Document toolboxDocument toolbox

1.4.1.3. Overzicht methodiekstappen (bijlage)

Analyse van de zakelijke omgeving

  • Vaststellen context 

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • nagaan welke categorieën gegevens verwerkt worden

  • nagaan om welke reden deze gegevens verwerkt worden, waarbij de doelstelling van de verwerking gedocumenteerd wordt

  • omschrijven van de context van de risicoanalyse

  • interview met applicatie-eigenaar, workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een omschrijving van de context tot de gevraagde risicoanalyse, met een inzicht in de betrokken categorieën gegevens die verwerkt wordt

  • dit wordt  binnen het rapport van de risicoanalyse genoteerd

 

  • Vaststellen scope 

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • oplijsten van de betrokken zakelijke processen binnen de scope van de risicoanalyse;

  • oplijsten van de  informatieverwerkende systemen die de betrokken zakelijke processen ondersteunen 

  • oplijsten van de informatie die in de betrokken zakelijke processen verwerkt wordt

  • deze gegevens aftoetsen aan het Vo informatieclassificatie model, nl. bepalen tot welke classificatieschaal deze gegevens behoren

  • de maturiteit bepalen van de reeds genomen controlemaatregelen, binnen het ICR bepalen

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een overzicht van de betrokken zakelijke processen, de gerelateerde betrokken systemen, categorisatie en specificatie van de  informatie, classificatieschaal en een maturiteitsoverzicht van de bestaande controlemaatregelen

  • dit wordt opgenomen binnen het rapport van de risicoanalyse

 

Risicobeoordeling

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • per betrokken zakelijk proces en zijn aanverwante informatie verwerkende systemen, oplijsten van de mogelijke bedreigingen

  • per bedreiging een korte beschrijving geven van de bedreiging

  • geef iedere bedreiging een ID-nr.

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een oplijsting van mogelijke relevante bedreigingen, met een beschrijving van de bedreiging en zijn impact

  • dit wordt  binnen het rapport van de risicoanalyse genoteerd

 

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • bepaal per geïdentificeerde bedreiging zijn waarschijnlijkheid dat deze inherente bedreiging zich zal kunnen manifesteren, middels de tabel “waarschijnlijkheid”

  • bepaal per geïdentificeerde bedreiging de impact die deze inherente bedreiging zal hebben op de organisatie, middels de tabel “impact”

  • bepaal de maturiteit van de reeds genomen controlemaatregelen, en som ze op

  • bereken de score van het huidige risiconiveau

  • rangschik de bedreigingen volgens prioriteit (hoog naar laag)

  • breng de bedreigingen over op een risicokaart(facultatief)

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een gerangschikte lijst van bedreigingen, met een inschatting van hun waarschijnlijkheid van optreden en hun impact op de organisatie. De lijst is gerangschikt naar de ernst van het berekende risico, en houdt rekening houdende met genomen controlemaatregelen

  • dit wordt binnen het rapport van de risicoanalyse genoteerd

 

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • topmanagement

  • bepaal per opgelijste bedreiging, of het huidige risiconiveau een risico is dat geaccepteerd kan worden. Zoniet dan moet het risico gemitigeerd worden – en indien nodig overgedragen of vermeden worden

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een oplijsting van mogelijke relevante bedreigingen, waarvan op basis van het huidige risiconiveau bepaald is of het risico geaccepteerd kan worden - Zoniet dan moet het risico gemitigeerd worden – en indien nodig overgedragen of vermeden worden

 

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • topmanagement

  • bepalen van de positie van de organisatie ten aanzien van het gewenste risiconiveau.  Dit voor bedreigingen die gemitigeerd dienen te worden, dit met name voor de bedreigingen die ingeschaald zijn met een prio 1 of een prio 2. - Het gewenste risiconiveau vormt de baseline, waarbij alle controlemaatregelen zijn getroffen zoals bepaald binnen het raamwerk informatieclassificatie

  • bepalen of de bestaande controlemaatregelen in maturiteit kunnen verhoogd worden, of er gekozen dient te worden voor andere controlemaatregelen

  • bepaal opnieuw de waarschijnlijkheid en de impact na het nemen van deze bijkomende controlemaatregelen, en bereken de risicoscore(=restrisico)

  • topmanagement beslist of het restrisico, en zijn bijhorende controlemaatregelen, al dan niet aanvaard worden

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een oplijsting van mogelijke relevante bedreigingen, dewelke dienen gemitigeerd worden, waarbij de bijkomende controlemaatregelen zijn gedefinieerd. Het topmanagement zal het restrisico beoordelen en al dan niet aanvaarden.