Handleiding Risico management
IBPDOC29
Handleiding Risico management
Verantwoording Opdrachtgever Kennisnet / saMBO-ICT Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit document geeft een handleiding voor de inrichting en uitvoering van risico management binnen de MBO Sector en handreiking voor de beoordeling van IT risico’s. Het document is gemaakt in navolging op de 5 daagse MBO masterclasses. In dit document wordt allereerst ingegaan op de inrichting van de Governance omtrent risico management in het algemeen. Vervolgens wordt de uitvoering van de risico en controle cyclus verder toegelicht. In het laatste hoofdstuk wordt een aanzet gegeven tot het beoordelen van de IT risico’s binnen de MBO sector.
Auteurs Maurits Toet (Cerrix BV) Ludo Cuijpers (Leeuwenborgh) Esther van der Hei (Nimeto Utrecht) Mei 2015
Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: • Het werk kopiëren, verspreiden en doorgeven • Remixen – afgeleide werken maken Onder de volgende voorwaarde: • Naamsvermelding – De gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk).
IBPDOC29, versie 0.1
Pagina 2 van 14
Handleiding Risico management
Inhoudsopgave Verantwoording ...................................................................................................................................................... 2 1. Inleiding ................................................................................................ Fout! Bladwijzer niet gedefinieerd. 1.1 1.2 1.3 2.
Samenstelling Normenkader Informatiebeveiliging MBO .................... Fout! Bladwijzer niet gedefinieerd. 2.1 2.2 2.3 2.4 2.5
3.
ISO 27000 familie ............................................................................ Fout! Bladwijzer niet gedefinieerd. Clustering ........................................................................................ Fout! Bladwijzer niet gedefinieerd. Motivatie keuze maatregelen ......................................................... Fout! Bladwijzer niet gedefinieerd. Volwassenheidsniveau .................................................................... Fout! Bladwijzer niet gedefinieerd. Toetsingskader ................................................................................ Fout! Bladwijzer niet gedefinieerd. Het Normenkader ................................................................................. Fout! Bladwijzer niet gedefinieerd.
3.1 3.2 3.3 3.4 3.5 3.6 4.
Gebruik van het normenkader ........................................................ Fout! Bladwijzer niet gedefinieerd. Historie en beheer........................................................................... Fout! Bladwijzer niet gedefinieerd. Verantwoording .............................................................................. Fout! Bladwijzer niet gedefinieerd.
Beleid en organisatie ....................................................................... Fout! Bladwijzer niet gedefinieerd. Personeel, studenten en gasten...................................................... Fout! Bladwijzer niet gedefinieerd. Ruimtes en apparatuur ................................................................... Fout! Bladwijzer niet gedefinieerd. Continuïteit ..................................................................................... Fout! Bladwijzer niet gedefinieerd. Vertrouwelijkheid en integriteit ...................................................... Fout! Bladwijzer niet gedefinieerd. Controle en Logging ........................................................................ Fout! Bladwijzer niet gedefinieerd. Ten slotte .............................................................................................. Fout! Bladwijzer niet gedefinieerd.
4.1 Besluitvorming ................................................................................ Fout! Bladwijzer niet gedefinieerd. 4.2 Beheer van het normenkader informatiebeveiliging ...................... Fout! Bladwijzer niet gedefinieerd. 4.3 Details Normenkader Informatiebeveiliging MBO en Toetsingskader .................. Fout! Bladwijzer niet gedefinieerd. 4.4 Publicatie ......................................................................................... Fout! Bladwijzer niet gedefinieerd. 4.5 Referenties ...................................................................................... Fout! Bladwijzer niet gedefinieerd. Bijlage 1: Samenhang ISO 27002 normenkader en HO-normenkader, inclusief nummering . Fout! Bladwijzer niet gedefinieerd. Bijlage 2: Framework MBO ......................................................................................................... 14
IBPDOC29, versie 0.1
Pagina 3 van 14
Handleiding Risico management
1. Governance van risico management. 1.1 Inleiding Voordat het risicomanagement proces adequaat kan worden uitgevoerd dienen eerst het risicobeleid te worden vastgelegd en gecommuniceerd. Het risicomanagement beleid omvat: Uitgangspunten omtrent risicomanagement; De risico appetite van de onderneming; De taken en verantwoordelijkheden omtrent risico management in uw organisatie. Hieronder worden achtereenvolgens de onderwerpen risico appetite en taken en verantwoordelijkheden verder beschreven. De uitgangspunten komen hier niet aan bod omdat deze voor elke organisatie anders kunnen zijn.
