null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Implementatiemaatregel

  • Belanghebbenden MOETEN geconsulteerd worden bij de behandeling van risico's.

  • De keuze voor behandeling MOET vastgesteld worden op basis van de vier mogelijke opties: Modificatie van risico, acceptatie van risico, vermijding van risico of overdracht van risico.

  • De keuze voor welke vorm van risicobehandeling MOET onderbouwd, goedgekeurd en gedocumenteerd worden.

  • Alle risico's met een Risico Prioriteit Nummer RPN hoger dan 10 MOETEN gemitigeerd worden, tenzij anders wordt besloten door een bevoegd persoon of orgaan. Toelichting:

    • Er is bijna altijd een restrisico met een waarschijnlijkheid en bepaalde aanvaardbare impact. Het RPN dient onder de 10 te blijven.

    • Zolang deze boven de 10 zit, zal zo veel mogelijk verdere mitigatie plaatsvinden. Indien dit niet mogelijk is, dan zal het risico formeel geaccepteerd worden. Restrisico's onder de 10 hoeven niet formeel geaccepteerd te worden.

    • Mitigatie dient zo spoedig mogelijk te worden uitgevoerd met de volgende doorlooptijden:

      • Kritieke risico's (RPN van 20 of hoger): Binnen 3 maanden

      • Hoge risico's (RPN tussen 10 en 20): Binnen 6 maanden

      • Deze tijdlijnen zijn adviserend. Het belangrijkste is dat er voor hoge en kritieke risico’s een behandelplan MOET zijn met duidelijke acties, verantwoordelijkheden en tijdslijnen. Dit plan MOET zijn goedgekeurd op directieniveau en brengt de risico’s terug naar een risicorating in lijn met het risicoappetijt van de organisatie.

  • Het risicobehandelplan MOET worden gedocumenteerd en te worden herzien bij grote veranderingen.

  • Het risicobehandelplan MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.

  • Een eigenaar en uitvoerder van beheersmaatregelen MOETEN worden vastgesteld als onderdeel van het behandelplan. De eigenaar en uitvoerder kan dezelfde persoon zijn, maar hoeft niet het geval te zijn en soms is dit zelfs niet wenselijk (bijvoorbeeld in het geval van uitbesteding van de operatie van een proces/product/dienst).

Onderwerp

Risicobehandeling: Methodiek

Informatieklasse

1 2 3 4 5

BIV

BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

Type maatregel

PREVENTIEF DETECTIEF CORRIGEREND

Cybersecurityconcept

IDENTIFICEREN DETECTEREN REAGEREN

Beleidsdomein

ISO 27001:2022

Filter by label

There are no items with the selected labels at this time.

Dreigingen

  • No labels