Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN altijd een informatieklassenbepaling en risicoanalyse (voor klasse 3 en hoger) uitvoeren;
Jaarlijks: Informatieklasse en risiconiveau MOETEN minimaal één keer per jaar herzien worden;
Bij functionele of technische aanpassingen: Informatieklasse en risiconiveau MOETEN worden herzien bij grote veranderingen van de informatieasset;
Bij nieuwe en veranderende dreigingen: Risiconiveau MOET worden herzien als dreigingen veranderen die impact kunnen hebben op de informatieasset;
Bij overige veranderingen: Informatieklasse en risiconiveau MOETEN worden herzien bij uitbreiding van de datasets / informatie, ernstige kwetsbaarheden (bijv. niet gerepareerde security issues met software) of verandering (van de effectiviteit) van beheersmaatregelen.
De geldigheid van de informatieklassenbepaling en risicorating vervallen automatisch na één jaar geteld vanaf de laatste herziening. (Gedelegeerde) eigenaren dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun assets en de correctheid van de informatieklassen en actie te ondernemen wanneer nodig.
Informatieveiligheidsrisico’s kunnen ook ad-hoc geïdentificeerd of gerapporteerd worden. De eigenaar MOET ervoor zorgen dat het risico verder wordt geanalyseerd en behandeld. Let op: Het gaat hier om informatieveiligheidsrisico’s, niet incidenten. Incidenten dienen te worden gemeld via de ServiceDesk.
