5.5.3.1.1. De verschillende activiteiten van risicobeheer
Het proces risicobeheer is het continue proces van bedreigingen in beeld krijgen, kwantificeren en afwegen of en welke controlemaatregelen er genomen moeten worden (zie Figuur 1).
Het proces bestaat uit de volgende stappen:
Analyse van de zakelijke omgeving
Vaststellen context en scope
Validatie minimale maatregelen
Risicobeoordeling
Bepalen risicostrategie
Vastleggen acties
Opvolgen geformuleerde acties
Communicatie en -overleg
Monitoring en beoordeling
5.5.3.1.2. Het proces
Alle bouwstenen samen maken deel uit van het proces voor het beheer van risico's. Algemeen ziet dat er als volgt uit:
5.5.3.1.3. Link met informatiebeveiliging & Privacy
100% beveiliging bestaat niet. Risico’s kan men niet 100% uitsluiten. (Informatie)veiligheidsrisico’s zijn bijgevolg niet uit te sluiten. Het is dan ook zaak om de (informatie)veiligheidsdienst te betrekken bij de beoordeling van risico’s.
In de praktijk betekent dit dat volgende functies deel uitmaken van het risico-team:
De CISO ingeval het risico gevolgen heeft voor de beveiliging van informatie en informatie verwerkende systemen;
De DPO ingeval het risico gevolgen heeft voor de bescherming van persoonsgegevens;
Ook als het de bedreiging zelf geen rechtstreekse gevolgen heeft op de beveiliging van informatie en informatie verwerkende systemen, is het mogelijk dat bij de afhandeling van de bedreiging wijzigingen
nodig zijn aan de (ICT) infrastructuur. Hierbij moet de impact op de beveiliging steeds in het vizier worden genomen.