Risico Analyse
19 belangrijke vragen over Risico Analyse
Waarom niet zoveel mogelijk risicos beperken door maatregelen
Welke soorten Risico analyse zijn er
- quickscan
- Baseline
Maatwerk benadering middels echte risicoanalyses
- Kwalitatieve Risicoanalyse
- Kwantitatieve Risicoanalyse
Geef de voors en tegens aan van checklisten en de verschillen tussen de twee soorten.
Checklisten hebben als voordeel dat:
- eenvoudig en bieden behoudens onderhoud alleen bij de ontwikkeling veel inspanning.
- normeerbaar: door dezelfde checklisten in meerdere situaties/organisaties te hanteren kunnen resultaten worden vergeleken en getoetst.
De nadelen zijn:
- One Size does not fit all; Niet alle organisaties of organisatiedelen werken op dezelde manier waardoor interpretatiefouten gemaakt kunnen worden.
- Checklisten zijn statisch en raken door nieuwe technologiën snel verouderd.
- gevoelig voor hackers, Een checklist biedt hackers inzicht in de beveiligingsmaatregelen die omzeilt moeten worden.
- Hogere cijfers + sneller leren
- Niets twee keer studeren
- 100% zeker alles onthouden
Wat zijn de voors en tegens van een echte risicoanalyse
voor
- Maatwerk; Na een echte risicoanalyse weet je wat je hebt
- Up-to-date; Omdat iedere analyse vanaf 0 begint zijn de resultaten altijd actueel
- Complex: Het uitvoeren vereist veel werk en is relatief kostbaar
- Informatie-overload: De output kan leiden tot een overdaad aan informatie wat het besluitvormingstraject over te nemen maatregelen bemoeilijkt.
Wat is een aandachtspunt bij Quickscans.
Wat zijn de effecten van een quickscan
daarnaast zorgt de quickscan ervoor dat men weer gaat nadenken over de wijze waarop de informatiebeveiliging is gerealiseerd (security awareness)
Wat is een baseline checklist.
Hoe gaan een kwalitatieve risicoanalyse in het werk
Wat is een kwantitatieve riscoanalyse
Welke methodieken voor risicoanalyse zijn er
Welke partijen zijn bij een risicoanalyse betrokken
- De opdrachtgever: management, auditor of een belanghebbende derde partij
- De uitvoerder: meestal een klein team van mensen die de analyse uitvoeren dit kunnen interne- of externe specialisten zijn. Om blindheid voor bepaalde risico's tegen te gaan is het verstandig dat teamleden rouleren.
- De deelnemer: De personen die verantwoordelijk zijn voor het te onderzoeken object. Je weet hiervan niet van tevoren of ze mee of tegen gaan werken. Deelnemers vullen vragenlijsten in, werken mee aan interviews en kunnen motiveren (evidence) het is verstandig om deze zelfde personen ook hun visie op maatregelen en verbetervoorstellen te laten geven.
Welke afweging wordt gemaakt bij beveiligingsrisico's.
- Gepaste beheersmaatregelen ter vermindering van het risico
- Bewuste aanvaarding van het risico indien dit past binnen beleid en risicocriteria
- risicovermijding door alle handelingen die het risico mogelijk laten op treden te verbieden/voorkomen.
- het risico overdragen aan een andere partij. (verzekeraar of leverancier)
Wat is een aandachtspunt bij beheersmaatregelen.
- Beperkingen en eisen van geldende nationale en internationale wet- en regelgeving.
- de doelstellingen van de organisatie
- operationele beperkingen en eisen
- acceptabele kosten voor implementatie en beheer en kosten in overeenstemming met de mogelijke voortvloeiende schade
Wat zijn gestandariseerde maatregelen
Wat heeft het beheer van bedrijfsmiddelen te maken met informatiebeveiliging.
Welke typen bedrijfsmiddelen zijn er:
- informatie: databases en gegevensbestanden, contracten en overeenkomsten, systeem en gebruikersdocumentatie, cursussen, uitwijkplannen, handboeken, gearchiveerde info etc
- Programmatuur: systeemprogrammatuur, toepassingsprogrammatuur, ontwikkelprogrammatuur en hulpprogrammatuur.
- Fysieke bedrijfsmiddelen: Computers, communicatieapparatuur, uitwisselbare media en andere apparatuur
- Diensten: Computer- en communicatiediensten, nutsvoorzieningen,
- Mensen en hun opleiding, vaardigheden en ervaringen
- Immateriele zaken zoals imago en reputatie
Ten aanzien van het gebruik van bedrijfsmiddelen moeten regels vastgesteld worden. Aan deze regels dient iedere werknemer, externe gebruiker of ingehuurde gebruiker zich te houden. Denk hierbij aan:
- Regels voor email en internetgebruik
- Regels voor gebruik van apparatuur op een externe locatie
Wat verstaan we onder classificatie van informatie
- Waarde
- Gevoeligheid
- Wettelijke eisen
- Onmisbaarheid
- Publiek
- Intern
- Vertrouwelijk
Bij classificatie moet je rekening houden met de houdbaarheid van informatie.
Wat is een aandachtspunt bij classificatie
De eigenaar van een ICT voorziening is verantwoordelijk voor het bepalen en bijhouden van de classificaties. Indien er nog geen eigenaar is (bv bij een project) ligt de verantwoordelijkheid bij de opdrachtgevers.
Wat verstaan we onder labeling en verwerking van informatie
verwerken, vastleggen, uitwisselen, declassificatie, archivering en vernietiging.
Let er hierbij op dat bij uitwisseling van deze informatie naar derden een overeenkomsten moeten zijn gesloten waarin deze procedures zijn beschreven.
De vragen op deze pagina komen uit de samenvatting van het volgende studiemateriaal:
- Een unieke studie- en oefentool
- Nooit meer iets twee keer studeren
- Haal de cijfers waar je op hoopt
- 100% zeker alles onthouden