...
Informatieveiligheid risicobeheer is een specifiek kernproces waar TIV proces-eigenaar van is. Het doel van informatieveiligheid risicobeheer is om organisatiedoelen te realiseren door proactief en gestructureerd in te spelen op toekomstige ongewenste informatieveiligheid gebeurtenissen, oftewel risico’s. Hierdoor kan men tijdig besluiten nemen om deze risico’s te voorkomen of te verminderen. Risicobeheer bestaat uit 7 deelstappen:
...
Gedurende dit risicobeheerproces, zijn er validerende activiteiten van de functionaris informatieveiligheid (CISO), de functionaris gegevensbescherming (DPO), algemeen risicobeheer (CRO) en de directie.
...
In de eerste deelstap analyse van de zakelijke omgeving wordt geïdentificeerd welke informatieassets er zijn. Aan elk informatieasset moet een eigenaar worden toegewezen.
Vervolgens wordt voor elk informatieasset de waarde voor de organisatie bepaald, uitgedrukt in drie dimensies: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Ook wordt bepaald of het informatieasset persoonsgegevens bevat. Er bestaat een sjabloon om deze informatieklassebepaling uit te voeren met een aantal eenvoudige vragen die door de asseteigenaar moeten worden beantwoord.
...
Indien de informatieklasse van een asset hoger is dan 2, moeten de resterende 4 deelstappen worden uitgevoerd: toetsing van maatregelen, risicobeoordeling, risicobehandeling en risicoregsitratierisicoregistratie. Het gaat immers uiteindelijk om een evaluatie en zo nodig een verbetering van de beheersmaatregelen, zodat risico’s worden teruggebracht tot een niveau dat aanvaardbaar is voor de directie.
Deze Deze 7 deelstappen van het risicobeheerproces worden gegroepeerd en formeel beschreven in de volgende 4 deelprocessen:
...