De organisatie in staat stellen weloverwogen keuzes te maken over informatieveiligheidsrisico's, waardoor het de bedrijfsdoelstellingen kan realiseren en voldoet aan wettelijke en andere vereisten. Daartoe worden risico’s systematisch geïdentificeerd, beoordeeld en behandeld om zo de veiligheid van informatie, informatieverwerking en informatiesystemen te waarborgen.

Omgevingsfactoren

Voor de informatieasset dient te worden vastgesteld wat de omgevingsfactoren zijn en de precieze scope en afbakening. Deze informatie is belangrijk als input op de risicobeoordeling en -behandeling. Specifieke vragen die beantwoord dienen te worden zijn: Wat levert de informatieasset? Wat is de scope? Wat is de strategische waarde? Wie zijn de klanten en andere belanghebbenden? Welke informatie wordt opgeslagen of verwerkt? Met welk doel wordt informatie opgeslagen of verwerkt? Wat is de informatieklassenbepaling? Is er specifieke wet- en/of regelgeving van toepassing? Wat zijn de afhankelijkheden en beperkingen?

Risicobeoordeling

Aanleiding en frequentie

De term aanleiding verwijst in deze naar de specifieke gebeurtenis of omstandigheid die reden geeft tot het uitvoeren van een risicobeoordeling. Dit kan bijvoorbeeld een incident, een verandering in wet- of regelgeving, of de introductie van een nieuw product, dienst of technologie zijn. De term frequentie daarentegen heeft betrekking op de periodiciteit waarmee risicobeoordelingen worden uitgevoerd.

Implementatiemaatregel

Voor alle informatieassets geldt het volgende:

• Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN altijd een informatieklassenbepaling en risicoanalyse (voor klasse 3 en hoger) uitvoeren;

• Jaarlijks: Informatieklasse en risiconiveau MOETEN minimaal één keer per jaar herzien worden;

• Bij functionele of technische aanpassingen: Informatieklasse en risiconiveau MOETEN worden herzien bij grote veranderingen van de informatieasset;

• Bij nieuwe en veranderende dreigingen: Risiconiveau MOET worden herzien als dreigingen veranderen die impact kunnen hebben op de informatieasset;

• Bij overige veranderingen: Informatieklasse en risiconiveau MOETEN worden herzien bij uitbreiding van de datasets / informatie, ernstige kwetsbaarheden (bijv. niet gerepareerde security issues met software) of verandering (van de effectiviteit) van beheersmaatregelen.

De geldigheid van de informatieklassenbepaling en risicorating vervallen automatisch na één jaar geteld vanaf de laatste herziening. (Gedelegeerde) eigenaren dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun assets en de correctheid van de informatieklassen en actie te ondernemen wanneer nodig.

Informatieveiligheidsrisico’s kunnen ook ad-hoc geïdentificeerd of gerapporteerd worden. De eigenaar MOET ervoor zorgen dat het risico verder wordt geanalyseerd en behandeld.
Let op: Het gaat hier om informatieveiligheidsrisico’s, niet incidenten. Incidenten dienen te worden gemeld via de ServiceDesk.

Methodiek

Door de implementatie van een uniforme risicomethodiek wordt een gestructureerde aanpak gerealiseerd voor het uitvoeren van risicobeoordelingen en het bepalen van geschikte risicobehandeling. Deze methodiek voor informatieveiligheidsrisico’s is gealigneerd met de bestaande methodiek voor bedrijfsrisicobeheer van Digitaal Vlaanderen.

Implementatiemaatregel

De generieke dreigingencatalogus faciliteert het proces van risicobeoordeling en de keuze van passende beheersmaatregelen.

Voor alle beoordelingen gelden de volgende regels en schalen:

• Impact wordt vastgesteld op een schaal 1 tot en met 5 (klein, gemiddeld, groot, significant, kritiek).

• Waarschijnlijkheid wordt vastgesteld op een schaal van 1 tot en met 5 (zeer laag, laag, gemiddeld, hoog, voorzienbaar).

• Het Risico Prioriteit Nummer (RPN = Impact x Waarschijnlijkheid) wordt vastgesteld tussen 1 en 25.

• Risico wordt vastgelegd op een schaal van 1 tot en met 4 (laag = 1..3, gemiddeld 4..9, hoog 10..19, kritiek 20..25).

• Alle risico's met een risicoscore van 3 en 4 MOETEN gemitigeerd worden door één of meerdere beheersmaatregelen, tenzij anders wordt besloten door een bevoegd persoon of orgaan middels formele risicoacceptatie.