1.2 Risico appetite De risico appetite geeft de risicobereidheid van de organisatie weer. Vaak wordt dit uitgedrukt als een bedrag in EUR. Het betreft dan de totale risicoschade die de organisatie bereid is te accepteren. Daarnaast zijn er ook andere risico appetite varianten mogelijk zoals maximaal aantal keer negatief in media of aantal verloren mensenlevens (ziekenhuizen) Daarnaast wordt de risico appetite ook vaak gespecificeerd naar deelgebieden (voorbeeld voor het MBO: IT, bekostiging, examinering). In deze methode worden eerst de deelgebieden geïdentificeerd en wordt vervolgens per deelgebied een risico appetite gedefinieerd. Vervolgens wordt het totaal van de deelgebieden geconsolideerd tot een risico appetite op organisatie niveau.
1.3 Taken en verantwoordelijkheden Voor de inrichting van taken en verantwoordelijkheden rondom risicomanagement wordt vaak gebruik gemaakt van het 3 lines of defense model wat impliceert dat er binnen uw organisatie drie verdedigingslinies ingericht kunnen worden om risico’s adequaat te managen. Binnen dit model heeft elke linie zijn eigen specifieke functie. In figuur 1 vindt u hiervan een conceptuele weergave. Toezichthouders Bestuur / directie
Eindverantwoordelijk
2nd line of defense
3rd line of defense
Uitvoeren Verantwoordelijk voor managen van risico’s.
Faciliteren Adviseren Monitoren Rapporteren
Controleren
Accountant
1st line of defense
Figuur 1: 3 lines of defense model.
IBPDOC29, versie 0.1
Pagina 4 van 14
Handleiding Risico management
1.3.1 1st line of defense De eerste verdedigingslinie betreft de operatie van uw organisatie. Dit zijn de werknemers die de dagelijkse operationele en ondersteunende processen binnen uw organisatie uitvoeren. Zij hebben dagelijks met potentiele risico’s te maken en zijn dus ook als eerste verantwoordelijk voor het beheersen van de risico’s die zich in de werkprocessen kunnen voordoen. Om de eerste lijn bewust te laten worden van deze verantwoordelijkheid speelt allereerst het overbrengen van basiskennis omtrent risicomanagement een rol. Vaak wordt dit gedaan middels training van werknemers door een expert. Met deze basiskennis leert de operatie anders (risicominded en afdelingsoverstijgend) tegen het dagelijks werkproces aan te kijken en wordt zodoende ook het risicobewustzijn van het personeel gestimuleerd. Vervolgens worden er periodiek risicoassessments uitgevoerd (in beginsel op de kernprocessen) door het personeel (eventueel gefaciliteerd door een risk manager) om de (key) risico’s en beheersmaatregelen te identificeren en te beoordelen. Ook stelt de operatie Key Risico Indicatoren op die een voorspelling doen over het toekomstige risicoprofiel van uw organisatie. Een voorbeeld van een Key Risico Indicator binnen IT is “het aantal prio 1 incidenten opgelost binnen de SLA”. Als deze indicator maand op maand stijgt dan geeft dat een indicatie over de risico’s en beheersing binnen het “proces incident management”. Door dit periodiek te doen krijgt uw organisatie goed inzicht in haar risicoprofiel. De operatie is dus primair voor het identificeren, beoordelen en managen van haar risico’s In onderstaande tabel vindt u kort samengevat van de taken en verantwoordelijkheden van de eerste lijn: ste Taken en verantwoordelijkheden 1 lijn identificeert en beoordeelt periodiek de risico’s en beheersmaatregelen. Voert beheersmaatregelen uit en legt evidence vast ter beoordeling door de risicomanager. Stelt Key Risk Indicators op en Uitvoeren van verbeteracties.
