VIDEO: 2. PD_GRCcontrol Activeren : Hoofdstuk 5. Risicobehandeling & maatregelen selecteren

VIDEO: 2. PD_GRCcontrol Activeren : Hoofdstuk 5. Risicobehandeling & maatregelen selecteren

5.            Risicobehandeling & maatregelen selecteren

In de risicobehandeling wordt er gekeken naar de behandelaanpak van het risico. Het is mogelijk om een risicobehandeling uit te voeren zonder dat er een analyse is uitgevoerd. Op basis van de risicobehandeling kunnen maatregelen geselecteerd worden. In figuur 2 is het kruimelpad van de risicobehandeling afgebeeld.


Fig. 2: Kruimelpad risicobehandeling (zonder BIA)

5.1    Risicobehandeling processen

(à Risicomanagementà Risicobehandeling à Processen à Dreigingen à
Behandelen)

Klik op de knop ‘Nieuw’ onder het kopje ‘Actie’ in de rij van het te behandelen proces. Vul bij het tabblad ‘Definities’ de titel en acceptant in.

 

Tijdens de volgende stap (DA’s beoordelen & dreigingen selecteren) kan er worden aangegeven of de dreiging relevant is en of de dreiging op dit moment behandeld dient te worden. Dreigingen die niet worden geselecteerd voor een behandeling, worden bij een volgende behandeling opnieuw aangeboden. Als een dreiging 'niet relevant' wordt verklaard, dan wordt deze niet meer weergegeven tenzij de knop 'Toon niet relevant verklaarde dreigingen' aan staat. Als er op een dreiging geklikt wordt, worden resultaten van de dreigingsanalyse zichtbaar. De dreigingenselectie kan ook worden aangepast door op de knop ‘Selecteer dreigingen’ te klikken.

 

Bij de volgende stap, ‘dreigingen beoordelen’, staan de dreigingen uit de vorige fase opgesomd. Door op een regel te klikken wordt een detailpagina geopend waar de dreiging beoordeeld kan worden. De kans en de impact moeten hiervoor ingevuld worden. Onderaan de pagina staan de resultaten van de dreigingsanalyse weergegeven, dit kan als input dienen. Eventueel kan de kwetsbaarheid beschreven worden. Zodra alle dreigingen zijn beoordeeld, kan er doorgegaan worden naar de volgende stap.

 

In de fase ‘DA maatregelen selecteren’ zijn alle dreigingen met de bijbehorende kans, impact en risicoklasse die in de vorige fase geëvalueerd zijn, weergegeven. Door op een regel te klikken wordt de behandelpagina geopend (zie bijlage 6.3.1). Elke dreiging dient behandeld te worden door een behandelaanpak te selecteren (verminderen, accepteren, vermijden of overdragen) en passende maatregelen te selecteren. Vervolgens verschijnt er een overzicht van de dreiging ‘na behandeling’ waar vervolgend een nieuwe kans en de impact ingevuld dient te worden.

 

Wanneer alle dreigingen behandeld zijn, dient de behandeling in de volgende stap geaccordeerd te worden door de acceptant (zie par. 5.3). Als de behandeling geaccordeerd is dan dient er een geldigheidsdatum te worden ingevuld en kan de behandeling worden afgerond.





5.1   Risicobehandeling processen



(à Risicomanagementà Risicobehandeling à Middelen à BIA/en/of dreigingenà

Behandelen)

Klik op de knop ‘Nieuw’ onder het kopje ‘Actie’ in de rij van het te behandelen middel. Bij het behandelen van een middel wordt er standaard een BIA uitgevoerd. Bij de definitiefase kan dit gewijzigd worden onder het kopje ‘Scope – Behandeling baseren op’. Afhankelijk van de instellingen kan een dreigingsanalyse ook verplicht worden voor een behandeling (zie praktijkdocument 1, paragraaf 3.1). De dreigingsanalyse van een middel wordt op dezelfde manier uitgevoerd als bij een proces (zie paragraaf 5.1). De behandeling (wanneer dit is ingesteld bij de definitiefase) start met een BIA. In fase 2 van de behandeling wordt de BIV-waarde van het middel bepaald. Dit wordt bepaald door de classificatie, beschikbaarheid, integriteit en vertrouwelijkheid in te vullen. Tevens kunnen de RTO en RPO ingevuld worden. Een toelichting is verplicht wanneer de risicoklasse van de beoordeling afwijkt van de hoogste klasse onder de BIA-analyses.

 

In fase 3 van de behandeling kunnen maatregelen geselecteerd worden. Er worden maatregelen voorgesteld die GRCcontrol selecteert op basis van het middel en de BIA-risicoklasse. De risicomanager bepaalt in deze fase welke van deze maatregelen geïmplementeerd moeten worden en/of selecteert aanvullende maatregelen door op de knop ‘Maatregelselectie aanpassen’ te klikken (zie bijlage 6.4).



5.31.1    Processen/middelen accorderen

(à Risicomanagementà Risicobehandeling à Processen à Dreigingen à
Accorderen)

(à Risicomanagementà Risicobehandeling à Middelen à BIA/en/of dreigingen à
Accorderen)


Nadat de maatregelen uit de BIA en/of dreigingsanalyse zijn geselecteerd, wordt er een verzoek naar de acceptant van de workflow gestuurd om het te accorderen. Hierbij kan de acceptant terugkijken door in het kruimelpad op de betreffende fase te klikken. Als de behandeling geaccordeerd is, kan de risicomanager het afronden. Als de behandeling afgewezen is, dan kan de behandeling niet worden afgerond en zal er iets moeten worden aangepast.