Skip to main content

Kansen en risico's

Managementsysteem

Op basis van de contextanalyse worden kansen en risico’s vastgesteld. Hierbij wordt gekeken welke maatregelen gewenst zijn om het managementsysteem goed te laten functioneren. Het gaat hierbij om het realiseren van beoogde resultaten en doelstellingen en continue verbetering. Daarnaast vormt de contextanalyse input voor de strategische richting en het bepalen van doelstellingen voor de komende periode.

Risicobeoordeling informatiebeveiliging

Periodiek wordt een risicobeoordeling uitgevoerd waarbij een inventarisatie wordt gemaakt van kwetsbaarheden én van situaties die kunnen leiden tot beveiligingsincidenten. De werkwijze bestaat uit een brainstormsessie met relevante functionarissen. Er wordt gebruik gemaakt van een template waarin criteria voor de risicobeoordeling en -behandeling zijn opgenomen. Vervolgens worden de best practice beheersmaatregelen uit NEN-ISO 27002 besproken en worden indien van toepassing risico’s en maatregelen toegevoegd aan de risicobeoordeling. De risicobeoordeling wordt minimaal jaarlijks uitgevoerd en tussentijds indien daartoe aanleiding is (bijv. toename incidenten, in- externe wijzigingen).

Doelstellingen en KPI’s

Jaarlijks worden informatiebeveiligingsdoelstellingen en KPI’s vastgesteld en uitgewerkt als onderdeel van de contextanalyse/directiebeoordeling. Input voor de doelstellingen zijn kans- en risicobeoordelingen en evaluaties van meten en monitoren.