2.3 Analyse van de zakelijke omgeving
Vaststellen context en scope
Context
Het is van cruciaal belang dat de aanleiding om juist nu een risicoanalyse uit te voeren goed bekend is.
beschrijven van de context:
hierbij moet men zich richten op de reden waarom de gegevens in scope van de risicoanalyse worden verwerkt, meer bepaald de doelstelling van de verwerking, en welke categorieën gegevens hierbij betrokken zijn. Op basis van de betrokken businessprocessen kunnen deze gegevens in beeld gebracht worden. Dit alles om zo de context van de risicoanalyse beter te kunnen beschrijven.
Rollen | Werkwijze | Middelen |
---|---|---|
|
|
|
Resultaat |
---|
|
Scope
Dit houdt in eerste instantie in dat de betrokken zakelijke processen in beeld worden gebracht om zo een beeld te krijgen over welke informatie er verwerkt wordt, en welke relevante systemen hierbij betrokken zijn. Deze elementen vormen de scope van de risicoanalyse.
Informatie
Alle informatie die aangesproken worden binnen het betrokken zakelijke proces, dienen in beeld gebracht te worden.
in kaart brengen van informatie:
oplijsten van de betrokken zakelijke processen binnen de scope van de risicoanalyse;
oplijsten van de informatie verwerkende systemen die de betrokken zakelijke processen ondersteunen – deze oplijsting dient beperkt te blijven tot direct gerelateerde toepassingen en infrastructuur gebruikt binnen het zakelijke proces, alsook het in beeld brengen van betrokken keteninfrastructuur en zijn eigenaars met een verwijzing naar een risicoanalyse hierin. Risico’s die geërfd worden(bv. O365) dienen niet opgenomen te worden.
oplijsten van alle informatie die in de betrokken zakelijke processen verwerkt wordt – dit per gegevenscategorie in detail vermelden
deze gegevens aftoetsen aan het Vo informatieclassificatie model, nl. bepalen tot welke classificatieschaal deze gegevens behoren;
de maturiteit bepalen van de reeds genomen controlemaatregelen, binnen de Vo informatieclassificatie model, aan de hand van de volgende beoordelingstabel:
De maturiteit van een controlemaatregel bepaalt mee de kwetsbaarheid van een bedreiging: hoe lager de maturiteit, hoe hoger de kwetsbaarheid van de omgeving op een bedreiging kan zijn.
Rollen | Werkwijze | Middelen |
---|---|---|
|
|
|
Resultaat |
---|
|
Systemen
Inzicht in de gebruikte systemen is nodig om in de volgende stap, nl. de bedreigingen goed in kaart te kunnen brengen.
Binnen de Vo zal hiervoor een model, zoals verder beschreven onder “risico-identificatie”, gebruikt worden.
Het is hierbij de bedoeling dat deskundigen - bijvoorbeeld de proceseigenaar, de systeemeigenaar en de toepassingseigenaar - de betrokken componenten voor het betrokken informatiesysteem gaan beschrijven. Hierbij wordt dan in beeld gebracht welke mensen het informatiesysteem beheren en gebruiken welke een invloed kunnen hebben op het functioneren van het informatiesysteem, en welke technische en organisatorische aspecten er bestaan waardoor het informatiesysteem niet meer kan functioneren.
Met het begrip systeem bedoelen we hier de alomvattende elementen binnen een ICT-landschap: netwerk-apparatuur, servers(printer, database, website,...), cloud-elementen, toepassingen,... Deze oplijsting dient wel beperkt te blijven tot direct gerelateerde toepassingen en infrastructuur die binnen het zakelijke proces gebruikt worden.