4.6 KiB
6.1 Acties om risico's en kansen op te pakken
- Algemeen
Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1 genoemde belangrijke punten (issues) en de in 4.2 genoemde eisen overwegen, en de risico's en kansen vaststellen die moeten worden opgepakt om:
a) te waarborgen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) kan behalen;
b) ongewenste effecten te voorkomen of te verminderen;
c) continue verbetering te bereiken.
De organisatie moet:
d) acties plannen om deze risico's en kansen op te pakken; en
e) plannen op welke manier:
1. de acties in de processen van haar managementsysteem voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
2. de doeltreffendheid van deze acties wordt geëvalueerd.
1. **Risicobeoordeling van informatiebeveiliging**
De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
1. de risicoacceptatiecriteria; en
2. criteria voor het uitvoeren van risicobeoordelingen van informatiebeveiliging;
b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, valide en vergelijkbare resultaten opleveren;
c) de informatiebeveiligingsrisico's identificeert:
1. pas de risicobeoordelingsprocedure voor informatiebeveiliging toe om de risico's in verband met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
2. identificeer de risico-eigenaren;
d) de informatiebeveiligingsrisico's analyseert:
1. beoordeel de potentiële gevolgen indien de risico's die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
2. beoordeel de realistische waarschijnlijkheid dat de risico's die zijn vastgesteld in 6.1.2 c) 1) zich voordoen; en
3. stel de risiconiveaus vast;
e) de informatiebeveiligingsrisico's evalueert:
1. vergelijk de resultaten van de risicoanalyse met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
2. prioriteer de geanalyseerde risico's voor risicobehandeling.
De organisatie moet gedocumenteerde informatie bewaren over de risicobeoordelingsprocedure voor informatiebeveiliging.
- Behandeling van informatiebeveiligingsrisico's
De organisatie moet een procedure voor de behandeling van informatiebeveiligingsrisico's definiëren en toepassen om:
a) passende opties voor de behandeling van informatiebeveiligingsrisico's te selecteren, rekening houdend met de resultaten van de risicobeoordeling;
b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor de behandeling van informatiebeveiligingsrisico's te implementeren;
OPMERKING 1 Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.
c) de in 6.1.3 b) hierboven vastgestelde beheersmaatregelen te vergelijken met de beheersmaatregelen in bijlage A en te verifiëren of er geen noodzakelijke beheersmaatregelen zijn weggelaten;
OPMERKING 2 Bijlage A bevat een lijst van mogelijke beheersmaatregelen voor informatiebeveiliging. Gebruikers van dit document worden op bijlage A gewezen om ervoor te zorgen dat er geen noodzakelijke beheersmaatregelen voor informatiebeveiliging over het hoofd worden gezien.
OPMERKING 3 De lijst van beheersmaatregelen voor informatiebeveiliging in bijlage A is niet volledig en zo nodig kunnen er aanvullende beheersmaatregelen voor informatiebeveiliging in worden opgenomen.
d) een verklaring van toepasselijkheid op te stellen die het volgende bevat:
- de noodzakelijke beheersmaatregelen (zie 6.1.3 b) en c));
- een rechtvaardiging voor het opnemen ervan;
- de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
- de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
e) een plan voor de behandeling van informatiebeveiligingsrisico's te formuleren; en
f) de goedkeuring van risico-eigenaren voor het plan voor de behandeling van informatiebeveiligingsrisico's en hun acceptatie van de resterende informatiebeveiligingsrisico's te verkrijgen.
De organisatie moet gedocumenteerde informatie bewaren over de risicobehandelingsprocedure voor informatiebeveiliging.
OPMERKING 4 Het proces voor risicobeoordeling en -behandeling in het kader van informatiebeveiliging in dit document komt overeen met de beginselen en algemene richtlijnen van ISO 31000 [5].