• GEVALIDEERD
  • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    IM_RI.04

    Implementatiemaatregel

    • Belanghebbenden MOETEN geconsulteerd worden bij de behandeling van risico's.

    • De keuze voor behandeling MOET vastgesteld worden op basis van de vier mogelijke opties: Modificatie van risico, acceptatie van risico, vermijding van risico of overdracht van risico.

    • De keuze voor welke vorm van risicobehandeling MOET onderbouwd, goedgekeurd en gedocumenteerd worden.

    • Alle risico's met een Risico Prioriteit Nummer RPN hoger dan 10 MOETEN gemitigeerd worden, tenzij anders wordt besloten door een bevoegd persoon of orgaan. Toelichting:

      • Er is bijna altijd een restrisico met een waarschijnlijkheid en bepaalde aanvaardbare impact. Het RPN dient onder de 10 te blijven.

      • Zolang deze boven de 10 zit, zal zo veel mogelijk verdere mitigatie plaatsvinden. Indien dit niet mogelijk is, dan zal het risico formeel geaccepteerd worden. Restrisico's onder de 10 hoeven niet formeel geaccepteerd te worden.

      • Mitigatie dient zo spoedig mogelijk te worden uitgevoerd met de volgende doorlooptijden:

        • Kritieke risico's (RPN van 20 of hoger): Binnen 3 maanden

        • Hoge risico's (RPN tussen 10 en 20): Binnen 6 maanden

        • Deze tijdlijnen zijn adviserend. Het belangrijkste is dat er voor hoge en kritieke risico’s een behandelplan MOET zijn met duidelijke acties, verantwoordelijkheden en tijdslijnen. Dit plan MOET zijn goedgekeurd op directieniveau en brengt de risico’s terug naar een risicorating in lijn met het risicoappetijt van de organisatie.

    • Het risicobehandelplan MOET worden gedocumenteerd en te worden herzien bij grote veranderingen.

    • Het risicobehandelplan MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

    • Een eigenaar en uitvoerder van beheersmaatregelen MOETEN worden vastgesteld als onderdeel van het behandelplan. De eigenaar en uitvoerder kan dezelfde persoon zijn, maar hoeft niet het geval te zijn en soms is dit zelfs niet wenselijk (bijvoorbeeld in het geval van uitbesteding van de operatie van een proces/product/dienst).

    Onderwerp

    Risicobehandeling: Methodiek

    Informatieklasse

    3 4 5

    BIV

    BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

    Type maatregel

    PREVENTIEF DETECTIEF CORRIGEREND

    Cybersecurityconcept

    IDENTIFICEREN DETECTEREN REAGEREN

    Beleidsdomein

    ISO 27001:2022

    Filter by label

    There are no items with the selected labels at this time.

    Dreigingen

     

    Dit is een document voor publiek gebruik.