1.4.2.3.9. Link met de minimale maatregelen
Minimale maatregelen
Risicoanalyse kan tijdrovend en complex zijn. Binnen de Vo werd hieraan deels tegemoet gekomen door middel van de minimale maatregelen in het ICR. Dit houdt in dat er een stelsel van algemene minimale beveiligingsmaatregelen gedefinieerd wordt voor de gemiddelde organisatie of voor het gemiddelde bedrijfsproces. Organisaties kunnen door middel van het implementeren van deze maatregelen zich weren tegen een aantal vaak voorkomende risico’s. De minimale maatregelen bieden een minimaal beschermingsniveau voor een organisatie of proces onder normale omstandigheden.
Het uitvoeren van een risicoanalyse is aangewezen indien de minimale maatregelen onvoldoende beveiliging bieden, of omdat de organisatie bepaalde klassen van informatie verwerkt. Risicoanalyses zijn bovendien in bepaalde gevallen verplicht vanuit de wet- en regelgeving (bv. GDPR).
Impact bepaling van bedreigingen
Het ICR heeft al een model voor impact bepaling voorzien (zie 1.3.4.3 Informatieklassen en impact). Er wordt onderscheid gemaakt tussen materiële en immateriële schade:
Materiële schade omvat fysische schade, financiële schade, verminderde dienstverlening aan burgers en bedrijven en economische schade;
Immateriële schade omvat geestelijke schade, vrijheidsbeperking, sociale schade en reputatieschade.
Het raamwerk heeft 5 impactschalen gedefinieerd, die gekoppeld zijn aan de 5 klassen van informatie. Voor bepaling van de impact van bedreigingen, worden deze impactschalen hergebruikt in de risicoanalyse methodiek.
De impactschalen zijn beschreven op pagina 1.3.4.4 Impactschalen .