• Elke beheersmaatregel MOET aan een eigenaar toegewezen worden.

• Effectiviteit van beheersmaatregelen MOET worden weergegeven op een schaal van 1 tot en met 5 (Opmerking: soms wordt het begrip maturiteit gebruikt in plaats van effectiviteit).

• De risicobeoordeling MOET gedocumenteerd en beheerd worden als integraal onderdeel van het beheer van de informatieasset.

• De risicobeoordeling MOET herhaalbaar zijn door een consistent proces met bovenstaande schalen te volgen zodat resultaten vergeleken kunnen worden.

• Uitkomst van risicobeoordelingen MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

• Een eigenaar van het risico MOET worden vastgesteld. Doorgaans is dat de (gedelegeerde) eigenaar van de informatieasset.

Aanleiding en frequentie

De risicobehandeling wordt gewoonlijk geïnitieerd op basis van de resultaten van de risicobeoordeling. Echter, wijzigingen in het risicoprofiel, de invoering van nieuwe beheersmaatregelen of andere relevante factoren kunnen aanpassingen in het behandelplan vereisen. Voortdurende monitoring van de uitvoering van dit plan is daarom belangrijk.

Methodiek

Implementatiemaatregel

Voor alle informatieassets geldt het volgende:

• Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN een behandelplan hebben gebaseerd op de uitkomst van de risicobeoordeling;

• Bij verandering informatieasset: Behandelplannen MOETEN herzien worden bij veranderingen zoals de status van geplande mitigatie en verandering (van effectiviteit) van beheersmaatregelen;

• Bij verandering van organisatie: Behandelplannen MOETEN herzien worden bij organisatorische verandering waar het eigenaarschap van risico’s en maatregelen is gewijzigd;

• Bij verandering risicoprofiel: Risicobeoordeling MOETEN opnieuw worden uitgevoerd bij functionele of technische veranderingen binnen het product of dienst en/of nieuwe en veranderende dreigingen.

Methodiek

Goedkeuring

De bekrachtiging van de geselecteerde risicobehandeling is een geformaliseerde procedure die wordt uitgevoerd door de eigenaar, in overleg met alle relevante stakeholders.

Implementatiemaatregel

Goedkeuring van risicobehandeling binnen Digitaal Vlaanderen MOET als volgt gebeuren:

Acceptatie

Risicoacceptatie is een bewuste beslissing om een geïdentificeerd en geëvalueerd (rest)risico te accepteren zonder aanvullende beveiligingsmaatregelen te nemen om het risico te mitigeren. Deze benadering wordt meestal gekozen wanneer de kosten voor het verminderen van het risico disproportioneel zouden zijn in vergelijking met de potentiële schade, of wanneer het risico binnen de vastgestelde tolerantiegrenzen van de organisatie valt. Het is een strategische keuze die wordt gedocumenteerd en goedgekeurd op een passend niveau binnen de organisatie. Dit betekent dat het senior management of andere verantwoordelijke partijen formeel akkoord gaan met het accepteren van het risico. Risicoacceptatie is geen eenmalige actie, maar vereist continue monitoring om te verifiëren dat het risico binnen de aanvaardbare grenzen blijft en dat de context waarin het risico is geaccepteerd, niet significant is veranderd.

Implementatiemaatregel

• Goedkeuring van risicoacceptatie binnen Digitaal Vlaanderen MOET als volgt gebeuren:

  • Lage en gemiddelde (rest)risico’s (risicorating 1 en 2) door de verantwoordelijke (gedelegeerde) asset/risico eigenaar;

  • Hoge en kritieke (rest)risico’s (risicorating 3 en 4) door de aansprakelijke eigenaar (op directieniveau);

  • Risicoacceptatie dat leidt tot een (verhoogd) risico voor een ander informatieasset of andere VO entiteiten dient te worden voorgelegd ter besluit aan de Leidend Ambtenaar.

• De duur van risicoacceptatie mag maximaal voor één jaar worden vastgesteld. Daarna (of eerder) MOET een herziening worden uitgevoerd.

Regelgeving en standaarden (L1)

ISO 27001:2022 (ISMS)

ISO 27001:2022 (Annex A)

Informatieclassificatieraamwerk van de Vlaamse overheid (L2)

Zie 1.4. Risicobeheer en 5.5. Minimale maatregelen - proces risicobeheer voor meer informatie.

Processen

De Het gerelateerde processen staan risicobeheerproces staat beschreven op volgende pagina.