Versions Compared

Old Version 59

changes.mady.by.user Vincent Alwicher

Saved on

compared with

New Version Current

changes.mady.by.user Fabrice Meunier

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
nameInleiding

Het beleid voor risicobeheer beschrijft hoe de organisatie informatieveiligheidsrisico's beheert. Het helpt de organisatie om deze te identificeren, te analyseren en te evalueren en om passende maatregelen te nemen om de informatieveiligheidsrisico's onder controle te houden. Het risicobeheerbeleid zoals beschreven op deze pagina is gebaseerd op het overkoepelende beleid van Digitaal Vlaanderen. Zie het risicoportaal voor meer informatie.

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Doel

Het systematisch identificeren, beoordelen en behandelen van risico's om zo de veiligheid van informatie, informatieverwerking en informatiesystemen te waarborgen.

De organisatie in staat stellen weloverwogen keuzes te maken over informatieveiligheidsrisico's, waardoor het de bedrijfsdoelstellingen kan realiseren en voldoet aan wettelijke en andere vereisten. Daartoe worden risico’s systematisch geïdentificeerd, beoordeeld en behandeld om zo de veiligheid van informatie, informatieverwerking en informatiesystemen te waarborgen.

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

Filter by label (Content by label)
showLabelsfalse
showSpacefalse
excerptTyperich content
cqllabel = "doelstellingen" and label = "risicobeheer"

(blue star) DREIGINGEN

Het risicobeheerbeleid draagt bij om dreigingen te verminderen of te voorkomen. Omdat risicobeheer wordt ingezet om alle mogelijke dreigingen in scope van de informatieasset te beoordelen, zijn de mogelijke dreigingen hier niet opgelijst omdat het in principe de volledige dreigingencatalogus betreft.

Beleid

Context vaststelling

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Dit omvat het vaststellen van de zakelijke omgeving en de scope van de informatieasset (dienst, product of proces) voor goede begripsvorming en afbakening.

Omgevingsfactoren

Voor de informatieasset dient te worden vastgesteld wat de omgevingsfactoren zijn en de precieze scope en afbakening. Deze informatie is belangrijk als input op de risicobeoordeling en -behandeling. Specifieke vragen die beantwoord dienen te worden zijn: Wat levert de informatieasset? Wat is de scope? Wat is de strategische waarde? Wie zijn de klanten en andere belanghebbenden? Welke informatie wordt opgeslagen of verwerkt? Met welk doel wordt informatie opgeslagen of verwerkt? Wat is de informatieklassenbepaling? Is er specifieke wet- en/of regelgeving van toepassing? Wat zijn de afhankelijkheden en beperkingen?

Risicobeoordeling

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Risicobeoordeling is een systematische methode om de aard en omvang van informatieveiligheidsrisico's te identificeren, evalueren en prioriteren. Het betreft doorgaans de stappen van risico-identificatie, risico-analyse en risico-evaluatie.

Aanleiding en frequentie

De term aanleiding verwijst in deze naar de specifieke gebeurtenis of omstandigheid die reden geeft tot het uitvoeren van een risicobeoordeling. Dit kan bijvoorbeeld een incident, een verandering in wet- of regelgeving, of de introductie van een nieuw product, dienst of technologie zijn. De term frequentie daarentegen heeft betrekking op de periodiciteit waarmee risicobeoordelingen worden uitgevoerd.

panelInformatieveiligheidsrisico’s kunnen ook ad-hoc geidentificeerd of gerapporteerd worden. De eigenaar MOET ervoor zorgen dat het risico verder wordt geanalyseerd en behandeld.
Let op: Het gaat hier om informatieveiligheidsrisico’s, niet incidenten. Incidenten dienen te worden gemeld via de ServiceDesk.
Page Properties Report
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Voor alle informatieassets geldt het volgende:

  • Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN altijd een informatieklassenbepaling en risicoanalyse (voor klasse 3 en hoger) uitvoeren;

  • Jaarlijks: Informatieklasse en risiconiveau MOETEN minimaal één keer per jaar herzien worden;

  • Bij functionele of technische aanpassingen: Informatieklasse en risiconiveau MOETEN worden herzien bij grote veranderingen van de informatieasset;

  • Bij nieuwe en veranderende dreigingen: Risiconiveau MOET worden herzien als dreigingen veranderen die impact kunnen hebben op de informatieasset;

  • Bij overige veranderingen: Uitbreiding van de datasets / informatie, ernstige kwetsbaarheden (bijv. niet gerepareerde security issues met software) of verandering (van de effectiviteit) van beheersmaatregelen.

