Risico-control

Beveiligingsprincipe
ID:	Cloud_C.02
Versie:	1.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	26-2-2020
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	26-2-2020
Indeling
Beveiligingsaspect:	Control
Invalshoek:	Intentie

Verwante principes

→ BIO Thema Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Risico-control is het monitoren en reviewen van de activiteiten van risico-assessment in relatie met risico-management. Het monitoren en reviewen van risico’s is noodzakelijk omdat risico-factoren: waarde van assets, impact, dreigingen, zwakheden en kans op voorkomen steeds veranderen. Risico-control kan ondersteund worden door extern verkregen informatie aangaande dreigingen en zwakheden.

Criterium

Het risicomanagement- en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Control
valt binnen de IFGS-indeling IFGS Intentie
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27005 (2008E) 12.1 en 12.2

Onderliggende normen

ID	Conformiteitsindicator	Stelling
Cloud_C.02.01	gemonitord en gereviewd	De CSP verifieert regelmatig de criteria die gebruikt worden om de risico te meten en om vast te stellen of ze steeds consistent zijn met organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen.
Cloud_C.02.02	gemonitord en gereviewd	De vastgesteld risico’s worden in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact, te worden gemonitord en geëvalueerd, om een complete risico beeld te behouden en tijdig veranderingen vast te (kunnen) stellen.
Cloud_C.02.03	gemonitord en gereviewd	De CSP zal, met betrekking tot het monitoren van risico, zich continu richten op: nieuwe assets die deel behoren uit te maken van de scope van risico-assessment; veranderingen in de waarde van assets; de mogelijkheid dat nieuwe of toegenomen zwakheden kunnen leiden tot dreigingen; de mogelijkheid dat eerder vastgestelde zwakheden aan nieuwe dreigingen blootstaan; toegenomen impact of consequenties van de beoordeelde risico’s en zwakheden resulterend in een onacceptabel risiconiveau; informatiebeveiligingsincidenten.
Cloud_C.02.04	gemonitord en gereviewd	De CSP voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s.
Cloud_C.02.05	gemonitord en gereviewd	Bij het monitoring en reviewen worden onder andere de volgende elementen geadresseerd: wet- en regelgeving en organisatorische/technische context; risico-assessmentaanpak; waarde assets en categorieën; risico-evaluatie-criteria; risico-acceptatie-criteria.