina 1. Informatieclassificatieraamwerk (ICR) . Een programma voor informatiebeveiliging kan diverse grote en kleine doelen nastreven, maar de belangrijkste principes in een informatiebeveiligingsprogramma zijn te herleiden naar beschikbaarheid, integriteit en vertrouwelijkheid. De controlemaatregelen die op grond van deze basisprincipes gesteld worden, variëren per organisatie. Dit komt doordat elke organisatie haar eigen specifieke eisenpakket opstelt op basis van bedrijfs- en beveiligingsdoelen- en eisen.
Met behulp van het proces risicobeheer wordt binnen de Vlaamse overheid een kader gegeven om te
kunnen streven naar een uniformiteit tot het bepalen van maatregelen. Alle beveiligingsmaatregelen worden geïmplementeerd om een of meer van deze BIV-principes in te vullen. Alle dreigingen worden beoordeeld op hun potentie om één of meer van de principes rond
beschikbaarheid, integriteit en vertrouwelijkheid schade toe te brengen. Beschikbaarheid, integriteit en vertrouwelijkheid zijn dus essentiële principes voor informatiebeveiliging. Ze helpen om bedreigingen te identificeren en deze op een gepaste manier op te lossen.
...
Organisaties en hun informatiesystemen en netwerken worden blootgesteld aan beveiligingsdreigingen van zeer uiteenlopende aard. Voorbeelden zijn computer gerelateerde fraude, spionage, sabotage, vandalisme, brand en overstroming. Oorzaken van schade zoals kwaadaardige code, hacking en Denial-of-Service-aanvallen komen vaker voor, zijn ambitieuzer en worden steeds
geavanceerder. Voordat we starten met het vaststellen van een beveiligingsstrategie, moeten we weten wat we
beveiligen en tegen welke dreigingen we beveiligen. De methode die we gebruiken om dit inzicht te krijgen noemen we risicoanalyse.
Beveiligingsmaatregelen worden vastgesteld op basis van een methodisch onderzoek gebaseerd op de risico’s die een organisatie loopt. De genomen beveiligingsmaatregelen moeten in harmonie zijn met de risico’s die een organisatie loopt en de schade die een bedreiging aan de organisatie toe kan brengen. De resultaten van een risicoanalyse helpen het management bij het stellen van prioriteiten
en het nemen van de juiste acties en beslissingen voor het managen van de informatiebeveiligingsrisico’s. Het helpt hen bij de juiste keuzes bij het implementeren van beveiligingsmaatregelen om die risico’s te beheersen.
Risicobeoordelingen moeten regelmatig worden herhaald om wijzigingen in werkwijze systemen en ook wijzigingen in interne en externe dreigingen te kunnen vaststellen, en daarop indien nodig de beveiligingsmaatregelen aan te passen.