De geldigheid van de informatieklassenbepaling en risicorating vervallen automatisch na één jaar geteld vanaf de laatste herziening. (Gedelegeerde) eigenaren dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun assets en de correctheid van de informatieklassen en actie te ondernemen wanneer nodig.

firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "risicobeheer" and space = currentSpace ( ) and text ~ "\"Onderwerp: Risicobeoordeling: Aanleiding en frequentie\""

Methodiek

Door de implementatie van een uniforme risicomethodiek wordt een gestructureerde aanpak gerealiseerd voor het uitvoeren van risicobeoordelingen en het bepalen van geschikte risicobehandeling.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De generieke dreigingencatalogus faciliteert het proces van risicobeoordeling en de keuze van passende beheersmaatregelen.

Voor alle beoordelingen gelden de volgende regels en schalen:

  • Impact wordt vastgesteld op een schaal 1 tot en met 5 (klein, gemiddeld, groot, significant, kritiek).

  • Waarschijnlijkheid wordt vastgesteld op een schaal van 1 tot en met 5 (zeer laag, laag, gemiddeld, hoog, voorzienbaar).

  • Risico wordt vastgelegd op een schaal van 1 tot en met 4 (laag, gemiddeld, hoog, kritiek).

  • Het Risico Prioriteit Nummer (RPN = Impact x Waarschijnlijkheid) wordt vastgesteld tussen 1 en 25.

  • Alle risico's met een RPN hoger dan 10 MOETEN gemitigeerd worden, tenzij anders wordt besloten door een bevoegd persoon of orgaan. Het Rest RPN MOET lager dan 10 zijn.

  • Effectiviteit van beheersmaatregelen dient te worden weergegeven op een schaal van 1 tot en met 5 (Opmerking: soms wordt het begrip maturiteit gebruikt in plaats van effectiviteit).

  • Risicoappetijt wordt weergegeven op een schaal van 1 tot en met 4 (aanvaardbaar, aandacht nodig, niet aanvaardbaar).

  • De risicobeoordeling MOET gedocumenteerd en beheerd worden als integraal onderdeel van het beheer van de informatieasset.

  • De risicobeoordeling MOET herhaalbaar zijn door een consistent proces met bovenstaande schalen te volgen zodat resultaten vergeleken kunnen worden.

  • Uitkomst van risicobeoordelingen MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

    • Een eigenaar van het risico MOET worden vastgesteld. Doorgaans is dat de (gedelegeerde) eigenaar van de informatieasset.

    Deze methodiek voor informatieveiligheidsrisico’s is gealigneerd met de bestaande methodiek voor bedrijfsrisicobeheer van Digitaal Vlaanderen.

    Page Properties Report
    firstcolumnID
    headingsImplementatiemaatregel
    sortByTitle
    idIM
    cqllabel = "im" and label = "risicobeheer" and space = currentSpace ( ) and text ~ "\"Onderwerp: Risicobeoordeling: Methodiek\""

    Risicobehandeling

    Panel
    panelIconIdatlassian-info
    panelIcon:info:
    bgColor#FFFFFF

    Risicobehandeling is het proces van het nemen van besluiten over het beheersen van de geidentificeerde geïdentificeerde risico's. Dit kan inhouden dat risico’s worden gemitigeerd (door de gevolgen te reduceren of te corrigeren), overgedragen, vermeden of geaccepteerd.

    Aanleiding en frequentie

    De risicobehandeling wordt gewoonlijk geïnitieerd op basis van de resultaten van de risicobeoordeling. Echter, wijzigingen in het risicoprofiel, de invoering van nieuwe beheersmaatregelen of andere relevante factoren kunnen aanpassingen in het behandelplan vereisen. Voortdurende monitoring van de uitvoering van dit plan is daarom belangrijk.

    panel

  • Het risicobehandelplan MOET worden gedocumenteerd en te worden herzien bij grote veranderingen.

  • Het risicobehandelplan MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

    • Een eigenaar en uitvoerder van beheersmaatregelen MOET worden vastgesteld als onderdeel van het behandelplan.
    Page Properties Report
    panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
    panelIcon:icon_beleidslijnen:
    panelIconText:icon_beleidslijnen:
    bgColor#F4F5F7

    Implementatiemaatregel

    Voor alle informatieassets geldt het volgende:

    • Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN een behandelplan hebben gebaseerd op de uitkomst van de risicobeoordeling;

    • Bij verandering informatieasset: Behandelplannen MOETEN herzien worden bij veranderingen zoals de status van geplande mitigatie en verandering (van effectiviteit) van beheersmaatregelen;

    • Bij verandering risicoprofiel: Risicobeoordeling MOETEN opnieuw worden uitgevoerd bij functionele of technische veranderingen binnen het product of dienst en/of nieuwe en veranderende dreigingen.

    Methodiek

    Panel
    panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
    panelIcon:icon_beleidslijnen:
    panelIconText:icon_beleidslijnen:
    bgColor#F4F5F7

    Implementatiemaatregel

  • Belanghebbenden MOETEN geconsulteerd te worden bij de behandeling van risico's.

  • De keuze voor behandeling MOET vastgesteld worden op basis van de vier mogelijke opties mitigatie, vermijding, overdracht en/of acceptatie.

  • De keuze voor welke vorm van risicobehandeling MOET onderbouwd, goedgekeurd en gedocumenteerd te worden.

  • Alle risico's met een Risico Prioriteit Nummer RPN hoger dan 10 MOETEN gemitigeerd worden, tenzij anders wordt besloten door een bevoegd persoon of orgaan. Toelichting:

    • Er is bijna altijd een restrisico met een waarschijnlijkheid en bepaalde aanvaardbare impact. Het RPN dient onder de 10 te blijven.

    • Zolang deze boven de 10 zit, zal zo veel mogelijk verdere mitigatie plaatsvinden. Indien dit niet mogelijk is, dan zal het risico formeel geaccepteerd worden. Restrisico's onder de 10 hoeven niet formeel geaccepteerd te worden.

    • Mitigatie dient zo spoedig mogelijk te worden uitgevoerd:

      • Kritieke risico's (RPN van 20 of hoger): Binnen 3 maanden

      • Hoge risico's (RPN tussen 10 en 20): Binnen 6 maanden

    • firstcolumnID
    headingsImplementatiemaatregel
    sortByTitle
    idIM
    cqllabel = "im" and label = "risicobeheer" and space = currentSpace ( ) and text ~ "\"Onderwerp: Risicobehandeling: Aanleiding en frequentie\""

    Methodiek

    Page Properties Report
    firstcolumnID
    headingsImplementatiemaatregel
    sortByTitle
    idIM
    cqllabel = "im" and label = "risicobeheer" and space = currentSpace ( ) and text ~ "\"Onderwerp: Risicobehandeling: Methodiek\""

    Goedkeuring

    De bekrachtiging van de geselecteerde risicobehandeling is een geformaliseerde procedure die wordt uitgevoerd door de eigenaar, in overleg met alle relevante stakeholders.

    panelHoge en kritieke risico’s (risicorating 3 en 4) en/of hoge kosten door de aansprakelijke eigenaar (op directieniveau);
    Page Properties Report
    panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
    panelIcon:icon_beleidslijnen:
    panelIconText:icon_beleidslijnen:
    bgColor#F4F5F7

    Implementatiemaatregel

    Goedkeuring van risicobehandeling binnen Digitaal Vlaanderen MOET als volgt gebeuren:

  • Lage en gemiddelde risico’s (risicorating 1 en 2) door de verantwoordelijke (gedelegeerde) asset /risico eigenaar;

    • firstcolumnID
    headingsImplementatiemaatregel
    sortByTitle
    idIM
    cqllabel = "im" and label = "risicobeheer" and space = currentSpace ( ) and text ~ "\"Onderwerp: Risicobehandeling: Goedkeuring\""

    Acceptatie

    Risicoacceptatie is een bewuste beslissing om een geïdentificeerd en geëvalueerd (rest)risico te accepteren zonder aanvullende beveiligingsmaatregelen te nemen om het risico te mitigeren. Deze benadering wordt meestal gekozen wanneer de kosten voor het verminderen van het risico disproportioneel zouden zijn in vergelijking met de potentiële schade, of wanneer het risico binnen de vastgestelde tolerantiegrenzen van de organisatie valt. Het is een strategische keuze die wordt gedocumenteerd en goedgekeurd op een passend niveau binnen de organisatie. Dit betekent dat het senior management of andere verantwoordelijke partijen formeel akkoord gaan met het accepteren van het risico. Risicoacceptatie is geen eenmalige actie, maar vereist continue monitoring om te verifiëren dat het risico binnen de aanvaardbare grenzen blijft en dat de context waarin het risico is geaccepteerd, niet significant is veranderd.

    panel

    Hieronder vindt u een overzicht van de controles die worden ingezet voor het toetsen van de conformiteit aan het beleid. Door deze controles uit te voeren, kan de organisatie de effectiviteit van haar beleid verzekeren, eventuele nalevingsproblemen aanpakken en de algehele conformiteit met interne en externe vereisten verbeteren.

    Zie /wiki/spaces/ISMS/pages/6329503023 voor meer informatie.

