Risicomanagement

Uit NORA Online
ISOR:Risicomanagement
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

De clouddiensten zijn voortdurend onderhevig aan dreigingen, zwakheden en risico’s. Het is van belang om een risicomanagementproces in te richten en de verantwoordelijkheden hiervoor te benoemen, waarbij een risicomanagementaanpak (methode) en de te hanteren scope worden vastgesteld. Hierbij gaat het om het identificeren en kwantificeren van risico’s ten aanzien van de clouddiensten en het vaststellen van beheersmaatregelen. Met beheersmaatregelen worden de activiteiten bedoeld waarmee de kans van optreden en/of de gevolgen van een incident wordt beperkt.

Het risicomanagementproces maakt onderdeel uit van een Information Security Management Systeem (ISMS), zoals beschreven is in de ISO 27001 en is uitgewerkt in de ISO 27005.


Criterium

De CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 31000 (2018) , Cloud Security Alliance (CSA) GRM, IT-Grundschutz (Basis für Informationssicherheit) C5 OIS-06, SoGP (Standard of Good Practice for Information Security) IR, ISO 27005 (2018)

Onderliggende normen

IDConformiteitsindicatorStellingPagina
Cloud_B.06.01verantwoordelijkhedenDe verantwoordelijkheden van de CSP zijn onder andere:
  • het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP;
  • het identificeren van analyses van de stakeholders;
  • het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen;
  • het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
Hebben CSP-verantwoordelijkheden
Cloud_B.06.02verantwoordelijkhedenDe organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.Goedkeuren organisatie van risicomanagementproces
Cloud_B.06.03risicomanagementprocesHet risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.Beschrijven risicomanagementproces