Op basis van het verkregen inzicht in de te beoordelen informatie en de systemen, kunnen keuzes gemaakt worden voor de volgende stappen .
Risicobeoordeling is gebaseerd op de volgende stappen:
risico-identificatie (zie 1.3.1.2.4.1 Risico-identificatie )
risicoanalyse (zie 1.3.1.2.4.2 Risico-analyse )
bepalen risicostrategie (zie 1.3.1.2.4.3 Bepalen risicostrategie )
risico-evaluatie (zie 1.3.1.2.4.4 Risico-evaluatie )
Zie ook 1.3.1.3. Overzicht methodiekstappen (bijlage)
1.3.1.2.4.3 Bepalen risicostrategie
Er bestaan vier soorten risicostrategieën: vermijden, mitigeren, overdragen en accepteren die samenhangen met de mate van de waarschijnlijkheid en de impact. Hierbij bepalen de coördinator van de risicoanalyse, de deskundigen, waaronder ook de CISO en de DPO de risicostrategie.
De specifieke activiteiten van een organisatie beïnvloeden de keuze van de strategie. Zo kan het zijn dat een organisatie x een keuze zal maken tot mitigeren van een risico, terwijl organisatie y eerder hetzelfde risico gaat accepteren. Verder hangt de keuze die gemaakt wordt ook af van de afweging ten aanzien van de geldende maatregelen binnen de Vo informatieclassificatie, bv op basis van de kostprijs om die specifieke maatregel(en) te implementeren.
Op basis van de beoordeling in prioriteit van het huidige risiconiveau, wordt de verdere aanpak (vermijden, mitigeren, overdragen of accepteren) van de bedreiging bepaald:
De organisatie kiest voor het mitigeren, en deze keuze is gebaseerd op de missie, visie en doelstellingen en in kader van dienstverlening.
Er kan gekozen worden voor overdragen van het risico, onder andere door het inschakelen van een ICT-dienstverlener of door het afsluiten van diverse raamcontracten of verzekeringen.
Een aantal specifieke risico’s waarbij de controlemaatregelen veel meer inzet en tijd vergen dan het gunstige effect op het risico worden geaccepteerd.
Risico’s die we vermijden hebben geen gevolg meer op de missie, visie, doelstellingen en dienstverlening van de organisatie. Dit vraagt wel een aanpassing van de organisatie of haar dienstverlening.
Rollen | Werkwijze | Middelen |
|
|
|
Resultaat |
|
1.3.1.2.4.4 Risico-evaluatie
In deze stap worden de bijkomende controlemaatregelen bepaald voor de strategie “mitigeren”. Hierbij worden de bedreigingen geviseerd met een prio 1 of prio 2. Hierbij zal gekeken worden naar het gewenste risiconiveau, namelijk het risiconiveau na toepassing van alle maatregelen vernoemd binnen het raamwerk informatieclassificatie. Het gewenste risiconiveau vormt als het ware de baseline waarbij een organisatie zich boven deze baseline bevindt, of juist eronder. Indien een organisatie zich onder deze baseline bevindt, zullen bijkomende controlemaatregelen moeten worden getroffen. Het restrisico, na het treffen van deze bijkomende controlemaatregelen, dient al dan niet aanvaard te worden door het topmanagement. Zowel de coördinator van de risicoanalyse, de deskundigen, waaronder ook CISO en DPO dienen hiervoor aanwezig te zijn. De maatregelen worden daarbij geformuleerd op het niveau van controlemaatregelen om ervoor te zorgen dat bij de invulling over de tijd heen rekening kan worden gehouden met de stand van zaken op dat moment.
Hierbij kunnen de bijkomende controlemaatregelen bestaan uit:
de maturiteit van een bestaande controlemaatregel die bepaald werd tijdens de activiteit ‘het vastleggen van context en scope’ verhogen, ofwel
kiezen voor een andere controlemaatregel.
Concreet:
risico-evaluatie:
bepalen van de positie van de organisatie ten aanzien van het gewenste risiconiveau. Dit voor bedreigingen die gemitigeerd dienen te worden, dit met name voor de bedreigingen die ingeschaald zijn met een prio 1 of een prio 2.
Het gewenste risiconiveau vormt de baseline, waarbij alle controlemaatregelen zijn getroffen zoals bepaald binnen het raamwerk informatieclassificatie
bepalen of de bestaande controlemaatregelen in maturiteit kunnen verhoogd worden, of er gekozen dient te worden voor andere controlemaatregelen
bepaal opnieuw de waarschijnlijkheid en de impact na het nemen van deze bijkomende controlemaatregelen, en bereken de risicoscore(=restrisico)
topmanagement beslist of het restrisico, en zijn bijhorende controlemaatregelen, al dan niet aanvaard worden
Rollen | Werkwijze | Middelen |
|
|
|
Resultaat |
|
Welke risico’s te beheersen?
Welke bedreigingen aanvaardbaar zijn, en wat er dient te gebeuren, verschilt voor iedere organisatie. Onderstaande tabel geeft een indicatie van de risico-appetijt.
Risico-appetijt | |
Kleurencode | Omschrijving |
Kritiek risico | Risico is niet aanvaardbaar, controlemaatregelen zijn nodig verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Hoog risico | Risico is niet aanvaardbaar, controlemaatregelen zijn nodig verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Gemiddeld risico | Risico verdient extra aandacht tot verdere beheersing verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Laag risico | Aanvaardbaar risico, extra controlemaatregelen nemen is mogelijk verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Risico-evaluatie
Er zijn twee manieren om bedreigingen die niet aanvaardbaar zijn, te beheersen: ofwel verhoogt men de maturiteit van de bestaande maatregelen, ofwel identificeert men bijkomende controlemaatregelen.
Het restrisico wordt bepaald door het ingeschatte niveau van waarschijnlijkheid en impact te herbekijken. Dit doet men op basis van de opnieuw ingeschatte maturiteit van bestaande controlemaatregelen of de nieuwe controlemaatregel.
Het restrisico wordt gevormd door opnieuw de waarschijnlijkheid te vermenigvuldigen met de impact. De beoordeling van het restrisico, in aanvaarding, ligt hierbij in de handen van het topmanagement.