1.4.1.2.4.3 Bepalen risicostrategie

Er bestaan vier soorten risicostrategieën: vermijden, mitigeren, overdragen en accepteren die samenhangen met de mate van de waarschijnlijkheid en de impact. Hierbij bepalen de coördinator van de risicoanalyse, de deskundigen, waaronder ook de CISO en de DPO de risicostrategie.

De specifieke activiteiten van een organisatie beïnvloeden de keuze van de strategie. Zo kan het zijn dat een organisatie x een keuze zal maken tot mitigeren van een risico, terwijl organisatie y eerder hetzelfde risico gaat accepteren. Verder hangt de keuze die gemaakt wordt ook af van de afweging ten aanzien van de geldende maatregelen binnen de Vo informatieclassificatie, bv op basis van de kostprijs om die specifieke maatregel(en) te implementeren.

Op basis van de beoordeling in prioriteit van het huidige risiconiveau, wordt de verdere aanpak (vermijden, mitigeren, overdragen of accepteren) van de bedreiging bepaald:

• De organisatie kiest voor het mitigeren, en deze keuze is gebaseerd op de missie, visie en doelstellingen en in kader van dienstverlening.

• Er kan gekozen worden voor overdragen van het risico, onder andere door het inschakelen van een ICT-dienstverlener of door het afsluiten van diverse raamcontracten of verzekeringen.

• Een aantal specifieke risico’s waarbij de controlemaatregelen veel meer inzet en tijd vergen dan het gunstige effect op het risico worden geaccepteerd.

• Risico’s die we vermijden hebben geen gevolg meer op de missie, visie, doelstellingen en dienstverlening van de organisatie. Dit vraagt wel een aanpassing van de organisatie of haar dienstverlening.