null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 52 Next »

Het beleid voor risicobeheer beschrijft hoe de organisatie informatieveiligheidsrisico's beheert. Het helpt de organisatie om deze te identificeren, te analyseren en te evalueren en om passende maatregelen te nemen om de informatieveiligheidsrisico's onder controle te houden.

Inhoud

Doel

Het systematisch identificeren, beoordelen en behandelen van risico's om zo de veiligheid van informatie, informatieverwerking en informatiesystemen te waarborgen.

De organisatie in staat stellen weloverwogen keuzes te maken over informatieveiligheidsrisico's, waardoor het de bedrijfsdoelstellingen kan realiseren en voldoet aan wettelijke en andere vereisten.

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

  • Page:
    OD.11

    We beoordelen en behandelen risico’s op een objectieve en consistente manier en nemen de nodige maatregelen in lijn met de risico appetijt van de organisatie.

Beleid

Risicobeoordeling

Risicobeoordeling is een systematische methode om de aard en omvang van risico's te identificeren, evalueren en prioriteren. Het betreft doorgaans de stappen van risico-identificatie, risico-analyse en risico-evaluatie.

Risicobeoordeling

Risicobeoordeling is een systematische methode om de aard en omvang van risico's te identificeren, evalueren en prioriteren. Het betreft doorgaans de stappen van risico-identificatie, risico-analyse en risico-evaluatie.

Aanleiding en frequentie

De term aanleiding verwijst in deze naar de specifieke gebeurtenis of omstandigheid die reden geeft tot het uitvoeren van een risicobeoordeling. Dit kan bijvoorbeeld een incident, een verandering in wet- of regelgeving, of de introductie van een nieuwe technologie zijn. De term frequentie daarentegen heeft betrekking op de periodiciteit waarmee risicobeoordelingen worden uitgevoerd.

Implementatiemaatregel

Voor alle assets geldt het volgende:

  • Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN altijd een informatieklassebepaling en risicoanalyse uitvoeren;

  • Jaarlijks: Informatieklasse en risico ratings MOETEN minimaal één keer per jaar herzien worden;

  • Bij functionele of technische aanpassingen: Informatieklasse en risico ratings MOETEN worden herzien bij grote veranderingen van het product of dienst;

  • Bij nieuwe en veranderende dreigingen: Risico ratings MOETEN worden herzien als dreigingen veranderen die impact kunnen hebben op het product of dienst;

  • Bij overige veranderingen binnen asset: Uitbreiding van de datasets / informatie, ernstige kwetsbaarheden (bijv. niet gerepareerde security issues met software) of verandering (van de effectiviteit) van beheersmaatregelen.

De geldigheid van de informatieklassebepaling en risicorating vervallen automatisch na één jaar geteld vanaf de laatste herziening. Asset eigenaren dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun assets en de correctheid van de informatieklassen en actie te ondernemen wanneer nodig.

Risico’s kunnen ook ad-hoc gerapporteerd worden. De eigenaar MOET ervoor zorgen dat het risico verder wordt geanalyseerd en behandeld.
Let op: Het gaat hier om het rapporteren van informatieveiligheidsrisico’s, niet incidenten. Incidenten dienen te worden gemeld via de ServiceDesk.

Methodiek

Door de implementatie van een uniforme risicomethodiek binnen de Vo wordt een gestructureerde aanpak gerealiseerd voor het uitvoeren van risicoanalyses en het bepalen van geschikte maatregelen.

Implementatiemaatregel

Er MOET een dreigingencatalogus worden vastgelegd, goedgekeurd en jaarlijks gereviseerd op basis van Industry Best Practices en andere context specifieke inzichten. Deze catalogus faciliteert het proces van risicobeoordeling en de keuze van passende beveiligingsmaatregelen.

Voor alle beoordelingen gelden de volgende regels en schalen:

  • Impact wordt vastgesteld op een schaal 1 tot en met 5.

  • Waarschijnlijkheid wordt vastgesteld op een schaal van 1 tot en met 5.

  • Risico wordt vastgelegd op een schaal van 1 tot en met 4.

  • Het Risico Prioriteit Nummer (RPN = Impact x Waarschijnlijkheid) wordt vastgesteld tussen 1 en 25.

