Risicomanagement en informatiemanagement
Inventariseer, analyseer, beoordeel en evalueer de risico’s van jouw organisatie
Risicomanagement en beheersmaatregelen
Het PCT framework is opgebouwd uit vijf onderdelen. Deze vijf stappen maken deel uit van het Integrated Management System (IMS) in de PCT, het streven naar continue verbetering is een rode draad in dit systeem.
De vierde stap is risicomanagement en informatiemanagement; je inventariseert, analyseert, beoordeelt en evalueert de risico’s van jouw organisatie en stelt eventuele beheersmaatregelen op. Tevens is van belang hoe de gedocumenteerde informatie van jouw organisatie beschikbaar is en wordt gesteld én of deze informatie afdoende wordt beveiligd.
Risicomanagement en informatiemanagement bevat de volgende stappen:
- Risico inventarisatie
- Risicoanalyse
- Beheersmaatregelen vaststellen en implementeren
- Fysieke en informatiebeveiliging
- Bedrijfscontinuïteitsplannen
Informatiemanagement
Informatiemanagement richt zich op hoe er wordt om gegaan met informatie en data classificatie. Op welke manier wordt er om gegaan met gedocumenteerde informatie? Wat voor informatie valt het binnen het managementsysteem, hoe documenteer je dit en op welke manier zijn de processen hierop ingericht en vastgelegd?
Risico inventarisatie
De risico inventarisatie bekijk je welke risico’s jouw organisatie loopt. Zorg dat je zowel in- als externe risico’s in kaart brengt om zicht te krijgen op de kwetsbaarheden en bedreigingen van jouw organisatie.
Maak gebruik van de checklist risicoanalyse informatiebeveiliging, hier doorloop je de stappen voor het uitvoeren van een risicoanalyse. In de eerste stap van de risicoanalyse inventariseer en beoordeel je de risico’s voor jouw organisatie.
Risicoanalyse
Het framework van de PCT is dusdanig opgezet, dat je stap voor stap de risicoanalyse kunt uitvoeren voor jouw organisatie. Je wil als bedrijf inzicht hebben in de risico’s die van toepassing zijn op jouw organisatie. Omdat de risicoanalyse een belangrijk onderdeel vormt van jouw organisatie en informatiebeveiliging hebben wij hier een aparte pagina van gemaakt met de volgende onderdelen:
Beheersmaatregelen vaststellen en implementeren
Beheersmaatregelen worden in het Engels ‘Controls’ genoemd, dat zijn de maatregelen die je neemt om de risico’s van jouw organisatie te beheersen. De beheersmaatregelen volgen uit de risicoanalyse. Je stelt de beheersmaatregelen op en doet dit door te kijken naar de kosten om het risico te mitigeren en het effect wat de beheersmaatregel heeft op het potentiële risico. Je kunt beheersmaatregelen opstellen met als doel risico’s te vermijden, reduceren. Uiteraard kun je al organisatie ook risico’s accepteren.
De controls die zijn vastgesteld, dienen in de organisatie te worden geïmplementeerd.
Fysieke en informatiebeveiliging
Met de internationale norm ISO 27001 voor informatiebeveiliging, kun je als organisatie aantonen dat je op een verantwoorde en vertrouwelijke wijze omgaat met informatie en zorgt voor afdoende geïmplementeerde beveiligingsmaatregelen. Dit geldt voor beveiliging van de informatie binnen jouw organisatie en ook voor de beveiliging van fysieke onderdelen. Welke onderdelen dit betreft heb je bepaalt bij het opstellen van de benodigde bedrijfsmiddelen in de stap Mensen en middelen. Denk hierbij aan gebouwen, data, laptops, serverruimtes etc., en hoe deze beveiligd kunnen en moeten worden.
Bedrijfscontinuïteitsplannen
Business continuity management, ook wel bedrijfscontinuïteitsbeheer richt zich op de continuïteit van jouw dienstverlening en informatiebeveiliging. Je doorloopt de stappen in jouw bedrijfsproces of productieproces en gaat kijken welke afhankelijkheden hierin zitten en hoe jij de beschikbaarheid van informatie-verwerkende faciliteiten bewerkstelligt. De norm stelt dat je plannen ten aanzien jouw bedrijfscontinuïteit dient op te stellen. Wil je als organisatie een stapje verder gaan op het gebied van BCM, dan is er ook een extra BCM module ofwel ISO 22301 module in de PCT.