1.4.1.2.5. Risicobehandeling
- Hijke Maes (Unlicensed)
- Yentl Goossens (Unlicensed)
De in de vorige stap gekozen risicostrategie moet ook daadwerkelijk geïmplementeerd worden in de organisatie. Bovendien dienen afspraken gemaakt te worden over de controle op de uitvoering van de risicostrategie. Voor bedreigingen die niet, of niet volledig worden beheerst, is het mogelijk een financiële buffer aan te leggen.
De risicobehandeling wordt besproken tussen de coördinator van de risicoanalyse, de deskundigen, de CISO en de DPO.
Voor elke actie wordt vastgelegd wat er gedaan moet worden, tegen wanneer en wie verantwoordelijk is voor deze actie. Hiervoor wordt een actieplan opgemaakt. Eventueel wordt ook opgenomen hoe dit kan gemeten worden. Indien de organisatie beschikt over een informatieveiligheidsplan, moeten deze acties hierin worden opgenomen. Ook de nodige budgetten moeten worden voorzien om de gedefinieerde acties daadwerkelijk uit te voeren.
Opvolgen geformuleerde acties
Het actieplan moet ervoor zorgen dat de risico’s voldoende beheerst worden. De mate van risicobeheersing van alle geïdentificeerde risico’s is bepalend voor de maturiteit van de organisatie of van een proces binnen de organisatie.
Het is dus belangrijk om het actieplan op te volgen: voor elke uitgevoerde actie moet men zich de vraag stellen of het doel van de actie bereikt is.
Zelfs een aangepakt risico kan nog een rest van waarschijnlijkheid en / of impact in zich houden. Niet alle controlemaatregelen leiden immers tot een waarschijnlijkheid van (bijna) nul en/of een impact van (bijna) nul en er blijft vaak een restrisico over. Het topmanagement beoordeelt dit restrisico opnieuw en aanvaardt het.