Het beleid voor risicobeheer beschrijft hoe de organisatie informatieveiligheidsrisico's beheert. Het helpt de organisatie om deze te identificeren, te analyseren en te evalueren en om passende maatregelen te nemen om de informatieveiligheidsrisico's onder controle te houden. Het risicobeheerbeleid zoals beschreven op deze pagina is gebaseerd op het overkoepelende beleid van Digitaal Vlaanderen. Zie het risicoportaal voor meer informatie.

Dit omvat het vaststellen van de zakelijke omgeving en de scope van de informatieasset (dienst, product of proces) voor goede begripsvorming en afbakening.

Risicobeoordeling is een systematische methode om de aard en omvang van informatieveiligheidsrisico's te identificeren, evalueren en prioriteren. Het betreft doorgaans de stappen van risico-identificatie, risico-analyse en risico-evaluatie.

Implementatiemaatregel

Voor alle informatieassets geldt het volgende:

• Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN altijd een informatieklassenbepaling en risicoanalyse (voor klasse 3 en hoger) uitvoeren;

• Jaarlijks: Informatieklasse en risiconiveau MOETEN minimaal één keer per jaar herzien worden;

• Bij functionele of technische aanpassingen: Informatieklasse en risiconiveau MOETEN worden herzien bij grote veranderingen van de informatieasset;

• Bij nieuwe en veranderende dreigingen: Risiconiveau MOET worden herzien als dreigingen veranderen die impact kunnen hebben op de informatieasset;

• Bij overige veranderingen: Informatieklasse en risiconiveau MOETEN worden herzien bij uitbreiding van de datasets / informatie, ernstige kwetsbaarheden (bijv. niet gerepareerde security issues met software) of verandering (van de effectiviteit) van beheersmaatregelen.

De geldigheid van de informatieklassenbepaling en risicorating vervallen automatisch na één jaar geteld vanaf de laatste herziening. (Gedelegeerde) eigenaren dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun assets en de correctheid van de informatieklassen en actie te ondernemen wanneer nodig.

Informatieveiligheidsrisico’s kunnen ook ad-hoc geïdentificeerd of gerapporteerd worden. De eigenaar MOET ervoor zorgen dat het risico verder wordt geanalyseerd en behandeld.
Let op: Het gaat hier om informatieveiligheidsrisico’s, niet incidenten. Incidenten dienen te worden gemeld via de ServiceDesk.

Implementatiemaatregel

De generieke dreigingencatalogus faciliteert het proces van risicobeoordeling en de keuze van passende beheersmaatregelen.

Voor alle beoordelingen gelden de volgende regels en schalen:

• Impact wordt vastgesteld op een schaal 1 tot en met 5 (klein, gemiddeld, groot, significant, kritiek).

• Waarschijnlijkheid wordt vastgesteld op een schaal van 1 tot en met 5 (zeer laag, laag, gemiddeld, hoog, voorzienbaar).

• Het Risico Prioriteit Nummer (RPN = Impact x Waarschijnlijkheid) wordt vastgesteld tussen 1 en 25.

• Risico wordt vastgelegd op een schaal van 1 tot en met 4 (laag = 1..3, gemiddeld 4..9, hoog 10..19, kritiek 20..25).

• Alle risico's met een risicoscore van 3 en 4 MOETEN gemitigeerd worden door één of meerdere beheersmaatregelen, tenzij anders wordt besloten door een bevoegd persoon of orgaan middels formele risicoacceptatie.

• Elke beheersmaatregel MOET aan een eigenaar toegewezen worden.

• Effectiviteit Maturiteit van beheersmaatregelen MOET worden weergegeven op een schaal van 1 tot en met 5 (Opmerkingopmerking: soms wordt het begrip maturiteit effectiviteit gebruikt in plaats van effectiviteitmaturiteit - zie termen en definities).

• De risicobeoordeling MOET gedocumenteerd en beheerd worden als integraal onderdeel van het beheer van de informatieasset.

• De risicobeoordeling MOET herhaalbaar zijn door een consistent proces met bovenstaande schalen te volgen zodat resultaten vergeleken kunnen worden.

• Uitkomst van risicobeoordelingen MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

• Een eigenaar van het risico MOET worden vastgesteld. Doorgaans is dat de (gedelegeerde) eigenaar van de informatieasset.

Risicobehandeling is het proces van het nemen van besluiten over het beheersen van de geïdentificeerde risico's. Dit kan inhouden dat risico’s worden gemitigeerd (door de gevolgen te reduceren of te corrigeren), overgedragen, vermeden of geaccepteerd.

Implementatiemaatregel

Voor alle informatieassets geldt het volgende:

• Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN een behandelplan hebben gebaseerd op de uitkomst van de risicobeoordeling;

• Bij verandering informatieasset: Behandelplannen MOETEN herzien worden bij veranderingen zoals de status van geplande mitigatie en verandering (van effectiviteit) van beheersmaatregelen;

• Bij verandering van organisatie: Behandelplannen MOETEN herzien worden bij organisatorische verandering waar het eigenaarschap van risico’s en maatregelen is gewijzigd;

• Bij verandering risicoprofiel: Risicobeoordeling MOETEN opnieuw worden uitgevoerd bij functionele of technische veranderingen binnen het product of dienst en/of nieuwe en veranderende dreigingen.

Implementatiemaatregel

• Belanghebbenden MOETEN geconsulteerd te worden bij de behandeling van risico's.

• De keuze voor behandeling MOET vastgesteld worden op basis van de vier mogelijke opties: Modificatie van risico, acceptatie van risico, vermijding van risico of overdracht van risico.

• De keuze voor welke vorm van risicobehandeling MOET onderbouwd, goedgekeurd en gedocumenteerd worden.

• Alle risico's met een Risico Prioriteit Nummer RPN hoger dan 10 MOETEN gemitigeerd worden, tenzij anders wordt besloten door een bevoegd persoon of orgaan. Toelichting:

  • Er is bijna altijd een restrisico met een waarschijnlijkheid en bepaalde aanvaardbare impact. Het RPN dient onder de 10 te blijven.

  • Zolang deze boven de 10 zit, zal zo veel mogelijk verdere mitigatie plaatsvinden. Indien dit niet mogelijk is, dan zal het risico formeel geaccepteerd worden. Restrisico's onder de 10 hoeven niet formeel geaccepteerd te worden.

  • Mitigatie dient zo spoedig mogelijk te worden uitgevoerd met de volgende doorlooptijden:

    • Kritieke risico's (RPN van 20 of hoger): Binnen 3 maanden

    • Hoge risico's (RPN tussen 10 en 20): Binnen 6 maanden

    • Deze tijdlijnen zijn adviserend. Het belangrijkste is dat er voor hoge en kritieke risico’s een behandelplan MOET zijn met duidelijke acties, verantwoordelijkheden en tijdslijnen. Dit plan MOET zijn goedgekeurd op directieniveau en brengt de risico’s terug naar een risicorating in lijn met het risicoappetijt van de organisatie.

• Het risicobehandelplan MOET worden gedocumenteerd en te worden herzien bij grote veranderingen.

• Het risicobehandelplan MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

• Een eigenaar en uitvoerder van beheersmaatregelen MOETEN worden vastgesteld als onderdeel van het behandelplan. De eigenaar en uitvoerder kan dezelfde persoon zijn, maar hoeft niet het geval te zijn en soms is dit zelfs niet wenselijk (bijvoorbeeld in het geval van uitbesteding van de operatie van een proces/product/dienst).

Implementatiemaatregel

Goedkeuring van risicobehandeling binnen Digitaal Vlaanderen MOET als volgt gebeuren:

• Lage en gemiddelde risico’s (risicorating 1 en 2) door de verantwoordelijke (gedelegeerde) asset /risico eigenaar;

• Hoge en kritieke risico’s (risicorating 3 en 4) en/of hoge kosten door de aansprakelijke eigenaar (op directieniveau);

Implementatiemaatregel

• Goedkeuring van risicoacceptatie binnen Digitaal Vlaanderen MOET als volgt gebeuren:

  • Lage en gemiddelde (rest)risico’s (risicorating 1 en 2) door de verantwoordelijke (gedelegeerde) asset/risico eigenaar;

  • Hoge en kritieke (rest)risico’s (risicorating 3 en 4) door de aansprakelijke eigenaar (op directieniveau);

  • Risicoacceptatie dat leidt tot een (verhoogd) risico voor een ander informatieasset of andere VO entiteiten dient te worden voorgelegd ter besluit aan de Leidend Ambtenaar.

• De duur van risicoacceptatie mag maximaal voor één jaar worden vastgesteld. Daarna (of eerder) MOET een herziening worden uitgevoerd.