1.4.2.3.1. Scope van de risicoanalyse 3.0
- Kenzo Vertenten (VO)
- Tom De Cubber
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
Nieuw toegevoegde tekst wordt overal in het rood weergegeven
Wat zijn risico's?
Risico wordt ervaren als een onzekerheid dat latent aanwezig is en dat met een bepaalde waarschijnlijkheid impact kan hebben op het functioneren van de organisatie. Deze onzekerheden kunnen leiden tot gebeurtenissen die de doelstellingen van de organisatie zowel positief als negatief kunnen beïnvloeden: we spreken van opportuniteiten of bedreigingen.
Een risico in het ICR wordt daarom als volgt gedefinieerd:
“De waarschijnlijkheid op het optreden van een bedreiging met een impact op het behalen van de doelstellingen van een organisatie.”
Elk geïdentificeerde bedreiging moet op eenzelfde wijze beschreven worden:
“Een bedreiging wordt veroorzaakt door een oorzaak en heeft een gevolg op het behalen van de doelstellingen van een organisatie als impact.”
Risicoanalyses in het ICR
Risicoanalyses worden uitgevoerd op diverse aspecten van de organisatie. Zo zijn er financiële risicoanalyses, operationele risicoanalyses, enz. In het kader van het ICR is er sprake van risicoanalyses voor informatiebeveiliging en bescherming van persoonsgegevens.
Documentatie
Gezien de toenemende criticiteit van risicoanalyses in de bedrijfsvoering, is het verplicht om alle risicoanalyses te documenteren en te verspreiden naar de relevantie stakeholders zodat achteraf een aantoonbaar spoor van deze analyse beschikbaar blijft.