ISOR:Risico-control: verschil tussen versies

Uit NORA Online
ISOR:Risico-control
Naar navigatie springen Naar zoeken springen
(tekst in lijn met v1.0 gebracht)
(update naar versie 2.0)
Regel 2: Regel 2:
|Elementtype=Beveiligingsprincipe
|Elementtype=Beveiligingsprincipe
|ID=CLD_C.02
|ID=CLD_C.02
|Titel=Risk Control
|Titel=Risico-control
|Versieaanduiding=1.0
|Versieaanduiding=2.0
|Status actualiteit=Actueel
|Status actualiteit=Actueel
|Redactionele wijzigingsdatum=2021/07/16
|Redactionele wijzigingsdatum=2021/08/18
|Publicatiedatum=26-02-2020
|Publicatiedatum=2021/06/01
|Beschrijving=Risk Control is het monitoren en reviewen van de activiteiten van risico-assessment in relatie met risico-management. Het monitoren en reviewen van risico’s is noodzakelijk omdat risico-factoren: waarde van assets, impact, dreigingen, zwakheden en kans op voorkomen steeds veranderen. Risico-control kan ondersteund worden door extern verkregen informatie aangaande dreigingen en zwakheden.
|Beschrijving===Definitie==
|Criterium=Het risico management- en het risico assessment proces behoren continu te worden ''gemonitord en gereviewd'' en zo nodig te worden verbeterd.
Betreft het beoordelen van continu onderzoek naar dreigingen en kwetsbaarheden en het beoordelen van het beheersen van de onderkende risico’s.
==Toelichting==
Risico-control is het monitoren en reviewen van activiteiten van de risico-assessment in relatie met risicomanagement. Het monitoren en reviewen van risico’s is noodzakelijk omdat risicofactoren: waarde van assets, impact, dreigingen, zwakheden en kans op voorkomen steeds veranderen. Risico-control kan ondersteund worden door extern verkregen informatie over dreigingen en zwakheden.
|Criterium=Risicomanagement en het risico-assessmentproces behoren continu te worden ''gemonitord en gereviewd'' en zo nodig te worden verbeterd.
|Doelstelling=Tijdig nagaan of er veranderingen aanwezig zijn die van invloed zijn op de uitkomst van de risico-assessment.
|Risico=Het niet of te laat anticiperen op risicofactoren die van invloed zijn op de uitkomst van de risico-assessment.
|Beveiligingsaspect=Control
|Beveiligingsaspect=Control
|Invalshoek=Intentie
|Invalshoek=Intentie
|Grondslag=* NEN-ISO/IEC 27005:2018 (Information security risk management): 12.1 en 12.2
|Grondslag=* NEN-ISO/IEC 27005:2018 (Information security risk management): 12.1 en 12.2
|Conformiteitsindicator=gemonitord en gereviewd
|Conformiteitsindicator=Gemonitord en gereviewd
|Heeft bron=BIO Thema Clouddiensten
|Heeft bron=BIO Thema Clouddiensten
|Status Actualiteit=Actueel
|Status Actualiteit=Actueel
|Heeft ouder=ISOR:BIO Thema Clouddiensten Control
|Heeft ouder=ISOR:BIO Thema Clouddiensten Control
}}
}}

Versie van 18 aug 2021 15:24

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)
ID: CLD_C.02
Beveiligingsprincipe
Versie: 2.0
Status: Actueel
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 10-1-2022
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de C van Control
Control
Invalshoek:
Blauw vierkant kader met daarin in wit de I van Intentie

Intentie

Verwante principes

BIO Thema-uitwerking Clouddiensten
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Definitie

Betreft het beoordelen van continu onderzoek naar dreigingen en kwetsbaarheden en het beoordelen van het beheersen van de onderkende risico’s.

Toelichting

Risico-control is het monitoren en reviewen van activiteiten van de risico-assessment in relatie met risicomanagement. Het monitoren en reviewen van risico’s is noodzakelijk omdat risicofactoren: waarde van assets, impact, dreigingen, zwakheden en kans op voorkomen steeds veranderen. Risico-control kan ondersteund worden door extern verkregen informatie over dreigingen en zwakheden.


Criterium

Risicomanagement en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.

Doelstelling

Tijdig nagaan of er veranderingen aanwezig zijn die van invloed zijn op de uitkomst van de risico-assessment.

Risico

Het niet of te laat anticiperen op risicofactoren die van invloed zijn op de uitkomst van de risico-assessment.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27005:2018 (Information security risk management) 12.1 en 12.2

Onderliggende normen

IDConformiteitsindicatorStelling
CLD_C.02.01 Gemonitord en gereviewd

De Cloud Service Provider (CSP) verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen.

CLD_C.02.02 Gemonitord en gereviewd

Vastgestelde risico’s dienen in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact te worden gemonitord en geëvalueerd, om een compleet risicobeeld te behouden en tijdig veranderingen vast te (kunnen) stellen.

CLD_C.02.03 Gemonitord en gereviewd

De Cloud Service Provider (CSP) zal voor het monitoren van risico’s zich continu richten op:

  • nieuwe assets die deel behoren uit te maken van het toepassingsgebied van een risico-assessment;
  • veranderingen in de waarde van assets;
  • de mogelijkheid dat nieuwe of toegenomen zwakheden kunnen leiden tot dreigingen;
  • de mogelijkheid dat eerder vastgestelde zwakheden aan nieuwe dreigingen blootstaan;
  • toegenomen impact of consequenties van de beoordeelde risico’s en zwakheden resulterend in een onacceptabel risiconiveau;
  • informatiebeveiligingsincidenten.
CLD_C.02.04 Gemonitord en gereviewd

De Cloud Service Provider (CSP) voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s.

CLD_C.02.05 Gemonitord en gereviewd

Bij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd:

  • wet- en regelgeving en organisatorische/technische context;
  • risico-assessmentaanpak;
  • waarde assets en categorieën;
  • risico-evaluatiecriteria;
  • risico-acceptatiecriteria.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

De omschrijving van het functionele gebruik van de voorziening

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Risico-control&oldid=54618"