1.3.2 2nd line of defense. De tweede verdedigingslinie is de risico management functie binnen de organisatie. Deze functie staat los van de eerste lijn en is (vaak) onafhankelijk ingericht. Dit wil zeggen dat de risico management functie vaak direct onder het CvB valt en dus niet is gekoppeld aan een operationeel directielid. De risico management functie faciliteert, monitort en adviseert de operatie bij de uitvoering van het risico management en controleproces en heeft primair een signalerende functie richting het CvB en operatie. Tevens rapporteert de risico management periodiek over het risicoprofiel van de organisatie aan de CvB en management. De risico manager is een persoon die niet alleen veel kennis heeft van risico management maar is vooral ook een persoon die veel kennis heeft van het bedrijf waarin hij opereert. Het heeft immers weinig zin om ergens over te adviseren of iets te monitoren wat je niet begrijpt. Bij grotere ondernemingen zien we dat risico managers vaak gespecialiseerd zijn op een bepaald gebied, bijvoorbeeld IT. In onderstaande tabel vindt u een kort samengevat de taken en verantwoordelijkheden van de tweede lijn. de Taken en verantwoordelijkheden 2 lijn Heeft kennis van de operationele en ondersteunende processen binnen het MBO. Faciliteert het risicomanagement proces. (Voorbeeld: faciliteren workshop risico identificatie en beoordeling). Monitort de status van risico’s, beheersmaatregelen en verbeteracties. Reviewt opzet, bestaan en werking van individuele beheersmaatregelen. Adviseert de operatie inzake te nemen beheersmaatregelen, verbeteracties, etc. Rapporteert over het risicoprofiel van de organisatie, de werking van beheersmaatregelen en status van verbeteracties.
1.3.3 3rd line of defense De derde verdedigingslinie betreft de interne audit functie binnen de organisatie. Deze functie is eveneens onafhankelijk ingericht en valt vaak direct onder het CvB en/of CvT. De interne audit functie heeft een controlerende rol richting operatie en risico manager. De primaire taak van de interne auditor is om te controleren of IBPDOC29, versie 0.1
Pagina 5 van 14
Handleiding Risico management de organisatie haar operationele en ondersteunende processen beheerst uitvoert. Ook de uitvoering van het risicomanagement proces zelf wordt gecontroleerd door de interne auditor. Voor de interne auditor gelden dezelfde eisen als voor de risico manager. Naast dat hij veel kennis moeten hebben van audit-technieken dient hij veel kennis te hebben van het bedrijf waarin hij opereert. Het heeft immers weinig zin iets te controleren wat je niet begrijpt of waar je relatief weinig kennis van hebt. Ook hier zien we dat auditors bij grotere ondernemingen vaak gespecialiseerd zijn in een bepaald vakgebied, bijvoorbeeld IT. In onderstaande tabel vindt u een kort samengevat de taken en verantwoordelijkheden van de derde lijn. de Taken en verantwoordelijkheden 3 lijn Heeft kennis van de operationele en ondersteunende processen binnen het MBO. Heeft kennis van audit-technieken. Voert audits uit op de operationele en ondersteunende processen van de organisatie om vast te stellen dat deze processen beheerst worden uitgevoerd door de organisatie. Rapporteert bevindingen naar aanleiding van uitgevoerde audits aan de betreffende proceseigenaren Rapporteert over de algehele status van beheersing aan CvB en CvT.
IBPDOC29, versie 0.1
Pagina 6 van 14
Handleiding Risico management
1.4 Advies bij inrichten governance Op basis van het risicomanagement beleid te kan gestart worden met de inrichting van de governance. Een advies is om te starten met de inrichting van de 1st line of defense. Dit is immers de belangrijkste verdedigingslinie. Er zijn daarbij 5 key inrichtingsstappen die van belang zijn: 1. Risicomanagement beleid is goedgekeurd door CvB en beschikbaar voor alle medewerkers; 2. De taken en verantwoordelijkheden inzake risicomanagement in de functieprofielen van de werknemers en maken onderdeel uit van de beoordelingscyclus; 3. Medewerkers worden getraind op basiskennis omtrent risicomanagement; 4. Vergroten risicobewustzijn door periodiek risico’s, beheersmaatregelen en verbeteracties te identificeren en te beoordelen. Daarbij is het van belang breder te kijken naar je operatie en de dagelijkse processen / processtappen die je uitvoert (keten denken); 5. Communicatie over geconstateerde risico’s en benodigde beheersing naar relevante stakeholders dient te worden gestimuleerd. Deze communicatie hoeft dus niet altijd tussen management te verlopen maar dient juist op de werkvloer te worden gestimuleerd. Daarbij hoort ook het aanspreken van je collega die eerder/later in het proces activiteiten uitvoert. Het is wel aan te raden om een project manager / eigenaar aan te wijzen die de verschillende inrichtingsstappen coördineert. e e Het onafhankelijk inrichten van de 2 en 3 lijns functies vindt vaak in een later stadium plaats. Vaak zien we dat de functie eerst binnen een afdeling wordt belegd (vaak bij teamleiders/managers of senior medewerkers) om later gecentraliseerd te worden in een onafhankelijke staffunctie. Indien de functie onafhankelijk wordt belegd dan is het van belang dat deze functies eerst het juiste mandaat krijgen van CvB en dat dit mandaat helder wordt gecommuniceerd naar de organisatie toe. Vervolgens dienen dan de risicomanagement en audit processen gedefinieerd te worden waarmee deze functies kunnen werken.
IBPDOC29, versie 0.1
Pagina 7 van 14
Handleiding Risico management
2. Uitvoeren van de risico en controle cyclus. In dit hoofdstuk wordt een handleiding beschreven voor de uitvoering van het risico en controle cyclus. Het risicomanagement beleid vormt het uitgangspunt bij de uitvoering van de risico en controle cyclus. De cyclus bestaat uit verschillende fases, te weten: 1. Opstellen jaarplan (Plan); 2. Voorbereiden risico assessment (Plan); 3. Uitvoeren risico assessment (Do); 4. Vaststellen en uitvoeren van eventuele verbeteracties (Do); 5. Monitoren van risico’s, beheersmaatregelen en verbeteracties (Check); 6. Rapporteren over status van risico’s, beheersmaatregelen en verbeteracties en bijstellen (Act). De fases volgen de PDCA cyclus volgens het model van Demming. Door deze stappen in een cyclus uit voeren ontstaat de zogenaamde risico en controle cyclus. De hierboven genoemde stappen zullen in onderstaande paragrafen verder worden uitgewerkt.
2.1 Opstellen jaarplan Elk jaar stelt de risico manager in samenwerking met de proceseigenaren eerst het jaarplan voor risicomanagement op. In het jaarplan voor risico management worden de verschillende risico assessments, monitoring en rapportagemomenten vastgelegd voor dat jaar vastgelegd. Het jaarplan wordt geaccordeerd door het CvB en gecommuniceerd met alle stakeholders.
