Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Vaststellen van de context en scope.

Context

Het is van cruciaal belang dat de aanleiding om juist nu een risicoanalyse uit te voeren goed bekend is.

  • beschrijven van de context:

    • hierbij moet men zich richten op de reden waarom de gegevens in scope van de risicoanalyse worden verwerkt, meer bepaald de doelstelling van de verwerking, en welke categorieën gegevens hierbij betrokken zijn. Op basis van de betrokken businessprocessen kunnen deze gegevens in beeld gebracht worden. Dit alles om zo de context van de risicoanalyse beter te kunnen beschrijven.

Rollen

Werkwijze

Middelen

  • coördinator

  • proces- eigenaar

  • systeem- eigenaar

  • nagaan welke categorieën gegevens verwerkt worden

  • nagaan om welke reden deze gegevens verwerkt worden, waarbij de doelstelling van de verwerking gedocumenteerd wordt

  • omschrijven van de context van de risicoanalyse

  • interview met applicatie- eigenaar, workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een omschrijving van de context tot de gevraagde risicoanalyse, met een inzicht in de betrokken categorieën gegevens die verwerkt wordt

  • dit wordt binnen het rapport van de risicoanalyse genoteerd

Scope

Dit houdt in eerste instantie in dat de betrokken zakelijke processen in beeld worden gebracht om zo een beeld te krijgen over welke informatie er verwerkt wordt, en welke relevante systemen hierbij betrokken zijn. Deze elementen vormen de scope van de risicoanalyse.

Informatie

Alle informatie die aangesproken worden binnen het betrokken zakelijke proces, dienen in beeld gebracht te worden.

  • in kaart brengen van informatie:

    • oplijsten van de betrokken zakelijke processen binnen de scope van de risicoanalyse;

    • oplijsten van de informatie verwerkende systemen die de betrokken zakelijke processen ondersteunen – deze oplijsting dient beperkt te blijven tot direct gerelateerde toepassingen en infrastructuur gebruikt binnen het zakelijke proces, alsook het in beeld brengen van betrokken keteninfrastructuur en zijn eigenaars met een verwijzing naar een risicoanalyse hierin. Risico’s die geërfd worden(bv. O365) dienen niet opgenomen te worden.

    • oplijsten van alle informatie die in de betrokken zakelijke processen verwerkt wordt – dit per gegevenscategorie in detail vermelden

    • deze gegevens aftoetsen aan het Vo informatieclassificatie model, nl. bepalen tot welke classificatieschaal deze gegevens behoren;

    • de maturiteit bepalen van de reeds genomen controlemaatregelen, binnen de Vo informatieclassificatie model, aan de hand van de volgende beoordelingstabel:

De maturiteit van een controlemaatregel bepaalt mee de kwetsbaarheid van een bedreiging: hoe lager de maturiteit, hoe hoger de kwetsbaarheid van de omgeving op een bedreiging kan zijn.

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • oplijsten van de betrokken zakelijke processen binnen de scope van de risicoanalyse

  • oplijsten van de informatieverwerkende systemen die de betrokken zakelijke processen ondersteunen

  • oplijsten van de informatie die in de betrokken zakelijke processen verwerkt wordt

  • deze gegevens aftoetsen aan het Vo informatieclassificatie model, nl. bepalen tot welke classificatieschaal deze gegevens behoren

  • de maturiteit bepalen van de reeds genomen controlemaatregelen, binnen het informatieclassificatiemodel bepalen

  • workshop

  • sjabloon

  • rapport

  • risicoanalyse

Resultaat

  • een overzicht van de betrokken zakelijke processen, de gerelateerde betrokken systemen, categorisatie en specificatie van de informatie, classificatieschaal en een maturiteitsoverzicht van de bestaande controlemaatregelen

  • dit wordt opgenomen binnen het rapport van de risicoanalyse

Systemen

Inzicht in de gebruikte systemen is nodig om in de volgende stap, nl. de bedreigingen goed in kaart te kunnen brengen.

...