  • Alle risico's met een RPN hoger dan 10 MOETEN gemitigeerd worden, tenzij anders wordt besloten door een bevoegd persoon of orgaan.

  • Het Rest RPN MOET lager dan 10 zijn.

  • Maturiteit van beheersmaatregelen dient te worden weergegeven op een schaal van 1 tot en met 5.

  • Risicoappetijt wordt weergegeven op een schaal van 1 tot en met 4 (gemapt op de vier risicolevels).

  • De risicobeoordeling MOET gedocumenteerd en gearchiveerd worden binnen het assetdossier en regelmatig te worden herzien.

  • De risicobeoordeling MOET herhaalbaar zijn door een consistent proces met bovenstaande schalen te volgen zodat resultaten vergeleken kunnen worden.

  • Uitkomst van risicobeoordelingen MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

  • Een eigenaar van het risico MOET worden vastgesteld.

Risicobehandeling

Risicobehandeling is het proces van het nemen van besluiten over en het implementeren van maatregelen om risico's te beheersen. Dit kan inhouden dat risico’s worden gereduceerd, overgedragen, vermeden of geaccepteerd.

Aanleiding en frequentie

De risicobehandeling wordt gewoonlijk geïnitieerd op basis van de resultaten van de risicobeoordeling. Echter, wijzigingen in het risicoprofiel, de invoering van nieuwe maatregelen of andere relevante factoren kunnen aanpassingen in het behandelplan vereisen. Voortdurende monitoring van de uitvoering van dit plan is daarom van cruciaal belang.

Implementatiemaatregel

Voor alle assets geldt het volgende:

  • Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN een behandelplan hebben gebaseerd op de uitkomst van de risicobeoordeling;

  • Bij verandering asset: Behandelplannen MOETEN herzien worden bij veranderingen zoals de status van geplande mitigatie en verandering (van effectiviteit) van beheersmaatregelen;

  • Bij verandering risicoprofiel: Risicobeoordeling MOETEN opnieuw worden uitgevoerd bij functionele of technische veranderingen binnen het product of dienst en/of nieuwe en veranderende dreigingen.

Methodiek

Implementatiemaatregel

  • Belanghebbenden MOETEN geconsulteerd te worden bij de behandeling van risico's.

  • De keuze voor behandeling MOET vastgesteld worden op basis van de vier mogelijke opties mitigatie, vermijding, overdracht en/of acceptatie.

  • De keuze voor welke vorm van risicobehandeling MOET onderbouwd, goedgekeurd en gedocumenteerd te worden.

  • Alle risico's met een Risico Prioriteit Nummer RPN hoger dan 10 MOET gemitigeerd worden, tenzij anders wordt besloten door een bevoegd persoon of orgaan. Toelichting:

    • Er is bijna altijd een restrisico met een waarschijnlijkheid en bepaalde aanvaardbare impact. Het RPN dient onder de 10 te blijven.

    • Zolang deze boven de 10 zit, zal zo veel mogelijk verdere mitigatie plaatsvinden. Indien dit niet mogelijk is, dan zal het risico formeel geaccepteerd worden. Restrisico's onder de 10 hoeven niet formeel geaccepteerd te worden.

    • Mitigatie dient zo spoedig mogelijk te worden uitgevoerd:

      • Kritieke risico's (RPN van 20 of hoger): Binnen 3 maanden

      • Hoge risico's (RPN tussen 10 en 20): Binnen 6 maanden

  • Het risicobehandelplan MOET worden gedocumenteerd binnen het assetdossier en te worden herzien bij grote veranderingen.

  • Het risicobehandelplan MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

  • Een eigenaar en uitvoerder van mitigerende beheersmaatregelen MOET worden vastgesteld.

Goedkeuring

De bekrachtiging van de geselecteerde risicobehandeling is een geformaliseerde procedure die wordt uitgevoerd door de risico-eigenaar, in overleg met alle relevante stakeholders.

