Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Page Properties
idIM

Implementatiemaatregel

  • Belanghebbenden MOETEN geconsulteerd worden bij de behandeling van risico's.

  • De keuze voor behandeling MOET vastgesteld worden op basis van de vier mogelijke opties: Modificatie van risico, acceptatie van risico, vermijding van risico of overdracht van risico.

  • De keuze voor welke vorm van risicobehandeling MOET onderbouwd, goedgekeurd en gedocumenteerd worden.

  • Alle risico's met een Risico Prioriteit Nummer RPN hoger dan 10 MOETEN gemitigeerd worden, tenzij anders wordt besloten door een bevoegd persoon of orgaan. Toelichting:

    • Er is bijna altijd een restrisico met een waarschijnlijkheid en bepaalde aanvaardbare impact. Het RPN dient onder de 10 te blijven.

    • Zolang deze boven de 10 zit, zal zo veel mogelijk verdere mitigatie plaatsvinden. Indien dit niet mogelijk is, dan zal het risico formeel geaccepteerd worden. Restrisico's onder de 10 hoeven niet formeel geaccepteerd te worden.

    • Mitigatie dient zo spoedig mogelijk te worden uitgevoerd met de volgende doorlooptijden:

      • Kritieke risico's (RPN van 20 of hoger): Binnen 3 maanden

      • Hoge risico's (RPN tussen 10 en 20): Binnen 6 maanden

      • Deze tijdlijnen zijn adviserend. Het belangrijkste is dat er voor hoge en kritieke risico’s een behandelplan MOET zijn met duidelijke acties, verantwoordelijkheden en tijdslijnen. Dit plan MOET zijn goedgekeurd op directieniveau en brengt de risico’s terug naar een risicorating in lijn met het risicoappetijt van de organisatie.

  • Het risicobehandelplan MOET worden gedocumenteerd en te worden herzien bij grote veranderingen.

  • Het risicobehandelplan MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

  • Een eigenaar en uitvoerder van beheersmaatregelen MOETEN worden vastgesteld als onderdeel van het behandelplan. De eigenaar en uitvoerder kan dezelfde persoon zijn, maar hoeft niet het geval te zijn en soms is dit zelfs niet wenselijk (bijvoorbeeld in het geval van uitbesteding van de operatie van een proces/product/dienst).

Onderwerp

Risicobehandeling: Methodiek

Informatieklasse

Status
Status
colourBlue
title1
Status
colourGreen
title2
colourYellow
title3
Status
colourRed
title4
Status
title5

BIV

Status
colourYellow
titleBESCHIKBAARHEID
Status
titleINTEGRITEIT
Status
colourBlue
titleVERTROUWELIJKHEID

Type maatregel

Status
titlePREVENTIEF
Status
titleDETECTIEF
Status
titleCORRIGEREND

Cybersecurityconcept

Status
titleIDENTIFICEREN
Status
titleDETECTEREN
Status
titleREAGEREN

Beleidsdomein

Filter by label (Content by label)
showLabelsfalse
maxCheckboxfalse
showSpacefalse
reversefalse
cqllabel = "beleidsdomeinen" and label = "risicobeheer" and space = currentSpace ( )

ISO 27001:2022

Filter by label (Content by label)
showLabelsfalse
maxCheckboxfalse
showSpacefalse
reversefalse
cqllabel = "iso" and label in ( "iso_6-1-3" , "iso_8-3" ) and space = currentSpace ( )

Dreigingen

Filter by label (Content by label)
showLabelsfalse
maxCheckboxfalse
sorttitle
showSpacefalse
reversefalse
cqllabel = "dreiging" and label in ( "dr02" , "dr03" ) and space = currentSpace ( )