• FINAAL CONCEPT
  • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Procedure risicobehandeling

    De procedure risicobehandeling voor Digitaal Vlaanderen (DV) beschrijft hoe DV informatieveiligheidsrisico's behandelt volgens het risicoappetijt van de directie. Risicobehandeling is het deelproces van specifiëren, uitvoeren en opvolgen van acties om bijkomende maatregelen te implementeren om risico's te beheersen. Dit kan inhouden dat risico’s worden gemitigeerd, overgedragen, vermeden of geaccepteerd. De resultaten van de risicobeoordeling en bijhorende acties, worden toegevoegd aan het DV risicoregister.

     

     

    Inhoud

     

    Opstellen van het behandelplan

    De risicobehandeling wordt geïnitieerd op basis van de resultaten van de risicobeoordeling, zie Proces - Risicobeoordeling.

    Elk risico kan worden behandeld op 4 mogelijke manieren:

    • Mitigeren: het nemen van acties om het risico te verhinderen of te verminderen,

    • Overdragen: het overdragen van het risico op een andere organisatie, bv. door het inschakelen van een ICT-dienstverlener en door het afsluiten van een raamcontract,

    • Vermijden: het elimineren van een risico door het stopzetten van de activiteiten die verband houden met het risico,

    • Accepteren: een aantal specifieke risico’s waarbij de beheersmaatregelen veel meer inzet en tijd vergen dan het effect van het risico worden geaccepteerd.

    Voor elk risico moet een risico-eigenaar worden vastgesteld. Bij default is dit de informatieasset-eigenaar (of asset owner (AO)) van het informatieasset waarop het risico betrekking heeft, maar dit kan ook een andere persoon zijn, bijvoorbeeld het afdelingshoofd of een risico manager.

    De risicobehandeling moet door de informatieasset-eigenaar worden besproken met de Information Security Officer (ISO) ter ondersteuning en verkennen van mogelijke maatregelen die kunnen worden genomen. De risicobehandeling wordt gedocumenteerd door middel van een standaard DV risicobehandelingssjabloon dat door de ISO wordt ter beschikking gesteld. Indien door een AO een ander sjabloon wordt gebruikt (b.v. omwille van bestaande documenten), dient dit sjabloon conform te zijn met het beleid Risicobeheer in het ISMS, zie Risicobeheer en het gebruik ervan dient te worden besproken en goedgekeurd te worden door de ISO. In het bijzonder dienen de definities en berekeningen van het gebruikte sjabloon overeen te komen met wat in standaard risicobeoordelingssjabloon en het beleid wordt beschreven. De ISO stelt ook een handleiding ter beschikking voor het gebruik van het standaard risicobehandelingssjabloon.

    Voor risico’s met score 3-hoog en 4-kritisch (overeenkomende met een RPN hoger dan 10), moeten acties worden voorgesteld die het risico mitigeren. Een risico’s met een score van 4 (RPN hoger dan 20) moet gemitigeerd worden binnen de 3 maanden. Een risico’s met een score van 3 (RPN hoger dan 10 en lager dan 20) moet gemitigeerd worden binnen de 6 maanden.

    Voor risico’s met score 1-laag en 2-gemiddeld, is naast mitigatie eveneens een andere risicostrategie mogelijk. In geval van mitigatie, kan de actie worden gepland op een termijn langer dan 6 maanden.

    Elke risicobehandeling wordt vertaald in duidelijk acties met aanduiding van de actie-eigenaar en implementatiedatum.

    Het voorgestelde risicobehandelplan wordt gevalideerd door het afdelingshoofd.

    Uitzonderingen op de bovenstaande regel m.b.t. de risico’s met score 3 en 4 moeten worden gevalideerd door het Directiecomité Digitaal Vlaanderen.

    Risicoacceptatie is een bewuste beslissing om een geïdentificeerd en geëvalueerd risico te accepteren zonder aanvullende acties te nemen om het risico te mitigeren. Deze benadering wordt meestal gekozen wanneer de kosten voor het verminderen van het risico disproportioneel zouden zijn in vergelijking met de potentiële schade, of wanneer het risico binnen de vastgestelde tolerantiegrenzen van de organisatie valt.

    Risicoacceptatie is geen eenmalige actie, maar vereist continue monitoring om te verifiëren dat het risico binnen de aanvaardbare grenzen blijft en dat de context waarin het risico is geaccepteerd, niet significant is veranderd. De duur van risicoacceptatie is maximaal voor één jaar vastgesteld. Daarna wordt steeds een herziening uitgevoerd.

    Wijzigingen in het risico-appetijt, de invoering van nieuwe maatregelen of andere relevante factoren kunnen aanpassingen in het behandelplan vereisen. Voortdurende monitoring van de uitvoering van dit plan is daarom van cruciaal belang.

    Risicoregistratie

    De resultaten van de risicobeoordeling en het risicobeoordelingsplan worden door de afdeling toegevoegd aan het DV risicoregister. Dit dient te gebeuren op afdelingsniveau voor alle risico’s m.b.t. informatieassets toebehorend aan een afdeling. De afdeling gebruikt hiervoor het sjabloon verstrekt door de DV Risicomanager. Enkel risico’s met score 3-hoog en 4-kritisch (overeenkomende met een RPN hoger dan 10) moeten worden opgenomen in het risico-register.

    Dit wordt besproken met de ISO ter ondersteuning.

    Risico’s die moeten worden opgenomen in het risicoregister, worden maandelijks gerapporteerd aan de Chief Information Security Officer (CISO) ter validatie.

    Risico’s worden maandelijks gerapporteerd aan de DV Risicomanager ter samenvoeging met het centrale DV risicoregister. Aldus verkrijgt de Directie van DV een overzicht van alle informatieveiligheidsrisico’s.

    Rapportering

    Op kwartaalbasis berekent de ISO de KPI’s voor het proces Risicobehandeling, zie KPI's risicobehandeling .

    Deze berekende KPI’s worden gerapporteerd aan de DV CISO, de DV Data Protection Officer, de DV risicomanager en het DV directiecomité .

     

    Document status

     

    Titel

    Auteur

    Datum

    Versie

    Titel

    Auteur

    Datum

    Versie

    Procedure risicobehandeling

    Guido Calomme

    19/03/2024

    1.0

     

     

     

    Dit is een document voor publiek gebruik.