1.4.1.2.1 Risicomethodiek in het kader van het ICR
Een programma voor informatiebeveiliging kan diverse grote en kleine doelen nastreven, maar de belangrijkste principes zijn te herleiden naar beschikbaarheid, integriteit en vertrouwelijkheid (BIV).
De definities van ‘beschikbaarheid, ‘vertrouwelijkheid’ en ‘integriteit’ zijn al gegeven binnen het document ‘Vo Informatieclassificatie – Minimale maatregelen - Organisatie’. De controlemaatregelen die op grond van deze basisprincipes ingericht worden, variëren per organisatie, maar zijn steeds in lijn met het ICR. Dit komt omdat elke organisatie haar eigen specifieke eisenpakket opstelt op basis van haar bedrijfs- en beveiligingsdoelen- en eisen.
Met behulp van de risicomethodiek wordt binnen de Vo een kader gegeven om te kunnen streven naar een uniformiteit tot het uitvoeren van risicoanalyses en het bepalen van maatregelen.
Alle beveiligingsmaatregelen worden geïmplementeerd om één of meer van deze BIV-principes in te vullen. Alle bedreigingen worden beoordeeld op hun vermogen om één of meer van de BIV-principes schade toe te brengen.
Beschikbaarheid, integriteit en vertrouwelijkheid zijn dus essentiële principes voor informatiebeveiliging. Ze helpen om bedreigingen te identificeren en deze op een gepaste manier aan te pakken.
Documenten organisatie
Risicobeheer is pas effectief als het een integraal onderdeel is van de processen van de organisatie. Daarom moet een raamwerk gehanteerd worden dat bepaald welke de criteria rond risicoanalyses zijn, hoe het proces risicobeheer eruit ziet, de methodiek en welk instrumentarium kan aangewend worden.
De documenten zijn als volgt ingedeeld:
Documentatie level 2:
Risicoanalyse: zie ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’.
Risicoproces: zie ‘Vo informatieclassificatie – Minimale maatregelen – Proces Risicobeheer.
Documentatie level 3: risicomethodiek.
Documentatie level 4: instrumentarium
Scope, doelgroep en voordelen
De risicomethodiek is bedoeld voor alle typen organisaties binnen de Vo, ongeacht grootte en aard van de activiteiten, en is vooral gericht op organisatie-brede risico’s.
De doelgroep van dit document is heel divers: verantwoordelijken voor risicobeheer binnen organisaties als geheel of voor specifieke onderdelen of activiteiten, maar ook personen/organisaties die er op toe moeten zien dat een organisatie haar risico’s goed beheert of de aanpak daarvan moet beoordelen, waaronder business-analysten, toepassingsbeheerders en projectmanagers.
Rollen en verantwoordelijkheden
Binnen de uitvoering van een risicoanalyse zijn volgende actoren betrokken:
Rollen | Verantwoordelijkheden |
---|---|
CISO/ ISO |
|
DPO/PO |
|
Topmanagement |
|
Lijn management |
|
Coördinator risicoanalyse |
|
Proces-eigenaar / Informatie- eigenaar (inclusief projecteigenaar, business-analysten) |
|
Systeem-eigenaar (inclusief toepassingsbeheerders) |
|
Overzicht per RACI-model: