momentum 1momentum 2momentum 3momentum 4

Risicomanagement bij beheersing bedrijfsprocessen

Organisaties dienen in toenemende mate aantoonbaar te maken dat zij voldoen aan de van toepassing zijnde wet- en regelgeving. De vraag is hoe op een snelle en effectieve wijze risico’s kunnen worden geïnventariseerd en de vereiste maatregelen kunnen worden bepaald voor een volledige beheersbaarheid.

 

De basis voor deze methodiek is gelegd met de procesgeoriënteerde aanpak voor de toepassing van informatiebeveiliging. Naast de beveiliging van ICT-voorzieningen zijn ook maatregelen nodig in de organisatie, omdat daar de meeste beveiligingsincidenten zich voordoen. Met een focus op processen is er ook een sterk aangrijpingspunt voor het realiseren van verbeteringen.

 

In de organisatie worden de relevante processen geïdentificeerd en de relaties met informatie en informatiesystemen worden geïnventariseerd. Het belang van het proces in termen van het financiële risico, het imagorisico, het klantrisico en het publiek wettelijk belang wordt bepaald. Tevens wordt samen met de proceseigenaar de gevoeligheid van het proces voor de bedreigingen bepaald in termen van kans en schade. Op basis van het product van kans en schade wordt de risicoklasse bepaald. Op basis van de score van de risicoklasse worden de noodzakelijke maatregelen bepaald.

Bij de toepassing in de praktijk is een sterke betrokkenheid en draagvlak van proceseigenaren gebleken. De opzet van de registratie geeft de organisatie een goed inzicht in de relaties tussen organisatie, processen, informatieobjecten, ICT-systemen, bedreigingen en maatregelen.

De methodiek is verbreed door van één norm naar een relevante verzameling van normen te hanteren. Met deze aanpak worden naast de hiervoor genoemde voordelen ook nog de volgende voordelen bereikt: