• GEVALIDEERD
    • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Risicobeheer

    Owned by
    Fabrice Meunier
    Last updated: 19 Jun, 2024 by
    Vincent Alwicher
    7 min read

    Het beleid voor risicobeheer beschrijft hoe de organisatie informatieveiligheidsrisico's beheert. Het helpt de organisatie om deze te identificeren, te analyseren en te evalueren en om passende maatregelen te nemen om de informatieveiligheidsrisico's onder controle te houden. Het risicobeheerbeleid zoals beschreven op deze pagina is gebaseerd op het overkoepelende beleid van Digitaal Vlaanderen. Zie het risicoportaal voor meer informatie.

    Inhoud

     

     

    Doel

     

    De organisatie in staat stellen weloverwogen keuzes te maken over informatieveiligheidsrisico's, waardoor het de bedrijfsdoelstellingen kan realiseren en voldoet aan wettelijke en andere vereisten. Daartoe worden risico’s systematisch geïdentificeerd, beoordeeld en behandeld om zo de veiligheid van informatie, informatieverwerking en informatiesystemen te waarborgen.

    DOELSTELLINGEN

    Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

    • Page:
      OD.11 —

      We beoordelen en behandelen risico’s op een objectieve en consistente manier en nemen de nodige maatregelen in lijn met de risico appetijt van de organisatie.

    DREIGINGEN

    Het risicobeheerbeleid draagt bij om dreigingen te verminderen of te voorkomen. Omdat risicobeheer wordt ingezet om alle mogelijke dreigingen in scope van de informatieasset te beoordelen, zijn de mogelijke dreigingen hier niet opgelijst omdat het in principe de volledige dreigingencatalogus betreft.

    Beleid

     

    Context vaststelling

     

    Dit omvat het vaststellen van de zakelijke omgeving en de scope van de informatieasset (dienst, product of proces) voor goede begripsvorming en afbakening.

    Omgevingsfactoren

    Voor de informatieasset dient te worden vastgesteld wat de omgevingsfactoren zijn en de precieze scope en afbakening. Deze informatie is belangrijk als input op de risicobeoordeling en -behandeling. Specifieke vragen die beantwoord dienen te worden zijn: Wat levert de informatieasset? Wat is de scope? Wat is de strategische waarde? Wie zijn de klanten en andere belanghebbenden? Welke informatie wordt opgeslagen of verwerkt? Met welk doel wordt informatie opgeslagen of verwerkt? Wat is de informatieklassenbepaling? Is er specifieke wet- en/of regelgeving van toepassing? Wat zijn de afhankelijkheden en beperkingen?

    Risicobeoordeling

    Risicobeoordeling is een systematische methode om de aard en omvang van informatieveiligheidsrisico's te identificeren, evalueren en prioriteren. Het betreft doorgaans de stappen van risico-identificatie, risico-analyse en risico-evaluatie.

    Aanleiding en frequentie

    De term aanleiding verwijst in deze naar de specifieke gebeurtenis of omstandigheid die reden geeft tot het uitvoeren van een risicobeoordeling. Dit kan bijvoorbeeld een incident, een verandering in wet- of regelgeving, of de introductie van een nieuw product, dienst of technologie zijn. De term frequentie daarentegen heeft betrekking op de periodiciteit waarmee risicobeoordelingen worden uitgevoerd.

    Implementatiemaatregel

    Voor alle informatieassets geldt het volgende:

    • Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN altijd een informatieklassenbepaling en risicoanalyse (voor klasse 3 en hoger) uitvoeren;

    • Jaarlijks: Informatieklasse en risiconiveau MOETEN minimaal één keer per jaar herzien worden;

    • Bij functionele of technische aanpassingen: Informatieklasse en risiconiveau MOETEN worden herzien bij grote veranderingen van de informatieasset;

    • Bij nieuwe en veranderende dreigingen: Risiconiveau MOET worden herzien als dreigingen veranderen die impact kunnen hebben op de informatieasset;

    • Bij overige veranderingen: Informatieklasse en risiconiveau MOETEN worden herzien bij uitbreiding van de datasets / informatie, ernstige kwetsbaarheden (bijv. niet gerepareerde security issues met software) of verandering (van de effectiviteit) van beheersmaatregelen.

