Wat is een risicoanalyse en hoe kan deze effectief worden gebruikt?

Een risicoanalyse vormt de basis voor het informatiebeveiligingsbeleid van een organisatie. Zonder risicoanalyse is het niet mogelijk om een adequaat informatiebeveiligingsbeleid te formuleren: pas na een risicoanalyse kunnen de maatregelen voor informatiebeveiliging in prioriteit worden bepaald. De risicoanalyse geeft aan welke risico’s moeten worden afgedekt om aan de gestelde betrouwbaarheidseisen van informatie te voldoen.

Beveiligingsstandaarden kunnen worden gebruikt om de maatregelen te bepalen die daarbij ter beschikking staan. Het treffen van maatregelen op basis van een risicoanalyse stelt de verantwoordelijke in staat om adequate maatregelen te treffen die een passend beveiligingsniveau garanderen. Hiermee wordt voldaan aan de vereisten gesteld in de Wet Bescherming Persoonsgegevens. U voorkomt hiermee een aanwijzing of boete van de Autoriteit Persoonsgegevens of problemen in uw bedrijfsvoering.

Taken van de verantwoordelijke (bestuurder / directeur)

De verantwoordelijke inventariseert de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die dit incident kan hebben en de kans dat deze gevolgen zich voordoen. De dreigingen kunnen onder meer samenhangen met de specifieke kenmerken van de verwerking en de gebruikte technologie. Bij verwerking via internet is bijvoorbeeld hacking een dreiging waarmee rekening moet worden gehouden; bij verwerking op draagbare computers en opslag op draagbare geheugenmedia zijn vermissing en diefstal dreigingen die de verantwoordelijke in de risicoanalyse moet betrekken. De verantwoordelijke treft maatregelen op basis van de uitgevoerde risicoanalyse en kiest de maatregelen zodanig dat wordt voldaan aan de vastgestelde betrouwbaarheidseisen.

Risicoanalyse uitbesteden

Eerst dient u in kaart te brengen wat uw redenen zijn om een risicoanalyse te laten uitvoeren. Dan kan worden bepaald welke risicoanalyse past in de specifieke situatie in uw organisatie. CYCO biedt organisaties drie soorten risico analyses: