Minimale maatregelen
Risicoanalyse kan tijdrovend en complex zijn. Binnen de Vo werd hieraan deels tegemoet gekomen door middel van de minimale maatregelen in het ICR. Dit houdt in dat er een stelsel van algemene minimale beveiligingsmaatregelen gedefinieerd wordt voor de gemiddelde organisatie of voor het gemiddelde bedrijfsproces. Organisaties kunnen door middel van het implementeren van deze maatregelen zich weren tegen een aantal vaak voorkomende risico’s. De minimale maatregelen bieden een minimaal beschermingsniveau voor een organisatie of proces onder normale omstandigheden.
Het uitvoeren van een risicoanalyse is aangewezen indien de minimale maatregelen onvoldoende beveiliging bieden, of omdat de organisatie bepaalde klassen van informatie verwerkt. Risicoanalyses zijn bovendien in bepaalde gevallen verplicht vanuit de wet- en regelgeving (bv. GDPR).
Impact bepaling van bedreigingen
Het ICR heeft al een model voor impact bepaling voorzien (zie 1.2.3.4 Impact.3 Informatieklassen en impact). Er wordt onderscheid gemaakt tussen materiële en immateriële schade:
...
De impactschalen zijn beschreven op pagina 1.23.34.5 4 Impactschalen .