2.2 Voorbereiden risico assessment De voorbereiding van een risico assessment is een van de belangrijkste onderdelen van het risico assessment. Onder het voorbereiden van een risico assessment wordt verstaan: het vaststellen van de scope en doelstelling van het risico assessment, het plannen van een datum, het reserveren van een ruimte, het uitnodigen van de juiste personen, het juist, tijdig en volledig vaststellen en verspreiden van documentatie en het inhoudelijk voorbereiden van het assessment . Feitelijk is dit stap 1 bij de risico en controle cyclus uit de presentatie “Risicomanagement inde praktijk” welke gegeven tijdens de masterclasses. Doelstelling en scopebepaling: Elke proceseigenaar organiseert, in samenwerking met de risico manager, periodiek (meestal 1 keer per jaar) een risico assessment voor zijn/haar (IT) processen. Daarbij wordt eerst de doelstelling en scope van het risico assessment bepaald. De doelstelling gaat in op welke soort risico’s en beheersmaatregelen er geïdentificeerd moeten worden. Voorbeeld: alleen IT risico’s of ook andere risico soorten De scope gaat in op de reikwijdte van het risico assessment. Voorbeeld: Alleen proces risico’s en key beheersmaatregelen of ook afdelingsrisico’s en ondersteunende beheersmaatregelen. Plannen en uitnodigen: Advies is om niet meer dan 6 mensen uit te nodigen. Een te grote groep maakt het risico assessment minder efficiënt. Hou bij het plannen van een datum en tijd rekening dat een goede risico assessment 3 a 4 uur duurt. Voor een risico assessment worden minimaal de volgende personen uitgenodigd: Risico manager (heeft alleen een faciliterende / challengende rol) Proceseigenaar; Key specialisten van het proces (dit kan dus afdeling overstijgend zijn);
IBPDOC29, versie 0.1
Pagina 8 van 14
Handleiding Risico management Vaststellen en verspreiden documentatie: Naast het plannen van de datum en tijd is het van het grootste belang de juiste documentatie wordt opgesteld en verstuurd naar de deelnemers. Deze documentatie bestaat uit: beschrijving van doelstelling en scope van het risico assessment, het actuele risico management beleid, de actuele procesbeschrijving, een register met risico’s en beheersmaatregelen van het vorige risico assessment, register met aan het proces gerelateerde incidenten, register met openstaande verbeteracties die invloed hebben op de beheersing van relevante risico’s. Inhoudelijk voorbereiden: Met het inhoudelijk doornemen van de documentatie is elke deelnemer voldoende voorbereid voor het komende risico assessment. Het inhoudelijk voorbereiden houdt in het doornemen van de documentatie, het beschrijven van mogelijke risicogebeurtenissen en mogelijke beheersmaatregelen. Door deze voorbereiding komt de deelnemer goed beslagen ten ijs en kan tijdens het assessment een efficiënte en effectieve discussie gevoerd worden.
2.3 Uitvoeren risico assessment De uitvoering van het risico assessment zelf volgt de stappen 2 tot en met 6 bij de risico en controle cyclus zoals besproken in de presentatie “risicomanagement in de praktijk” vanuit de masterclass. Doelstelling bij de uitvoering van het risico assessment is het achterhalen en beoordelen van de relevante risico’s, controledoelstellingen en beheersmaatregelen volgens de vastgestelde scope en doelstelling van het risico assessment. Bij de uitvoering van het risico assessment zelf zijn een aantal factoren van belang voor succes, te weten: Iedere deelnemer gaat voorbereid het risico assessment in; Iedereen respecteert elkaars mening, elke stem weegt even zwaar; De facilitator (risico-manager) heeft geen stemrecht maar faciliteert alleen. Voor het vaststellen van de IT risico’s hanteren we de volgende risico categorieën: 1. Beleid en personeel; 1.1. Informatiebeveiliging; 1.2. Privacy; 2. Toegang tot applicaties en data; 3. IT infrastructuur en externe verbindingen; 4. Examinering. Deze categorieën staan vast en zullen door de gehele MBO sector gebruikt gaan worden. Bij het vaststellen van de risico’s en beheersmaatregelen is het dus zaak deze categorieën te gebruiken. e e Voorbeeld: Bij het proces “access management” zullen de geïdentificeerde risico’s hoofdzakelijk in de 2 en 3 categorie vallen. Ter verdere ondersteuning bij het uitvoeren van het risico assessment raden wij aan om het beoordelingskader IT risico’s MBO sector (Zie bijlage 1 voor een voorbeeld) te gebruiken. Deze wordt samen met deze handleiding meegeleverd in een Excel sheet. Door gebruik te maken van dit beoordelingskader kunnen MBO’s op gestructureerde wijze hun IT risico’s, controledoelstellingen en onderliggende beheersmaatregelen en verbeteracties definiëren.
