Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

2.3 Analyse van de zakelijke omgeving

Vaststellen context en scope

Context

Het is van cruciaal belang dat de aanleiding om juist nu een risicoanalyse uit te voeren goed bekend is.

  • beschrijven van de context:

    • hierbij moet men zich richten op de reden waarom de gegevens in scope van de risicoanalyse worden verwerkt, meer bepaald de doelstelling van de verwerking, en welke categorieën gegevens hierbij betrokken zijn. Op basis van de betrokken businessprocessen kunnen deze gegevens in beeld gebracht worden. Dit alles om zo de context van de risicoanalyse beter te kunnen beschrijven.

Rollen

Werkwijze

Middelen

  • coördinator

  • proces- eigenaar

  • systeem- eigenaar

  • nagaan welke categorieën gegevens verwerkt worden

  • nagaan om welke reden deze gegevens verwerkt worden, waarbij de doelstelling van de verwerking gedocumenteerd wordt

  • omschrijven van de context van de risicoanalyse

  • interview met applicatie- eigenaar, workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een omschrijving van de context tot de gevraagde risicoanalyse, met een inzicht in de betrokken categorieën gegevens die verwerkt wordt

  • dit wordt binnen het rapport van de risicoanalyse genoteerd

Scope

Dit houdt in eerste instantie in dat de betrokken zakelijke processen in beeld worden gebracht om zo een beeld te krijgen over welke informatie er verwerkt wordt, en welke relevante systemen hierbij betrokken zijn. Deze elementen vormen de scope van de risicoanalyse.

Informatie

Alle informatie die aangesproken worden binnen het betrokken zakelijke proces, dienen in beeld gebracht te worden.

  • in kaart brengen van informatie:

    • oplijsten van de betrokken zakelijke processen binnen de scope van de risicoanalyse;

    • oplijsten van de informatie verwerkende systemen die de betrokken zakelijke processen ondersteunen – deze oplijsting dient beperkt te blijven tot direct gerelateerde toepassingen en infrastructuur gebruikt binnen het zakelijke proces, alsook het in beeld brengen van betrokken keteninfrastructuur en zijn eigenaars met een verwijzing naar een risicoanalyse hierin. Risico’s die geërfd worden(bv. O365) dienen niet opgenomen te worden.

    • oplijsten van alle informatie die in de betrokken zakelijke processen verwerkt wordt – dit per gegevenscategorie in detail vermelden

    • deze gegevens aftoetsen aan het Vo informatieclassificatie model, nl. bepalen tot welke classificatieschaal deze gegevens behoren;

    • de maturiteit bepalen van de reeds genomen controlemaatregelen, binnen de Vo informatieclassificatie model, aan de hand van de volgende beoordelingstabel:

De maturiteit van een controlemaatregel bepaalt mee de kwetsbaarheid van een bedreiging: hoe lager de maturiteit, hoe hoger de kwetsbaarheid van de omgeving op een bedreiging kan zijn.

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • oplijsten van de betrokken zakelijke processen binnen de scope van de risicoanalyse

  • oplijsten van de informatieverwerkende systemen die de betrokken zakelijke processen ondersteunen

  • oplijsten van de informatie die in de betrokken zakelijke processen verwerkt wordt

  • deze gegevens aftoetsen aan het Vo informatieclassificatie model, nl. bepalen tot welke classificatieschaal deze gegevens behoren

  • de maturiteit bepalen van de reeds genomen controlemaatregelen, binnen het informatieclassificatiemodel bepalen

  • workshop

  • sjabloon

  • rapport

  • risicoanalyse

Resultaat

  • een overzicht van de betrokken zakelijke processen, de gerelateerde betrokken systemen, categorisatie en specificatie van de informatie, classificatieschaal en een maturiteitsoverzicht van de bestaande controlemaatregelen

  • dit wordt opgenomen binnen het rapport van de risicoanalyse

Systemen

Inzicht in de gebruikte systemen is nodig om in de volgende stap, nl. de bedreigingen goed in kaart te kunnen brengen.

Binnen de Vo zal hiervoor een model, zoals verder beschreven onder “risico-identificatie”, gebruikt worden. 

Het is hierbij de bedoeling dat deskundigen - bijvoorbeeld de proceseigenaar, de systeemeigenaar en de toepassingseigenaar - de betrokken componenten voor het betrokken informatiesysteem gaan beschrijven. Hierbij wordt dan in beeld gebracht welke mensen het informatiesysteem beheren en gebruiken welke een invloed kunnen hebben op het functioneren van het informatiesysteem, en welke technische en organisatorische aspecten er bestaan waardoor het informatiesysteem niet meer kan functioneren.

Met het begrip systeem bedoelen we hier de alomvattende elementen binnen een ICT-landschap: netwerk-apparatuur, servers(printer, database, website,...), cloud-elementen, toepassingen,... Deze oplijsting dient wel beperkt te blijven tot direct gerelateerde toepassingen en infrastructuur die binnen het zakelijke proces gebruikt worden.

  • No labels