    De geldigheid van de informatieklassenbepaling en risicorating vervallen automatisch na één jaar geteld vanaf de laatste herziening. (Gedelegeerde) eigenaren dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun assets en de correctheid van de informatieklassen en actie te ondernemen wanneer nodig.

    Informatieveiligheidsrisico’s kunnen ook ad-hoc geïdentificeerd of gerapporteerd worden. De eigenaar MOET ervoor zorgen dat het risico verder wordt geanalyseerd en behandeld.
    Let op: Het gaat hier om informatieveiligheidsrisico’s, niet incidenten. Incidenten dienen te worden gemeld via de ServiceDesk.

    Methodiek

    Door de implementatie van een uniforme risicomethodiek wordt een gestructureerde aanpak gerealiseerd voor het uitvoeren van risicobeoordelingen en het bepalen van geschikte risicobehandeling. Deze methodiek voor informatieveiligheidsrisico’s is gealigneerd met de bestaande methodiek voor bedrijfsrisicobeheer van Digitaal Vlaanderen.

     

    Risicobehandeling

     

    Aanleiding en frequentie

    De risicobehandeling wordt gewoonlijk geïnitieerd op basis van de resultaten van de risicobeoordeling. Echter, wijzigingen in het risicoprofiel, de invoering van nieuwe beheersmaatregelen of andere relevante factoren kunnen aanpassingen in het behandelplan vereisen. Voortdurende monitoring van de uitvoering van dit plan is daarom belangrijk.

    Methodiek

    Goedkeuring

    De bekrachtiging van de geselecteerde risicobehandeling is een geformaliseerde procedure die wordt uitgevoerd door de eigenaar, in overleg met alle relevante stakeholders.

    Acceptatie

    Risicoacceptatie is een bewuste beslissing om een geïdentificeerd en geëvalueerd (rest)risico te accepteren zonder aanvullende beveiligingsmaatregelen te nemen om het risico te mitigeren. Deze benadering wordt meestal gekozen wanneer de kosten voor het verminderen van het risico disproportioneel zouden zijn in vergelijking met de potentiële schade, of wanneer het risico binnen de vastgestelde tolerantiegrenzen van de organisatie valt. Het is een strategische keuze die wordt gedocumenteerd en goedgekeurd op een passend niveau binnen de organisatie. Dit betekent dat het senior management of andere verantwoordelijke partijen formeel akkoord gaan met het accepteren van het risico. Risicoacceptatie is geen eenmalige actie, maar vereist continue monitoring om te verifiëren dat het risico binnen de aanvaardbare grenzen blijft en dat de context waarin het risico is geaccepteerd, niet significant is veranderd.

     

    Appendix

     

    Relatie van het beleid met andere richtlijnen en standaarden

     

    Regelgeving en standaarden (L1)

    ISO 27001:2022 (ISMS)

    ISO 27001:2022 (Annex A)

    Informatieclassificatieraamwerk van de Vlaamse overheid (L2)

    Zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964990 en https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964756 voor meer informatie.

     

    Uitvoering van het beleid

     

    Processen

    Het gerelateerde risicobeheerproces staat beschreven op volgende pagina.

     

    Document status

     

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Beleid voor risicobeheer

    Vincent Alwicher

    januari 2024

    1.0

    FINAAL CONCEPT

     

    Beleid voor risicobeheer

    Vincent Alwicher

    21 mei 2024

    1.0

    GEVALIDEERD

    Goedgekeurd door Directie Comité

    Historiek wijzigingen

     

    Wijziging

    Datum

    Wijziging

    Datum

    Toevoeging van verwijzing naar Termen en Definities voor toelichting van verschil tussen maturiteit en effectiviteit.

    19/06/2024

     

    Dit is een document voor intern gebruik.