2.4 Vaststellen en uitvoeren van eventuele verbeteracties Indien bij stap 6 uit de risico en controle cyclus vanuit de presentatie wordt vastgesteld dat het restrisico verder gemitigeerd moet worden omdat anders de controledoelstelling niet gehaald kan worden dan dienen hiervoor verbeteracties te worden gedefinieerd. Bij de vaststellen van de verbeteracties moeten aan een aantal voorwaarden voldoen: Elke verbeteractie heeft een eigenaar; Verbeteracties zijn SMART gedefinieerd; Elke actie heeft een duidelijk eindresultaat; Elke actie heeft een due date; IBPDOC29, versie 0.1
Pagina 9 van 14
Handleiding Risico management De actie draagt actief bij aan het verkleinen van de kans en/of impact van het risico. De verbeteracties worden altijd in samenspraak met de verantwoordelijke manager opgesteld. Verbeteracties kunnen ook komen vanuit het monitoren van risico’s en beheersmaatregelen (zie volgende paragraaf).
2.5 Monitoren van risico’s, beheersmaatregelen en verbeteracties De monitoring van risico’s, beheersmaatregelen en verbeteracties volgt stap 7 bij risico en controle cyclus zoals besproken in de presentatie “risicomanagement in de praktijk” vanuit de masterclass. Hieronder wordt per onderdeel ingegaan op monitoring. Monitoren van risico’s e Na het uitvoeren van het risico assessment is het zaak dat de 1 lijn haar risico’s monitort. Er zijn namelijk verschillende variabelen die van invloed kunnen zijn op het risicoprofiel van de organisatie. Denk bijvoorbeeld aan veranderende marktomstandigheden of nieuwe wet en regelgeving waardoor nieuwe risico’s relevant worden en bestaande risico’s wellicht niet meer relevant zijn. Maar ook manifestatie van bedrijfsincidenten kunnen bijdragen aan een ander risicobeeld. Bij monitoring is het dus zaak deze variabelen te identificeren en om te zetten in Key Risk Indicator. Twee voorbeelden van een KRI’s: Het aantal prioriteit 1 IT-incidenten per maand. Het aantal prioriteit 1 IT-incidenten niet opgelost binnen de SLA. Als we deze KRI’s monitoren en de aantallen maand op maand zien toenemen dan dient de kans en impact van het bijbehorende risico “Het risico dat prio 1 IT incidenten niet tijdig worden opgelost als gevolg van onvoldoende resources waardoor business verstoringen plaatsvinden” te worden opgeschaald. Monitoring brengt daarbij dus het inzicht om tot tijdige verbeteracties en additioneel beheersing te komen. Monitoren/testen van beheersmaatregelen e De opgestelde beheersmaatregelen worden uitgevoerd door de 1 lijn. Om opzet, bestaan en werking van de e beheersmaatregelen te kunnen monitoren dient de 1 lijn evidence vast te leggen van uitvoering van deze e beheersmaatregelen. De 2 lijn zal dan op basis van de gestelde controledoelstellingen en deze evidence een steekproef doen om te monitoren of opzet, bestaan en werking van de beheersmaatregelen is gewaarborgd. e Indien er hiaten zijn geconstateerd door de 2 lijn zullen deze moeten worden besproken met de verantwoordelijke manager/proces eigenaar en zullen er verbeteracties worden gedefinieerd (zie vorige paragraaf). Monitoren voorgang verbeteracties Ook de status van verbeteracties zelf moeten gemonitord worden ter bevordering van de risicobeheersing. De e verantwoordelijke manager monitort vanuit zijn/haar 1 lijns verantwoordelijkheid de voortgang van de verbeteracties. Dit doet hij/zij op basis van de lijst met verbeteracties en het opvragen van de status bij de verantwoordelijke uitvoerders. e De risico manager zal vanuit zijn 2 lijns verantwoordelijkheid de status monitoren en bij onvoldoende voortgang eerst in gesprek gaan met de verantwoordelijke lijnmanager om de oorzaak te achterhalen. Indien nodig kan de risico manager escaleren naar CvB.
2.6 Rapporteren over status van risico’s, beheersmaatregelen en verbeteracties en bijsturen. e
De risico manager rapporteert, in samenwerking met de 1 lijn, periodiek (Advies = minimaal 1 keer per kwartaal) aan het CvB en management over de status van risico’s, controledoelstellingen en onderliggende beheersmaatregelen en verbeteracties. De vorm van de rapportage zal hoofdzakelijk een dashboard zijn waarbij op organisatieonderdeel en/of risicocategorie wordt gerapporteerd over de status van risico’s, controledoelstellingen en onderliggende beheersmaatregelen en verbeteracties.
IBPDOC29, versie 0.1
Pagina 10 van 14
Handleiding Risico management e
De rapportage moet worden voorzien van commentaar door de 1 lijn en de risico manager. Het commentaar e van de 1 lijn focust zich op de toelichting op de verschillende statussen. Het commentaar van de risicomanager focust zich op het geven van advies bij de verschillende statussen. Op basis van de rapportage kan het management of CvB besluiten bij te sturen door bijvoorbeeld meer resources beschikbaar te maken, activiteiten te outsourcen, etc.
IBPDOC29, versie 0.1
Pagina 11 van 14
Handleiding Risico management
3. Tot slot. Het effectief inrichten van risico en controle cyclus in een organisatie is niet een kwestie van een maand werk en klaar. Het is een proces wat langzaam opgebouwd dient te worden en effectiever en efficiënter wordt naarmate het risicobewustzijn en de beheersing van de organisatie stijgt.
IBPDOC29, versie 0.1
Pagina 12 van 14
Handleiding Risico management
Risico Matrix Informatiebeveiliging
Niet nakomen van privacywetgeving.
Bedreiging
Beleid & Org
Het risico op fraude of onrechtmatige invoer in Magister.
Onvoldoende controles en functiescheiding.
Het risico op fraude bij Onjuiste beoordeling van invoer/mutatie van cijfers Laptop van docent niet gelockt. deelnemers, reputatieschade in Magister.
Impact
Controledoelstelling
Risico Matrix
Soort
Doelstelling
Preventief
Er zijn voldoende maatregelen genomen om de scheiding van rechten over groepen van personen mogelijk te maken.
Monitoring & Control
Wie
Wat
Waarmee
Hoe
Netto Risico
Hoe vaak (Cyclische Wanneer)
Wat Als
Kans
Impact
Risico Matrix
H
Laag
Laag
H
M L
X L
M
H
Impact
Laag
Laag
Kans
Cluster Toetsingskader
Onvoldoende scheiding van rechten over groepen van personen.
Kans
Kans
Bedreiging of kans?
Het risico dat data onrechtmatig wordt opgeslagen en onvoldoende bescherming van persoonsgegevens.
X
X L
Preventief M
Laag
Laag
L
H
X L
L
Preventief M
Laag
Laag
Kans
Kans
Toegang & Integriteit
X
M L
H
X L
H
Laag
Laag
X L
Preventief M
Laag
Laag
M L
H
X L
Het risico dat vertrouwelijke informatie wordt gedeeld door medewerkers
Het ontbreken van een classificatiesysteem voor informatie
IBPDOC29, versie 0.1
Laag
X L
Preventief M
Laag
Laag
Kans
Het ontbreken van informatiebeveiligingsbeleid
Laag
M L
H
X L
Laag
X L
Preventief M
Laag
Laag
Kans
Laag
M L
H
X L
Laag
L
Preventief M
Laag
Laag
M L
H
X L
L
Preventief M
Laag
Laag
M L
H
X L
Impact
Laag
H
H X L
Preventief M
H
Impact
Pagina 13 van 14
Laag
Laag
Kans
H
Laag
M Impact
M L
H
H X
Kans
Kans
Laag
Kans
Beleid & Org
H
Laag
M Impact
M L
H
H X
Kans
Laag
Kans
H M L
M Impact
Impact
Beleid & Org
Imagoschade, financiële schade, data verlies
Continuïteit
Bedreiging
Imagoschade, financiële schade, data verlies
Bedreiging
Impact
Dataverlies, financiële schade (hardware stuk), studenten en medewerkers die niet bij hun gegevens kunnen
H
H
M L
M Impact
H
Kans
Continuïteit
Bedreiging
Impact
Imagoschade, financiële schade, data verlies
H
H
M L
M Impact
H
Kans
Het risico dat er niet adequaat op beveiligingsincidenten gereageerd wordt
Continuïteit
Het ontbreken van een continuïteitsplan
Bedreiging
Het risico dat tijdens een ongunstige situaties geen informatiebeveiligingspro cedure is ingesteld
Schade die veel hoger kan uitvallen dan vooraf geanticipeerd
Bedreiging
Actief
Organisatie
Actief Actief
Organisatie
9
Het ontbreken van een responsteam
Calamiteit
8
Actief
7
Het risico dat er niet adequaat op beveiligingsincidenten gereageerd wordt
Organisatie
6
Actief
5
Het ontbreken van een classificatiesysteem voor incidenten
Governance
Impact
Het risico dat informatiebeveiligingsgeb eurtenissen niet worden beoordeeld en/of over ze wordt besloten
H
H
M L
M Impact
Kans
Geen beschikbaarheid, geen les door noodzakelijke evacuatie
Kans
Onvoldoende brandbeveiliging van serverruimte.
