Skip to end of metadata
Go to start of metadata
Rollen | Werkwijze | Middelen |
coördinator proces-eigenaar systeem-eigenaar
| nagaan welke categorieën gegevens verwerkt worden nagaan om welke reden deze gegevens verwerkt worden, waarbij de doelstelling van de verwerking gedocumenteerd wordt omschrijven van de context van de risicoanalyse
| |
Resultaat |
een omschrijving van de context tot de gevraagde risicoanalyse, met een inzicht in de betrokken categorieën gegevens die verwerkt wordt dit wordt binnen het rapport van de risicoanalyse genoteerd
|
Rollen | Werkwijze | Middelen |
coördinator proces-eigenaar systeem-eigenaar
| oplijsten van de betrokken zakelijke processen binnen de scope van de risicoanalyse; oplijsten van de informatieverwerkende systemen die de betrokken zakelijke processen ondersteunen oplijsten van de informatie die in de betrokken zakelijke processen verwerkt wordt deze gegevens aftoetsen aan het Vo informatieclassificatie model, nl. bepalen tot welke classificatieschaal deze gegevens behoren de maturiteit bepalen van de reeds genomen controlemaatregelen, binnen het ICR bepalen
| |
Resultaat |
een overzicht van de betrokken zakelijke processen, de gerelateerde betrokken systemen, categorisatie en specificatie van de informatie, classificatieschaal en een maturiteitsoverzicht van de bestaande controlemaatregelen dit wordt opgenomen binnen het rapport van de risicoanalyse
|
Rollen | Werkwijze | Middelen |
coördinator proces-eigenaar systeem-eigenaar CISO/ ISO DPO/ PO
| per betrokken zakelijk proces en zijn aanverwante informatie verwerkende systemen, oplijsten van de mogelijke bedreigingen per bedreiging een korte beschrijving geven van de bedreiging geef iedere bedreiging een ID-nr.
| |
Resultaat |
een oplijsting van mogelijke relevante bedreigingen, met een beschrijving van de bedreiging en zijn impact dit wordt binnen het rapport van de risicoanalyse genoteerd
|
Rollen | Werkwijze | Middelen |
coördinator proces-eigenaar systeem-eigenaar CISO/ ISO DPO/ PO
| bepaal per geïdentificeerde bedreiging zijn waarschijnlijkheid dat deze inherente bedreiging zich zal kunnen manifesteren, middels de tabel “waarschijnlijkheid” bepaal per geïdentificeerde bedreiging de impact die deze inherente bedreiging zal hebben op de organisatie, middels de tabel “impact” bepaal de maturiteit van de reeds genomen controlemaatregelen, en som ze op bereken de score van het huidige risiconiveau rangschik de bedreigingen volgens prioriteit (hoog naar laag) breng de bedreigingen over op een risicokaart(facultatief)
| |
Resultaat |
een gerangschikte lijst van bedreigingen, met een inschatting van hun waarschijnlijkheid van optreden en hun impact op de organisatie. De lijst is gerangschikt naar de ernst van het berekende risico, en houdt rekening houdende met genomen controlemaatregelen dit wordt binnen het rapport van de risicoanalyse genoteerd
|
Rollen | Werkwijze | Middelen |
coördinator proces-eigenaar systeem-eigenaar CISO/ ISO DPO/ PO topmanagement
| | |
Resultaat |
|
Rollen | Werkwijze | Middelen |
coördinator proces-eigenaar systeem-eigenaar CISO/ ISO DPO/ PO topmanagement
| bepalen van de positie van de organisatie ten aanzien van het gewenste risiconiveau. Dit voor bedreigingen die gemitigeerd dienen te worden, dit met name voor de bedreigingen die ingeschaald zijn met een prio 1 of een prio 2. - Het gewenste risiconiveau vormt de baseline, waarbij alle controlemaatregelen zijn getroffen zoals bepaald binnen het raamwerk informatieclassificatie bepalen of de bestaande controlemaatregelen in maturiteit kunnen verhoogd worden, of er gekozen dient te worden voor andere controlemaatregelen bepaal opnieuw de waarschijnlijkheid en de impact na het nemen van deze bijkomende controlemaatregelen, en bereken de risicoscore(=restrisico) topmanagement beslist of het restrisico, en zijn bijhorende controlemaatregelen, al dan niet aanvaard worden
| |
Resultaat |
een oplijsting van mogelijke relevante bedreigingen, dewelke dienen gemitigeerd worden, waarbij de bijkomende controlemaatregelen zijn gedefinieerd. Het topmanagement zal het restrisico beoordelen en al dan niet aanvaarden.
|