Risicoanalyse datum Agenda Introductie risicoworkshop Inventarisatie risicos Discussie

  • Slides: 17
Download presentation
Risicoanalyse <datum>

Risicoanalyse <datum>

Agenda • • Introductie risicoworkshop Inventarisatie risico’s Discussie risico’s Vervolgstappen

Agenda • • Introductie risicoworkshop Inventarisatie risico’s Discussie risico’s Vervolgstappen

Introductie risicoworkshop • Het doel van de jaarlijkse risicoanalyse is het bepalen van de

Introductie risicoworkshop • Het doel van de jaarlijkse risicoanalyse is het bepalen van de grootste risico’s op het gebied van informatiebeveiliging. De uitkomsten worden gebruikt om de focus/prioriteiten op het gebied van informatiebeveiliging en privacy vast te stellen. • Om dit doel te bereiken maken we de volgende stappen: - Voorbereiding workshop - Workshop (met een handvol mensen uit de hele organisatie) - Uitwerking resultaten naar focus/prioriteiten - Goedkeuring uitwerking (door bestuur)

Waarom doen we dit eigenlijk? • Onoverzichtelijke chaos => Overzicht en prioriteiten

Waarom doen we dit eigenlijk? • Onoverzichtelijke chaos => Overzicht en prioriteiten

Hoe doen we dat? 1. Startblokken maken voor het verzinnen van risico’s • •

Hoe doen we dat? 1. Startblokken maken voor het verzinnen van risico’s • • • Welke bedrijfsmiddelen zijn er? Wat kan daarmee gebeuren? Wat is een risico? 2. Inventarisatie van risico’s • Een brainstorm van een uur 3. Discussie van risico’s • • Het met elkaar eens worden over de kans en de impact Het bij elkaar voegen in een Excel-overzicht van alle risico’s 4. Sorteren op de grootste risico’s 5. Definiëren van maatregelen voor de grootste risico’s 6. Een samenvatting ter goedkeuring door het bestuur

Startblokken voor inventarisatie risico’s • Om een goede risicoanalyse te doen, moet je beginnen

Startblokken voor inventarisatie risico’s • Om een goede risicoanalyse te doen, moet je beginnen met: • Een lijst van bedrijfsmiddelen • Een lijst van mogelijke bedreigingen • Een definitie van risico • Consensus over wat “klein” en “groot” is wanneer je het hebt over kans en impact • De volgende sheets geven hier voorbeelden van (volgens de MAPGOOD structuur). Wanneer je niet genoeg tijd hebt om dit in de risicoworkshop te doen, kun je deze gebruiken. • Op de handout bij de risicoworkshop staan deze ook.

Bedrijfsmiddelen: wat hebben we? • Mensen • Docenten • Omgeving • Bestuurder • Locatie

Bedrijfsmiddelen: wat hebben we? • Mensen • Docenten • Omgeving • Bestuurder • Locatie van de school • Administratie • Gevaarlijke stoffen in de buurt • Apparatuur • Organisatie • Servers • Imago • Laptops • • Printers Taken, bevoegdheden en verantwoordelijkheden • Programmatuur • Diensten door derden • Website • GWE • Applicaties • Internet • Gegevens • Software ontwikkelaars • Personeelsgegevens • Verzamelingen (databases)

Bedreigingen: wat kan ermee gebeuren? • Mensen • • • Wegvallen Onopzettelijke foutieve handelingen

Bedreigingen: wat kan ermee gebeuren? • Mensen • • • Wegvallen Onopzettelijke foutieve handelingen Opzettelijke foutieve handelingen • Apparatuur • • Veroudering & slijtage Vernieling • Programmatuur • • • Ontwerp en programmeerfouten Gebrekkig testen Virussen • Gegevens • • Fouten in rapportages Diefstal of zoekraken • Omgeving • • Natuurgeweld Terrorisme Uitval elektriciteit Brand • Organisatie • • Imagoschade Onduidelijke verantwoordelijkheden • Diensten door derden • • Uitval elektriciteit Faillissement, fusie en overname Niet nakomen verplichtingen Onvoldoende capaciteit

