VIDEO: 2. PD_GRCcontrol Activeren : Hoofdstuk 4. Risicoanalyse uitvoeren

VIDEO: 2. PD_GRCcontrol Activeren : Hoofdstuk 4. Risicoanalyse uitvoeren

4. Risicoanalyses uitvoeren

In het vorige hoofdstuk is uitgelegd hoe maatregelen kunnen worden uitgevoerd vanuit een doelstelling (zie hoofdstuk 3). In dit hoofdstuk wordt toegelicht hoe maatregelen kunnen worden geïmplementeerd vanuit een risicoanalyse. Deze risicoanalyses worden uitgevoerd op processen en/of middelen.

4.1 Dreigingsanalyse (proces)

(à Risicomanagement à Analyse uitvoeren à Mijn processen à Dreigingsanalyse)

Klik op de knop ‘Nieuw’ onder het kopje ‘Actie’ in de rij van het te analyseren proces. Alle dreigingen uit de dreigingenset die gekoppeld zijn aan dit proces zijn nu zichtbaar (zie praktijkdocument 1, par. 10.4). Als een gekoppelde dreiging niet relevant blijkt voor het proces, kan de knop ‘Relevant?’ op ‘Nee’ worden gezet. Als de dreigingen wel relevant zijn, dienen de kans en impact van deze dreiging op het proces ingevuld te worden. Wanneer de muis over de scorebalk beweegt, wordt er zichtbaar wat de betekenis van een bepaalde score is. De scores en score-toelichtingen kunnen aangepast worden (zie praktijkdocument 1, par. 3.4). Wanneer de kans en impact zijn ingevuld, verschijnt aan de rechterkant de risicoklasse met de bijbehorende heatmap-kleur. Er kan eventueel een kwetsbaarheid worden ingevuld. Door onder de beschrijving van de dreiging op de knop ‘Kwetsbaarheid invullen/tonen’ te klikken, wordt deze optie beschikbaar (zie bijlage 6.2.1).

De dreigingenselectie kan worden aangepast door op de knop ‘Dreigingenselectie aanpassen’ te klikken en andere dreigingen te selecteren. Deze knop bevindt zich direct onder het assessment veld. Daarnaast kunnen er opmerkingen bij de analyse worden geplaatst.

4.2 Business Impact Analyse (middel)

(à Risicomanagementà Analyses uitvoeren à Mijn middelen à BIA en Dreigingsanalyse)

Voor het uitvoeren van een risicoanalyse op een middel wordt geen dreigingsanalyse uitgevoerd maar een BIA. Klik op de knop ‘Nieuw’ onder het kopje ‘Actie’ in de rij van het te analyseren middel. De beschikbaarheid, integriteit en vertrouwelijkheid dienen te worden geselecteerd. Hierbij kan gebruik worden gemaakt van de hulpvragen door de knop ‘Gebruik hulpvragen’ op ‘Ja’ te schuiven. Door de muis over de antwoordscores te bewegen, wordt de betekenis van een bepaalde score zichtbaar. Wanneer het middel gekoppeld is aan een proces dan kan er aangegeven worden of dit middel kritisch is voor het proces. Daarnaast kan de maximaal toegestane hersteltijd en het maximaal toegestane dataverlies worden aangegeven (zie bijlage 6.2.2).

4.3 Optionele dreigingsanalyse (middel)

(à Risicomanagementà Analyses uitvoeren à Mijn middelen à BIA en Dreigingsanalyse)

Na een BIA kan een dreigingsanalyse uitgevoerd worden. Dit is afhankelijk van de instellingen: een dreigingsanalyse kan verplicht zijn als bijvoorbeeld de beschikbaarheid of de integriteit of de vertrouwelijkheid op 3 staat (afhankelijk van de instellingen, zie praktijkdocument 1 par. 3.1). Vervolgens kan de dreigingsanalyse van het middel op dezelfde wijze worden uitgevoerd als in paragraaf 4.1 is beschreven.