ISOR:Risico-control: verschil tussen versies
(tekst in lijn met v1.0 gebracht) |
(update naar versie 2.0) |
||
Regel 2: | Regel 2: | ||
|Elementtype=Beveiligingsprincipe | |Elementtype=Beveiligingsprincipe | ||
|ID=CLD_C.02 | |ID=CLD_C.02 | ||
|Titel= | |Titel=Risico-control | ||
|Versieaanduiding= | |Versieaanduiding=2.0 | ||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum=2021/ | |Redactionele wijzigingsdatum=2021/08/18 | ||
|Publicatiedatum= | |Publicatiedatum=2021/06/01 | ||
|Beschrijving= | |Beschrijving===Definitie== | ||
|Criterium= | Betreft het beoordelen van continu onderzoek naar dreigingen en kwetsbaarheden en het beoordelen van het beheersen van de onderkende risico’s. | ||
==Toelichting== | |||
Risico-control is het monitoren en reviewen van activiteiten van de risico-assessment in relatie met risicomanagement. Het monitoren en reviewen van risico’s is noodzakelijk omdat risicofactoren: waarde van assets, impact, dreigingen, zwakheden en kans op voorkomen steeds veranderen. Risico-control kan ondersteund worden door extern verkregen informatie over dreigingen en zwakheden. | |||
|Criterium=Risicomanagement en het risico-assessmentproces behoren continu te worden ''gemonitord en gereviewd'' en zo nodig te worden verbeterd. | |||
|Doelstelling=Tijdig nagaan of er veranderingen aanwezig zijn die van invloed zijn op de uitkomst van de risico-assessment. | |||
|Risico=Het niet of te laat anticiperen op risicofactoren die van invloed zijn op de uitkomst van de risico-assessment. | |||
|Beveiligingsaspect=Control | |Beveiligingsaspect=Control | ||
|Invalshoek=Intentie | |Invalshoek=Intentie | ||
|Grondslag=* NEN-ISO/IEC 27005:2018 (Information security risk management): 12.1 en 12.2 | |Grondslag=* NEN-ISO/IEC 27005:2018 (Information security risk management): 12.1 en 12.2 | ||
|Conformiteitsindicator= | |Conformiteitsindicator=Gemonitord en gereviewd | ||
|Heeft bron=BIO Thema Clouddiensten | |Heeft bron=BIO Thema Clouddiensten | ||
|Status Actualiteit=Actueel | |Status Actualiteit=Actueel | ||
|Heeft ouder=ISOR:BIO Thema Clouddiensten Control | |Heeft ouder=ISOR:BIO Thema Clouddiensten Control | ||
}} | }} |
Versie van 18 aug 2021 15:24
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Verwante principes |
Definitie
Betreft het beoordelen van continu onderzoek naar dreigingen en kwetsbaarheden en het beoordelen van het beheersen van de onderkende risico’s.
Toelichting
Risico-control is het monitoren en reviewen van activiteiten van de risico-assessment in relatie met risicomanagement. Het monitoren en reviewen van risico’s is noodzakelijk omdat risicofactoren: waarde van assets, impact, dreigingen, zwakheden en kans op voorkomen steeds veranderen. Risico-control kan ondersteund worden door extern verkregen informatie over dreigingen en zwakheden.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Control;
- valt binnen de Invalshoek Intentie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is NEN-ISO/IEC 27005:2018 (Information security risk management) 12.1 en 12.2
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
CLD_C.02.01 | Gemonitord en gereviewd |
De Cloud Service Provider (CSP) verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen. |
CLD_C.02.02 | Gemonitord en gereviewd |
Vastgestelde risico’s dienen in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact te worden gemonitord en geëvalueerd, om een compleet risicobeeld te behouden en tijdig veranderingen vast te (kunnen) stellen. |
CLD_C.02.03 | Gemonitord en gereviewd |
De Cloud Service Provider (CSP) zal voor het monitoren van risico’s zich continu richten op:
|
CLD_C.02.04 | Gemonitord en gereviewd |
De Cloud Service Provider (CSP) voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s. |
CLD_C.02.05 | Gemonitord en gereviewd |
Bij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd:
|