    Type

    Controle

    Status
    colourGreen
    titleWERKING

    Percentage analyses dat wordt onderbouwd door latere ervaringen of testen (nauwkeurigheid)

    Status
    colourGreen
    titleWERKING

    Verhouding tussen cumulatieve werkelijke verliezen en verwachte verliesomvang

    Status
    colourGreen
    titleWERKING

    Een 'tevredenheidsindex' over risicoanalyserapportage (bijv. het percentage positieve antwoorden van bedrijfsmanagers op een tevredenheidsenquête over de leesbaarheid, bruikbaarheid en nauwkeurigheid van risicoanalyserapporten)

    Status
    colourGreen
    titleWERKING

    Percentage van de tijd dat analyses worden uitgevoerd door getrainde analisten (metriek op een hoger niveau gerelateerd aan nauwkeurigheid, verdedigbaarheid en consistentie)

    Status
    colourBlue
    titleBESTAAN

    Een uitgewerkte procedure bestaat ter identificatie, beoordeling en beslissing van risico’s

    Status
    colourGreen
    titleWERKING

    Aantal goedgekeurde risicoanalyseresultaten die nog niet zijn opgenomen in het risicoprofiel

    Status
    colourGreen
    titleWERKING

    Percentage kritieke bedrijfsservices dat niet wordt gedekt door risicoanalyse

    Status
    colourGreen
    titleWERKING

    Volledigheid van de belangrijkste kenmerken van risicogegevens in het IT-risicoregister

    Page Properties Report
    panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
    panelIcon:icon_beleidslijnen:
    panelIconText:icon_beleidslijnen:
    bgColor#F4F5F7

    Implementatiemaatregel

    • Goedkeuring van risicoacceptatie binnen Digitaal Vlaanderen MOET als volgt gebeuren:

      • Lage en gemiddelde (rest)risico’s (risicorating 1 en 2) door de verantwoordelijke (gedelegeerde) asset/risico eigenaar;

      • Hoge en kritieke (rest)risico’s (risicorating 3 en 4) door de aansprakelijke eigenaar (op directieniveau);

      • Risicoacceptatie dat leidt tot een (verhoogd) risico voor een ander informatieasset of andere VO entiteiten dient te worden voorgelegd ter besluit aan de Leidend Ambtenaar.

    • De duur van risicoacceptatie mag maximaal voor één jaar worden vastgesteld. Daarna (of eerder) MOET een herziening worden uitgevoerd.

    Conformiteitstoetsing

    firstcolumnID
    headingsImplementatiemaatregel
    sortByTitle
    idIM
    cqllabel = "im" and label = "risicobeheer" and space = currentSpace ( ) and text ~ "\"Onderwerp: Risicobehandeling: Acceptatie\""

    Appendix

    Relatie van het beleid met andere richtlijnen en standaarden

    Regelgeving en standaarden (L1)

    ISO 27001:2022 (ISMS)

    Page Properties Report
    firstcolumnTitel
    headings,
    sortByTitle
    cqllabel = "iso" and label = "risicobeheer" and label = "isms-requirement" and space = currentSpace ( )

    ISO 27001:2022 (Annex A)

    Page Properties Report
    firstcolumnTitel
    headingsBeheersmaatregel
    sortByTitle
    cqllabel = "iso" and label = "risicobeheer" and space = currentSpace ( ) and ancestor = "6329502795"
    Informatieveiligheidsstrategie

    Informatieclassificatieraamwerk van de Vlaamse overheid (L2)

    Zie 1.4. Risicobeheer en 5.5. Minimale maatregelen - proces risicobeheer voor meer informatie.

    Uitvoering van het beleid

    Processen

    De Het gerelateerde processen staan risicobeheerproces staat beschreven op volgende pagina:

    /wiki/spaces/ISMS/pages/6329501966

    /wiki/spaces/ISMS/pages/6329501975 .

    Document status

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Beleid voor risicobeheer

    Vincent Alwicher

    januari 2024

    1.0

    Status
    colourBluetitleIN REVIEWPurple
    titleFINAAL CONCEPT

    Beleid voor risicobeheer

    Vincent Alwicher

    21 mei 2024

    1.0

    Status
    colourGreen
    titleGEVALIDEERD

    Goedgekeurd door Directie Comité

    Historiek wijzigingen

    Wijziging

    Datum

    Toevoeging van verwijzing naar Termen en Definities voor toelichting van verschil tussen maturiteit en effectiviteit.

    19/06/2024

    Page Properties
    hiddentrue
    idDS

    Document status (Metadata)

    Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister

    Auteur

    Vincent Alwicher

    Status

    Status
    colour

    Blue

    Green
    title

    IN REVIEW

    GEVALIDEERD

    Versie

    1.0 goedgekeurd door DC

    status opties:

    Status
    colourYellow
    titleCONCEPT
    Status
    colourBlue
    titleIN REVIEW
    Status
    colourPurple
    titleFINAAL CONCEPT
    Status
    colourGreen
    titleGEVALIDEERD
    Status
    colourRed
    titleTE REVISEREN

    status eveneens aanpassen bovenaan deze pagina