---
tags:  
- project/iso27DIY
---
- [ ] Verdere samenhang destilleren uit HK beleidsdocumenten

Risico is de schade die kan ontstaan doordat de BVI van informatie gecompromitteerd wordt. 
Dit kan door een dreiging die gebruik maakt van een kwetsbaarheid. 

De volgende zaken moeten geïdentificeerd worden:
- assets: weten wat je wil beschermen
- dreigingen: mogelijke oorzaken van schade
- Kwetsbaarheden: zwakke plekken 
- Risico’s: waarschijnlijkheid en impact van dreigingen die gebruik maken van een kwetsbaarheden 
- Maatregelen: kwetsbaarheden verminderen / kans op impact / ernst van impact 

## Samenhang tussen producten

* Risicobereidheid voedt Dataclassificatie
* Assetinventarisatie voedt Dataclassificatie
* TrafficLightsProtocol voedt Dataclassificatie
* Dreigingsanalyse voedt Maatregelen
* Kwetsbaarheden voedt Maatregelen
* Maatregelen voedt Dataclassificatie
* AssetInventarisatie voedt Dataclassificatie
* Risicos voeden Maatregelen
* MaatregelenVoorMDWprivacy voedt DigitaalGebruikersbeleid
* PrivacyStatementMdwsSollicitanten voedt DigitaalGebruikersbeleid
* Wachtwoordbeleid voedt DigitaalGebruikersbeleid
* AlgemeenIBPbeleid voedt MaatregelenVoorMDWprivacy
* WerknemersregelingPrivéDevices voedt DigitaalGebruikersbeleid
* Bruikleenovereenkomst voedt DigitaalGebruikersbeleid
* Dataclassificatie voedt GebruikSaaS
* Dataclassificatie voedt SelectieImplementatieTechnologie
* Digitaal Gebruikersbeleid voedt SelectieImplementatieTechnologie
* Architectuurprincipes voedt SelectieImplementatieTechnologie
* Architectuurprincipes voedt GebruikSaaS
* Architectuurprincipes voedt Informatiebeveiligingsbeleid
* Architectuurprincipes voedt ToegangsbeleidApplicaties
* GebruikSaaS voedt SelectieImplementatieTechnologie
- Dataclassificatie voedt Bedrijfscontinuïteitsplan
- ITsolutionLifeCycle voedt SelectieImplementatieTechnologie
- Informatiebeveiligingsbeleid voedt Detailbeleid
- Informatiebeveiligingsbeleid voedt SelectieImplementatieTechnologie
- Retentiebeleid voedt SelectieImplementatieTechnologie
- Functieboek voedt ToegangsbeleidApplicaties
- Processenboek voedt ToegangsbeleidApplicaties
- Dataclassificatie voedt ToegangsbeleidApplicaties
- RisicoInventarisatie voedt **X**
- PenTest voedt **X**
- Strategie voedt Informatiebeveiligingsbeleid
- **APPLICATIELANDSCHAP** ?
- **BIA** ?
- **SoA ?**
- **Architectuurprincipes is deels een Government model, deels richtinggevende architectuur eisen**
- Beleidsdocument voedt de reviewcalendar
- Systeemlandschap voedt Toegangsbeleid
- Dataclassificatie voedt Toegangsbeleid


``` mermaid
graph TD
    Risicobereidheid --> Dataclassificatie
    Assetinventarisatie --> Dataclassificatie
    TrafficLightsProtocol --> Dataclassificatie
    Dreigingsanalyse --> Maatregelen
    Kwetsbaarheden --> Maatregelen
    Maatregelen --> Dataclassificatie
    Risicos --> Maatregelen
    MaatregelenVoorMDWprivacy --> DigitaalGebruikersbeleid
    PrivacyStatementMdwsSollicitanten --> DigitaalGebruikersbeleid
    Wachtwoordbeleid --> DigitaalGebruikersbeleid
    AlgemeenIBPbeleid --> MaatregelenVoorMDWprivacy
    WerknemersregelingPrivéDevices --> DigitaalGebruikersbeleid
    Bruikleenovereenkomst --> DigitaalGebruikersbeleid
    Dataclassificatie --> GebruikSaaS
    Dataclassificatie --> SelectieImplementatieTechnologie
    DigitaalGebruikersbeleid --> SelectieImplementatieTechnologie
    Architectuurprincipes --> SelectieImplementatieTechnologie
    Architectuurprincipes --> GebruikSaaS
    Architectuurprincipes --> Informatiebeveiligingsbeleid
    Architectuurprincipes --> ToegangsbeleidApplicaties
    GebruikSaaS --> SelectieImplementatieTechnologie
    Dataclassificatie --> Bedrijfscontinuïteitsplan
    ITsolutionLifeCycle --> SelectieImplementatieTechnologie
    Informatiebeveiligingsbeleid --> Detailbeleid
    Informatiebeveiligingsbeleid --> SelectieImplementatieTechnologie
    Retentiebeleid --> SelectieImplementatieTechnologie
    Functieboek --> ToegangsbeleidApplicaties
    Processenboek --> ToegangsbeleidApplicaties
    Dataclassificatie --> ToegangsbeleidApplicaties
    RisicoInventarisatie --> X
    PenTest --> X
    Strategie --> Informatiebeveiligingsbeleid
```

![](IMG_4214.jpg)

I’d put ‘policies and documentation’ on the right, business processes on the left, context, strategy and planning at the top, and controls at the bottom. RM/PDCA cycles at the center.

### Principe achter SelectieImplementatieTechnologie

1. Welke info assets ga je ermee verwerken?
2. Hoe zijn die assets geclassificeerd?
3. Welke risico’s ontstaan er? (Technische en niet-technische)
4. Welke maatregelen zou je dan moeten treffen cf. de dataclassificatie?