Risico’s • Een risico beschrijven we als volgt: • <Een gebeurtenis> • Leidt tot

Risico’s • Een risico beschrijven we als volgt: • <Een gebeurtenis> • Leidt tot <een gevolg> • Door <een oorzaak> • Een risico heeft ook een kans en een impact. • Bijvoorbeeld: • Een openstaande voordeur • Leidt tot diefstal van verschillende laptops • Door dat een medewerker de voordeur met een stoel open heeft laten staan • De kans dat dit gebeurt is klein. De impact hiervan is gemiddeld.

Wat is klein en wat is groot? • De inschatting van kans en impact

Wat is klein en wat is groot? • De inschatting van kans en impact is altijd subjectief. Door het gebruiken van dezelfde definities en onderling overleg wordt dit meer objectief. • Kans: kans op optreden van een risico • • • Klein kan minder dan jaarlijks voorkomen Middel kan meerdere keren per jaar voorkomen Groot kan dagelijks voorkomen • Impact: effect wanneer het risico optreed • • • Klein verstoring niet-primair proces, alleen intern merkbaar Middel verstoring primair proces, extern merkbaar, snel opgelost Groot verstoring primair proces, reputatieschade, langdurig

Inventarisatie risico’s • Op de muur hangen zeven flipover vellen met de zeven categorieën

Inventarisatie risico’s • Op de muur hangen zeven flipover vellen met de zeven categorieën bedrijfsmiddelen. • Neem drie kwartier de tijd om voor jezelf risico’s op te schrijven. • Plak deze vervolgens bij het bijbehorende bedrijfsmiddel. Hierdoor kun je de discussie ’per bedrijfsmiddel’ voeren.

Inventarisatie risico’s (tips) • Je zal merken dat oorzaak en gevolg soms door elkaar

Inventarisatie risico’s (tips) • Je zal merken dat oorzaak en gevolg soms door elkaar lopen. Dat is niet erg. Schrijf gewoon het risico op (vergeet de kans en impact niet) en wacht op de discussie. • De volgende vragen kunnen helpen om tot een risico te komen: • Aan welke oplossingen/maatregelen heb ik al eerder gedacht? • Welke apparaten gebruik ik elke dag? • Wanneer zullen we veel telefoontjes krijgen van ouders? • Waar hebben we eigenlijk geen zicht op? • Als je vragen hebt, stel ze openlijk. De vraag en het antwoord dragen bij aan de onderlinge afstemming.

Discussie risico’s • Voor elk risico discussiëren we kort het volgende: • Herkent iedereen

Discussie risico’s • Voor elk risico discussiëren we kort het volgende: • Herkent iedereen dit risico? • Wat vinden we van de kans? • Wat vinden we van de impact? • Dit is een goed moment om een Excel sheet te maken om alle risico’s in op te slaan. Een voorbeeld hiervan is bijgevoegd. • Aan het einde van de discussie kun je de risico’s sorteren zodat de grootste risico’s bovenaan staan. Hierdoor kun je gezamenlijk kijken of je herkent dat daadwerkelijke de grootste risico’s zijn en eventueel aanpassingen maken.

Voorbeeld uitkomst discussie risico’s

Voorbeeld uitkomst discussie risico’s

Vervolgstappen • Na de risicoworkshop is het nodig om maatregelen te selecteren bij de

Vervolgstappen • Na de risicoworkshop is het nodig om maatregelen te selecteren bij de meest belangrijke risico’s. • Op de site http: //ravib. nl kun je voorbeelden vinden van risico’s met de bijbehorende maatregelen. • Klik op inloggen met demo-account • Klik op nieuwe casus • Vul een naam in en klik op casus opslaan • Klik bij de casus op start • Klik op verder naar dreigingen • Klik op een dreiging om te zien wat voor maatregelen erbij passen