Implementatiemaatregel

Goedkeuring van risicobehandeling binnen Digitaal Vlaanderen MOET als volgt gebeuren:

  • Lage en gemiddelde risico’s (risicorating 1 en 2) door de verantwoordelijke (gedelegeerde) asset /risico eigenaar;

  • Hoge en kritieke risico’s (risicorating 3 en 4) en/of hoge kosten door de aansprakelijke eigenaar (op directieniveau);

Acceptatie

Risicoacceptatie is een bewuste beslissing om een geïdentificeerd en geëvalueerd risico te accepteren zonder aanvullende beveiligingsmaatregelen te nemen om het risico te mitigeren. Deze benadering wordt meestal gekozen wanneer de kosten voor het verminderen van het risico disproportioneel zouden zijn in vergelijking met de potentiële schade, of wanneer het risico binnen de vastgestelde tolerantiegrenzen van de organisatie valt.

Het is een strategische keuze gedocumenteerd en goedgekeurd op een passend niveau binnen de organisatie. Dit betekent dat het senior management of andere verantwoordelijke partijen formeel akkoord gaan met het accepteren van het risico.

Risicoacceptatie is geen eenmalige actie, maar vereist continue monitoring om te verifiëren dat het risico binnen de aanvaardbare grenzen blijft en dat de context waarin het risico is geaccepteerd, niet significant is veranderd.

Implementatiemaatregel

  • Goedkeuring van risicoacceptatie binnen Digitaal Vlaanderen MOET als volgt gebeuren:

    • Lage en gemiddelde (rest)risico’s (risicorating 1 en 2) door de verantwoordelijke (gedelegeerde) asset/risico eigenaar;

    • Hoge en kritieke (rest)risico’s (risicorating 3 en 4) door de aansprakelijke eigenaar (op directieniveau);

    • Risicoacceptatie dat leidt tot een (verhoogd) risico voor een ander proces/product/dienst/entiteit dient te worden voorgelegd ter besluit aan de Leidend Ambtenaar.

  • De duur van risicoacceptatie mag maximaal voor één jaar worden vastgesteld. Daarna (of eerder) MOET een herziening worden uitgevoerd.

Conformiteitstoetsing

Hieronder vindt u een overzicht van de controles die worden ingezet voor het toetsen van de conformiteit aan het beleid.

Door deze controles uit te voeren, kan de organisatie de effectiviteit van haar beleid verzekeren, eventuele nalevingsproblemen aanpakken en de algehele conformiteit met interne en externe vereisten verbeteren.

Zie /wiki/spaces/ISMS/pages/6329503023 voor meer informatie.

Type

Controle

WERKING

Percentage analyses dat wordt onderbouwd door latere ervaringen of testen (nauwkeurigheid)

WERKING

Verhouding tussen cumulatieve werkelijke verliezen en verwachte verliesomvang

WERKING

Een 'tevredenheidsindex' over risicoanalyserapportage (bijv. het percentage positieve antwoorden van bedrijfsmanagers op een tevredenheidsenquête over de leesbaarheid, bruikbaarheid en nauwkeurigheid van risicoanalyserapporten)

WERKING

Percentage van de tijd dat analyses worden uitgevoerd door getrainde analisten (metriek op een hoger niveau gerelateerd aan nauwkeurigheid, verdedigbaarheid en consistentie)

BESTAAN

Een uitgewerkte procedure bestaat ter identificatie, beoordeling en beslissing van risico’s

WERKING

Aantal goedgekeurde risicoanalyseresultaten die nog niet zijn opgenomen in het risicoprofiel

WERKING

Percentage kritieke bedrijfsservices dat niet wordt gedekt door risicoanalyse

WERKING

Volledigheid van de belangrijkste kenmerken van risicogegevens in het IT-risicoregister

Appendix

Relatie van het beleid met andere richtlijnen en standaarden

Regelgeving en standaarden (L1)

ISO 27001:2022 (ISMS)

ISO 27001:2022 (Annex A)

Informatieveiligheidsstrategie van de Vlaamse overheid (L2)

Zie 1.4. Risicobeheer en 5.5. Minimale maatregelen - proces risicobeheer voor meer informatie.

Uitvoering van het beleid

Processen

De gerelateerde processen staan beschreven op volgende pagina:

/wiki/spaces/ISMS/pages/6329501966

/wiki/spaces/ISMS/pages/6329501975

Document status

Titel

Auteur

Datum

Versie

Status

Opmerkingen

Beleid voor risicobeheer

Vincent Alwicher

1.0

IN REVIEW

  • No labels