Digitaal Vlaanderen | Team Informatieveiligheid (TIV)
Woordenlijst risicobeheer
Term | Verklaring |
|---|---|
Inherent risico | Een risicoscore die wordt berekend uit het RPN. Deze score drukt per dreiging uit wat het risico is vooraleer het effect van de implementatiemaatregelen geëvalueerd werd. |
Kwetsbaarheid | Het aanwezig zijn van een specifieke dreiging die kan optreden met een bepaalde waarschijnlijkheid, en de effectiviteit van de implementatiemaatregelen, resulteert al dan niet in een kwetsbaarheid voor de organisatie en het informatieasset in het domein van de risicobeoordeling. |
Restrisico | Het risico dat overblijft nadat het effect van de implementatiemaatregelen geëvalueerd werd en rekening gehouden werd met bekende kwetsbaarheden. Dit is het risico dat moet worden behandeld volgens het risico-appetijt van de directie. Het restrisico wordt beschreven aan de hand van een gedefinieerde schaal (1 t/m 5). |
Risico Prioriteit Nummer (RPN) | Het RPN wordt bepaald door de score voor waarschijnlijkheid en impact van een dreiging te vermenigvuldigen. Dus, RPN = waarschijnlijkheid x impact. Het RPN ligt bijgevolg tussen 1 en 25. Met behulp van het RPN kunnen dreigingen gerangschikt worden van groot naar klein. |
Risico-evaluatie | Deelproces van de risicobeoordeling waarin een identificatie van implementatiemaatregelen gebeurt voor elk van de geïdentificeerde dreigingen. Per implementatiemaatregel moet de effectiviteit worden bepaald aan de hand van een gedefinieerde schaal (1 t/m 5). |
Risico-identificatie | Deelproces van de risicobeoordeling waarin de risico’s worden geïdentificeerd. Een risico wordt gedefinieerd als volgt: ‘De waarschijnlijkheid op het optreden van een dreiging met een gevolg op het behalen van de doelstellingen van een organisatie’. Identificeren van een risico gebeurt door het identificeren van dreigingen, vertrekkende van een dreigingscataloog. |
Risicoanalyse | Deelproces van de risicobeoordeling waarin de bepaling van de waarschijnlijkheid en de impact van elke geïdentificeerde dreiging gebeurt aan de hand van gedefinieerde schalen (1 t/m 5). |
Risicoappetijt | Risicoappetijt is de hoeveelheid risico die een organisatie of persoon bereid is te lopen om zijn doelstellingen te halen. Risicoappetijt is essentieel om strategisch risicobeheer te implementeren en helpt organisaties bij het bepalen van hun risicostrategie. Het is de mate waarin men bereid is risico te nemen. Synoniem: risicotolerantie. |
Risicobehandeling | Deelproces van het risicobeheer waarbij wordt bepaald hoe de risico’s voor een specifiek informatieasset zoals bepaald in de risicobeoordeling, worden behandeld door het aangeven van acties om het risico te mitigeren, overdragen, accepteren of verwijderen. |
Risicobeheer | Overkoepelende naam voor het gehele proces zoals beschreven in het informatieclassificatie-raamwerk van de Vlaamse overheid.  Risicobeheer bestaat uit de volgende deelprocessen: ·       Analyse van de zakelijke omgeving, ·       Risicobeoordeling, en ·       Risicobehandeling. Risicobeheer wordt ook gebruikt om het gehele end-to-end proces te benoemen van informatieklasse-bepaling, toetsing van maatregelen, risicobeoordeling tot risicobehandeling zoals beschreven in het Information Security Management System (ISMS) van Digitaal Vlaanderen. Synoniem: risicomanagement. |
Risicobeoordeling | Deelproces van het risicobeheer waarbij de risico’s worden beoordeeld voor een specifiek informatieasset. De risicobeoordeling bestaat uit de volgende deelprocessen: ·       Bepalen van het informatieasset, ·       Risico-identificatie, ·       Risicoanalyse, ·       Risico-evaluatie, en ·       Bepalen van het restrisico en de risicostrategie. |
Risicomanagement | Zie risicobeheer. |
Risicotolerantie | Zie risicoappetijt. |
Dit is een document voor intern gebruik.