Schrijven van een samenvatting • Het is nuttig om een memo te schrijven met

Schrijven van een samenvatting • Het is nuttig om een memo te schrijven met de volgende struktuur: • Er is een risicoworkshop geweest op 2 februari 2016 met de volgende aanwezigen: … • Hieruit komen deze meest belangrijke risico’s: . . . (top 5 of top 10) • Op basis van deze risico’s en makkelijk te implementeren maatregelen willen we komend jaar deze maatregelen implementeren: . . . (10 -15 maatregelen) • Een voorbeeld van zo’n samenvatting is bijgevoegd. • De bestuurder kan hierdoor akkoord geven op de uitkomsten van de risicoanalyse en de geselecteerde maatregelen.

Afronding • De input van de risicoanalyse vormt het startpunt van een jaarlijkse verbetercyclus:

Afronding • De input van de risicoanalyse vormt het startpunt van een jaarlijkse verbetercyclus: 1. Q 1 (plan): Risicoinventarisatie en prioritering 2. Q 2 (do): Implementeren/verbeteren maatregelen 3. Q 3 (check): Evalatie en controle 4. Q 4 (act): Uitvoeren corrigerende maatregelen • Op de bijgevoegde jaarkalender (zie rechts) staan deze (en andere ondersteunende) activiteiten gepland voor 2016.

Opleiding VGMantenneleden 28 maart 2019 Risicoanalyse Risicoanalyse 1Opleiding VGMantenneleden 28 maart 2019 Risicoanalyse Risicoanalyse 1
Risicoanalyse waarom Het doel van de jaarlijkse risicoanalyseRisicoanalyse waarom Het doel van de jaarlijkse risicoanalyse
Introductie CIP Introductie CIP 2020 2 Introductie CIPIntroductie CIP Introductie CIP 2020 2 Introductie CIP
RISICOS IN BEELD WORKSHOP RISICOMANAGEMENTINSTRUMENT RISICOS IN BEELDRISICOS IN BEELD WORKSHOP RISICOMANAGEMENTINSTRUMENT RISICOS IN BEELD
Risicos uit de ondergrond risicos de ondergrond uitRisicos uit de ondergrond risicos de ondergrond uit
Machines en gereedschappen RISICOs Mechanische risicos Gegrepen doorMachines en gereedschappen RISICOs Mechanische risicos Gegrepen door
Privacy Law Security Introductie Agenda n Cursus IntroductiePrivacy Law Security Introductie Agenda n Cursus Introductie
Privacy Law Security Introductie Agenda n Cursus IntroductiePrivacy Law Security Introductie Agenda n Cursus Introductie
RJV Datum 14022017 RJV Datum 14022017 RJV DatumRJV Datum 14022017 RJV Datum 14022017 RJV Datum
RJV Datum 14022017 RJV Datum 14022017 RJV DatumRJV Datum 14022017 RJV Datum 14022017 RJV Datum
CRM Voorbeeld presentatie Datum Agenda Introductie aanleiding WatCRM Voorbeeld presentatie Datum Agenda Introductie aanleiding Wat
INTRODUCTIE BEDEVAART NAAR MEKKA IN MUSEUM VOLKENKUNDE INTRODUCTIEINTRODUCTIE BEDEVAART NAAR MEKKA IN MUSEUM VOLKENKUNDE INTRODUCTIE
OBSERVEREN EN RAPPORTEREN Lesweek 1 INTRODUCTIE Introductie inOBSERVEREN EN RAPPORTEREN Lesweek 1 INTRODUCTIE Introductie in
Veevoeding INTRODUCTIE Sijbren Mulder Lesagenda Introductie Verwachtingen naarVeevoeding INTRODUCTIE Sijbren Mulder Lesagenda Introductie Verwachtingen naar
Mindful ouders Introductie Mindful ouders Introductie Kennismakingsrondje MindfulnessMindful ouders Introductie Mindful ouders Introductie Kennismakingsrondje Mindfulness
Onderwerpen borden langs de wanden Introductie introductie vanOnderwerpen borden langs de wanden Introductie introductie van