Ruimten en apparatuur
Impact
Het risico op uitval van het bedrijfsnetwerk.
H
H
M L
M Impact
H
Laag
H
M
Impact
Laag
M
H
M L
L
Impact
Kans
Laag
Kans
Toegang & Integriteit
Bedreiging
Laag
M L
H
Identiteitsfraude, reputatieschade
Bedreiging
Status
Risicogebied
Actief
Organisatie
Actief
Gevolg
Bedreiging
4
Oorzaak
Organisatie
3
Actief
2
Actief
1
Risico
Calamiteit
#
Bruto Risico
Organisatie
Risico Identificatie
M L
X L
M Impact
H
Restrisico
Benodigde verbeteractie
Restrisico
Wie: Wat: Verwacht eindresultaat: Wanneer klaar:
Handleiding Risico management
Bijlage 1:
Framework MBO
Model Informatiebeveiligingsbeleid voor de MBO sector op basis van ISO27001 en ISO27002 (IBPDOC 6)
Model beleid verwerking persoonsgegevens op basis van Nederlandse wet- en regelgeving (IBPDOC18)
Toetsingskader IB: clusters 1 t/m 6 (IBPDOC3)
Toetsingskader Privacy: cluster 7 (IBPDOC7)
Toetsingskader Toetsingskader Toetsingskader Examinering Online leren VMBO-MBO Pluscluster 8 Pluscluster 9 Pluscluster 10 IBPDOC8 IBPDOC9 IBPDOC10
Handleiding Benchmark Coable IBPDOC11
Competenties Positionering Informatiebev. Informatiebev. en Privacy en Privacy IBPDOC12 IBPDOC13
Handleiding BIV classificatie BIV classificatie BIV classificatie PIA Deelnemers PIA Personeel BIV classificatie Bekostiging HRM Online leren informatie Informatie IBPDOC14 IBPDOC15 IBPDOC16 IBPDOC17 IBPDOC19 IBPDOC20 Starterkit Identity mngt MBO versie IBPDOC22
Starterkit BCM MBO versie IBPDOC23
Starterkit RBAC MBO versie IBPDOC24
Integriteit Code MBO versie IBPDOC25
Implementatievoorbeelden van kleine en grote instellingen Hoe? Zo! Informatiebeveiligingsbeleid in het MBO Kaderdocumenten Taskforce IBP
IBPDOC29, versie 0.1
realisatie 2015 Taskforce IBP
Leidraad AUP’s MBO versie IBPDOC26
Responsible Disclosure MBO versie IBPDOC27
Handleiding Risico management IBPDOC29 PIA Digitaal Leren IBPDOC21 Cloud computing MBO versie IBPDOC28
Privacy Compliance kader MBO (IBPDOC2B)
MBO referentie architectuur (IBPDOC4)
MBO roadmap informatie beveiligingsbeleid en privacy beleid (IBPDOC5)
Technische quick scan (APK) IBPDOC30 en
Hoe? Zo! Privacy in het MBO planning 2016 Taskforce IBP
SURFibo SURFaudit
Pagina 14 van 14
Normenkader Informatiebeveiliging MBO (IBPDOC2A)
Verantwoordingsdocument informatiebeveiliging en privacy in het MBO onderwijs (IBPDOC1)