IM_RI.02

De generieke dreigingencatalogus faciliteert het proces van risicobeoordeling en de keuze van passende beheersmaatregelen.

Voor alle beoordelingen gelden de volgende regels en schalen:

• Impact wordt vastgesteld op een schaal 1 tot en met 5 (klein, gemiddeld, groot, significant, kritiek).

• Waarschijnlijkheid wordt vastgesteld op een schaal van 1 tot en met 5 (zeer laag, laag, gemiddeld, hoog, voorzienbaar).

• Het Risico Prioriteit Nummer (RPN = Impact x Waarschijnlijkheid) wordt vastgesteld tussen 1 en 25.

• Risico wordt vastgelegd op een schaal van 1 tot en met 4 (laag = 1..3, gemiddeld 4..9, hoog 10..19, kritiek 20..25).

• Alle risico's met een risicoscore van 3 en 4 MOETEN gemitigeerd worden door één of meerdere beheersmaatregelen, tenzij anders wordt besloten door een bevoegd persoon of orgaan middels formele risicoacceptatie.

• Elke beheersmaatregel MOET aan een eigenaar toegewezen worden.

• Maturiteit van beheersmaatregelen MOET worden weergegeven op een schaal van 1 tot en met 5 (opmerking: soms wordt het begrip effectiviteit gebruikt in plaats van maturiteit - zie termen en definities).

• De risicobeoordeling MOET gedocumenteerd en beheerd worden als integraal onderdeel van het beheer van de informatieasset.

• De risicobeoordeling MOET herhaalbaar zijn door een consistent proces met bovenstaande schalen te volgen zodat resultaten vergeleken kunnen worden.

• Uitkomst van risicobeoordelingen MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

• Een eigenaar van het risico MOET worden vastgesteld. Doorgaans is dat de (gedelegeerde) eigenaar van de informatieasset.

Risicobeoordeling: Methodiek

1 2 3 4 5

BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

PREVENTIEF DETECTIEF CORRIGEREND

IDENTIFICEREN DETECTEREN REAGEREN