...
in kaart brengen van informatie:
oplijsten van de betrokken zakelijke processen binnen de scope van de risicoanalyse;
oplijsten van de informatie verwerkende systemen die de betrokken zakelijke processen ondersteunen – deze oplijsting dient beperkt te blijven tot direct gerelateerde toepassingen en infrastructuur gebruikt binnen het zakelijke proces, alsook het in beeld brengen van betrokken keteninfrastructuur en zijn eigenaars met een verwijzing naar een risicoanalyse hierin. Risico’s die geërfd worden (bv. O365Microsoft 365) dienen niet opgenomen te worden.
oplijsten van alle informatie die in de betrokken zakelijke processen verwerkt wordt – dit per gegevenscategorie in detail vermelden
deze gegevens aftoetsen aan het Vo informatieclassificatie model, nl. bepalen tot welke classificatieschaal deze gegevens behoren;
de maturiteit bepalen van de reeds genomen controlemaatregelen, binnen de Vo informatieclassificatie model, aan de hand van de volgende beoordelingstabel:
De maturiteit van een controlemaatregel bepaalt mee de kwetsbaarheid van een bedreiging: hoe lager de maturiteit, hoe hoger de kwetsbaarheid van de omgeving op een bedreiging kan zijn.
...