5.5.3.1. Beheer van risico's als maatregel

5.5.3.1.1. De verschillende activiteiten van risicobeheer

Het proces risicobeheer is het continue proces van bedreigingen in beeld krijgen, kwantificeren en afwegen of en welke controlemaatregelen er genomen moeten worden (zie Figuur 1).

Het proces bestaat uit de volgende stappen:

• Analyse van de zakelijke omgeving

  • Vaststellen context en scope

  • Validatie minimale maatregelen

• Risicobeoordeling

  • Risico-identificatie

  • Risicoanalyse

  • Risico-evaluatie

  • Bepalen risicostrategie

• Risicobehandeling

  • Vastleggen acties

  • Opvolgen geformuleerde acties

• Communicatie en -overleg

• Monitoring en beoordeling  

5.5.3.1.2. Het proces

Alle bouwstenen samen maken deel uit van het proces voor het beheer van risico's. Algemeen ziet dat er als volgt uit: 

Open

5.5.3.1.3. Link met informatiebeveiliging & Privacy

100% beveiliging bestaat niet. Risico’s kan men niet 100% uitsluiten. (Informatie)veiligheidsrisico’s zijn bijgevolg niet uit te sluiten. Het is dan ook zaak om de (informatie)veiligheidsdienst te betrekken bij de beoordeling van risico’s.
In de praktijk betekent dit dat volgende functies deel uitmaken van het risico-team:

• De CISO ingeval het risico gevolgen heeft voor de beveiliging van informatie en informatie verwerkende systemen;

• De DPO ingeval het risico gevolgen heeft voor de bescherming van persoonsgegevens;

• Ook als het de bedreiging zelf geen rechtstreekse gevolgen heeft op de beveiliging van informatie en informatie verwerkende systemen, is het mogelijk dat bij de afhandeling van de bedreiging wijzigingen
  nodig zijn aan de (ICT) infrastructuur. Hierbij moet de impact op de beveiliging steeds in het vizier worden genomen.