De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Risicoanalyse <datum>.

Verwante presentaties


Presentatie over: "Risicoanalyse <datum>."— Transcript van de presentatie:

1 Risicoanalyse <datum>

2 Agenda Introductie risicoworkshop Inventarisatie risico’s
Discussie risico’s Vervolgstappen

3 Introductie risicoworkshop
Het doel van de jaarlijkse risicoanalyse is het bepalen van de grootste risico’s op het gebied van informatiebeveiliging. De uitkomsten worden gebruikt om de focus/prioriteiten op het gebied van informatiebeveiliging en privacy vast te stellen. Om dit doel te bereiken maken we de volgende stappen: Voorbereiding workshop Workshop (met een handvol mensen uit de hele organisatie) Uitwerking resultaten naar focus/prioriteiten Goedkeuring uitwerking (door bestuur)

4 Waarom doen we dit eigenlijk?
Onoverzichtelijke chaos => Overzicht en prioriteiten

5 Hoe doen we dat? Startblokken maken voor het verzinnen van risico’s
Welke bedrijfsmiddelen zijn er? Wat kan daarmee gebeuren? Wat is een risico? Inventarisatie van risico’s Een brainstorm van een uur Discussie van risico’s Het met elkaar eens worden over de kans en de impact Het bij elkaar voegen in een Excel-overzicht van alle risico’s Sorteren op de grootste risico’s Definiëren van maatregelen voor de grootste risico’s Een samenvatting ter goedkeuring door het bestuur

6 Startblokken voor inventarisatie risico’s
Om een goede risicoanalyse te doen, moet je beginnen met: Een lijst van bedrijfsmiddelen Een lijst van mogelijke bedreigingen Een definitie van risico Consensus over wat “klein” en “groot” is wanneer je het hebt over kans en impact De volgende sheets geven hier voorbeelden van (volgens de MAPGOOD structuur). Wanneer je niet genoeg tijd hebt om dit in de risicoworkshop te doen, kun je deze gebruiken. Op de handout bij de risicoworkshop staan deze ook.

7 Bedrijfsmiddelen: wat hebben we?
Mensen Docenten Omgeving Bestuurder Locatie van de school Administratie Gevaarlijke stoffen in de buurt Apparatuur Organisatie Servers Imago Laptops Taken, bevoegdheden en verantwoordelijkheden Printers Programmatuur Diensten door derden GWE Website Internet Applicaties Gegevens Software ontwikkelaars Personeelsgegevens Verzamelingen (databases)

8 Bedreigingen: wat kan ermee gebeuren?
Mensen Omgeving Wegvallen Natuurgeweld Onopzettelijke foutieve handelingen Terrorisme Opzettelijke foutieve handelingen Uitval elektriciteit Apparatuur Brand Veroudering & slijtage Organisatie Vernieling Imagoschade Programmatuur Onduidelijke verantwoordelijkheden Ontwerp en programmeerfouten Diensten door derden Gebrekkig testen Virussen Faillissement, fusie en overname Gegevens Niet nakomen verplichtingen Fouten in rapportages Onvoldoende capaciteit Diefstal of zoekraken

9 Risico’s Een risico beschrijven we als volgt: <Een gebeurtenis>
Leidt tot <een gevolg> Door <een oorzaak> Een risico heeft ook een kans en een impact. Bijvoorbeeld: Een openstaande voordeur Leidt tot diefstal van verschillende laptops Door dat een medewerker de voordeur met een stoel open heeft laten staan De kans dat dit gebeurt is klein. De impact hiervan is gemiddeld.

10 Wat is klein en wat is groot?
De inschatting van kans en impact is altijd subjectief. Door het gebruiken van dezelfde definities en onderling overleg wordt dit meer objectief. Kans: kans op optreden van een risico Klein kan minder dan jaarlijks voorkomen Middel kan meerdere keren per jaar voorkomen Groot kan dagelijks voorkomen Impact: effect wanneer het risico optreed Klein verstoring niet-primair proces, alleen intern merkbaar Middel verstoring primair proces, extern merkbaar, snel opgelost Groot verstoring primair proces, reputatieschade, langdurig

11 Inventarisatie risico’s
Op de muur hangen zeven flipover vellen met de zeven categorieën bedrijfsmiddelen. Neem drie kwartier de tijd om voor jezelf risico’s op te schrijven. Plak deze vervolgens bij het bijbehorende bedrijfsmiddel. Hierdoor kun je de discussie ’per bedrijfsmiddel’ voeren.

12 Inventarisatie risico’s (tips)
Je zal merken dat oorzaak en gevolg soms door elkaar lopen. Dat is niet erg. Schrijf gewoon het risico op (vergeet de kans en impact niet) en wacht op de discussie. De volgende vragen kunnen helpen om tot een risico te komen: Aan welke oplossingen/maatregelen heb ik al eerder gedacht? Welke apparaten gebruik ik elke dag? Wanneer zullen we veel telefoontjes krijgen van ouders? Waar hebben we eigenlijk geen zicht op? Als je vragen hebt, stel ze openlijk. De vraag en het antwoord dragen bij aan de onderlinge afstemming.

13 Discussie risico’s Voor elk risico discussiëren we kort het volgende:
Herkent iedereen dit risico? Wat vinden we van de kans? Wat vinden we van de impact? Dit is een goed moment om een Excel sheet te maken om alle risico’s in op te slaan. Een voorbeeld hiervan is bijgevoegd. Aan het einde van de discussie kun je de risico’s sorteren zodat de grootste risico’s bovenaan staan. Hierdoor kun je gezamenlijk kijken of je herkent dat dat daadwerkelijke de grootste risico’s zijn en eventueel aanpassingen maken.

14 Voorbeeld uitkomst discussie risico’s

15 Vervolgstappen Na de risicoworkshop is het nodig om maatregelen te selecteren bij de meest belangrijke risico’s. Op de site kun je voorbeelden vinden van risico’s met de bijbehorende maatregelen. Klik op inloggen Klik op inloggen met demo-account Klik op nieuwe casus Vul een naam in en klik op casus opslaan Klik bij de casus op start Klik op verder naar dreigingen Klik op een dreiging om te zien wat voor maatregelen erbij passen

16 Schrijven van een samenvatting
Het is nuttig om een memo te schrijven met de volgende struktuur: Er is een risicoworkshop geweest op 2 februari 2016 met de volgende aanwezigen: … Hieruit komen deze meest belangrijke risico’s: ... (top 5 of top 10) Op basis van deze risico’s en makkelijk te implementeren maatregelen willen we komend jaar deze maatregelen implementeren: ... (10-15 maatregelen) Een voorbeeld van zo’n samenvatting is bijgevoegd. De bestuurder kan hierdoor akkoord geven op de uitkomsten van de risicoanalyse en de geselecteerde maatregelen.

17 Afronding De input van de risicoanalyse vormt het startpunt van een jaarlijkse verbetercyclus: Q1 (plan): Risicoinventarisatie en prioritering Q2 (do): Implementeren/verbeteren maatregelen Q3 (check): Evalatie en controle Q4 (act): Uitvoeren corrigerende maatregelen Op de bijgevoegde jaarkalender (zie rechts) staan deze (en andere ondersteunende) activiteiten gepland voor


Download ppt "Risicoanalyse <datum>."

Verwante presentaties


Ads door Google