Het beheer en onderhoud van informatiesystemen kent diverse risico’s. Het is belangrijk om inzicht te hebben in de relevante risico’s en om ze te beheersen.
Toetsaspecten voor dit risicogebied
1. Risicobeheersing is structureel verankerd
De eigenaar van het informatiesysteem en het management van de beheersorganisatie hebben structureel oog voor risico’s op het gebied van beheer en onderhoud. Het gaat om risico’s enerzijds op politiek, bestuurlijk, juridisch en organisatorisch niveau, anderzijds op operationeel en technisch niveau. Op basis van periodieke risicoanalyses worden de risico’s in beeld gebracht en worden mitigerende maatregelen met de juiste urgentie opgepakt. Dit is een continu proces.
2. De organisatie bewaakt de effectiviteit van de getroffen maatregelen
Omdat de omgeving en de organisatie gedurende de tijd kunnen veranderen, wordt de effectiviteit van maatregelen die risico’s inperken, structureel gemonitord. De beheersorganisatie stelt ze zo nodig bij.
3. Er is openheid en transparantie over risico’s
Als medewerkers van de organisatie risico’s delen, geeft dit kansen om ze effectief te identificeren, toe te wijzen en er maatregelen tegen te nemen.
4. Er is voldoende aandacht voor risico’s voor informatiebeveiliging en strategische digitale veiligheid
In de risicobeheersing rond het informatiesysteem krijgt informatiebeveiliging voldoende aandacht. Bij het uitvoeren van risicoanalyses wordt ook bepaald wat de kans is op inbreuk en (gegevens)diefstal door statelijke
actoren, georganiseerde misdaad en eventueel hacktivisten of extremistische groepen.
5. Risico’s door afhankelijkheden van ketenpartners worden beheerst
De organisatie heeft inzicht in afhankelijkheden van bijvoorbeeld projecten, ketenafspraken, releases van andere informatiesystemen, relaties met wet- en regelgeving, en diensten van en koppelvlakken met derden.
6. Continuïteits- en concentratierisico’s krijgen voldoende aandacht
Continuïteits- en concentratierisico’s met betrekking tot leveranciers waarvan het informatiesysteem afhankelijk is, worden geadresseerd in het risicomanagement.
Meer informatie
Deze documenten en links geven meer informatie over dit risicogebied:
Internationale standaarden
- Informatiebeveiliging, ISO/IEC 27001 & 27002
- Risico Management, ISO 31000:2018
- Enterprise Risk Management — Integrated Framework, COSO 2017
- COBIT, COBIT 2019 Framework: Governance and Management Objectives. ISACA, 2019
- NIS2
Rijksstandaarden en methodieken
- Routekaart Risicomanagement Nationaal Cyber Security Centrum
- Baseline Informatiebeveiliging Overheid (BIO2)
Interessante publicaties en artikelen