Document toolboxDocument toolbox

1.4.1.2.4.4 Risico-evaluatie

In deze stap worden de bijkomende controlemaatregelen bepaald voor de strategie “mitigeren”. Hierbij worden de bedreigingen geviseerd met een prio 1 of prio 2. Hierbij zal gekeken worden naar het gewenste risiconiveau, namelijk het risiconiveau na toepassing van alle maatregelen vernoemd binnen het raamwerk informatieclassificatie. Het gewenste risiconiveau vormt als het ware de baseline waarbij een organisatie zich boven deze baseline bevindt, of juist eronder. Indien een organisatie zich onder deze baseline bevindt, zullen bijkomende controlemaatregelen moeten worden getroffen. Het restrisico, na het treffen van deze bijkomende controlemaatregelen, dient al dan niet aanvaard te worden door het topmanagement. Zowel de coördinator van de risicoanalyse, de deskundigen, waaronder ook CISO en DPO dienen hiervoor aanwezig te zijn. De maatregelen worden daarbij geformuleerd op het niveau van controlemaatregelen om ervoor te zorgen dat bij de invulling over de tijd heen rekening kan worden gehouden met de stand van zaken op dat moment.

Hierbij kunnen de bijkomende controlemaatregelen bestaan uit:

  • de maturiteit van een bestaande controlemaatregel die bepaald werd tijdens de activiteit ‘het vastleggen van context en scope’ verhogen, ofwel

  • kiezen voor een andere controlemaatregel.

Concreet:

  • risico-evaluatie:

    • bepalen van de positie van de organisatie ten aanzien van het gewenste risiconiveau. Dit voor bedreigingen die gemitigeerd dienen te worden, dit met name voor de bedreigingen die ingeschaald zijn met een prio 1 of een prio 2.

    • Het gewenste risiconiveau vormt de baseline, waarbij alle controlemaatregelen zijn getroffen zoals bepaald binnen het raamwerk informatieclassificatie

    • bepalen of de bestaande controlemaatregelen in maturiteit kunnen verhoogd worden, of er gekozen dient te worden voor andere controlemaatregelen

    • bepaal opnieuw de waarschijnlijkheid en de impact na het nemen van deze bijkomende controlemaatregelen, en bereken de risicoscore(=restrisico)

    • topmanagement beslist of het restrisico, en zijn bijhorende controlemaatregelen, al dan niet aanvaard worden

 

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • topmanagement

  • bepalen van de positie van de organisatie ten aanzien van het gewenste risiconiveau.  Dit voor bedreigingen die gemitigeerd dienen te worden, dit met name voor de bedreigingen die ingeschaald zijn met een prio 1 of een prio 2. - Het gewenste risiconiveau vormt de baseline, waarbij alle controlemaatregelen zijn getroffen zoals bepaald binnen het raamwerk informatieclassificatie

  • bepalen of de bestaande controlemaatregelen in maturiteit kunnen verhoogd worden, of er gekozen dient te worden voor andere controlemaatregelen

  • bepaal opnieuw de waarschijnlijkheid en de impact na het nemen van deze bijkomende controlemaatregelen, en bereken de risicoscore(=restrisico)

  • topmanagement beslist of het restrisico, en zijn bijhorende controlemaatregelen, al dan niet aanvaard worden

  • workshop

  • sjabloon rapport risicoanalyse

 

Resultaat

  • een oplijsting van mogelijke relevante bedreigingen, dewelke dienen gemitigeerd worden, waarbij de bijkomende controlemaatregelen zijn gedefinieerd. Het topmanagement beoordeelt en aanvaardt het restrisico 

Welke risico’s te beheersen?

Welke bedreigingen aanvaardbaar zijn, en wat er dient te gebeuren, verschilt voor iedere organisatie. Onderstaande tabel geeft een indicatie van de risico-appetijt.

 

Risico-appetijt

Kleurencode

Omschrijving

Kritiek risico 

Risico is niet aanvaardbaar, controlemaatregelen zijn nodig

verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen

Hoog risico 

Risico is niet aanvaardbaar, controlemaatregelen zijn nodig

verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen

Gemiddeld risico 

Risico verdient extra aandacht tot verdere beheersing

verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen

Laag risico 

Aanvaardbaar risico, extra controlemaatregelen nemen is mogelijk

verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen

 

Risico-evaluatie

Er zijn twee manieren om bedreigingen die niet aanvaardbaar zijn, te beheersen: ofwel verhoogt men de maturiteit van de bestaande maatregelen, ofwel identificeert men bijkomende controlemaatregelen.

Het restrisico wordt bepaald door het ingeschatte niveau van waarschijnlijkheid en impact te herbekijken. Dit doet men op basis van de opnieuw ingeschatte maturiteit van bestaande controlemaatregelen of de nieuwe controlemaatregel.

Het restrisico wordt gevormd door opnieuw de waarschijnlijkheid te vermenigvuldigen met de impact. De beoordeling van het restrisico, in aanvaarding, ligt hierbij in de handen van het topmanagement.

Related pages