Risicobeoordelingsmethodologie
ISMS Copilot gebruikt een gestructureerde, herhaalbare risicobeoordelingsmethodologie om informatiebeveiligingsrisico's te identificeren, te beoordelen, te evalueren en te behandelen. Deze methodologie voldoet aan de eisen van ISO 27001 (clausules 6.1.1, 6.1.2, 6.1.3, 8.2, 8.3) en levert consistente, vergelijkbare resultaten op over verschillende beoordelingscycli.
Deze pagina beschrijft onze methodologie voor risicobeoordeling — hoe we risico's identificeren, scoren en behandelen. De feitelijke inhoud van het risicoregister is vertrouwelijk en wordt bijgehouden in onze beveiligde opslagplaats.
Risicocategorieën
We beoordelen risico's in vier categorieën die het volledige spectrum van bedreigingen voor ons platform en onze gebruikers dekken:
Beveiligingsrisico's — Ongeautoriseerde toegang, datalekken, gecompromitteerde toegangsgegevens, systeemmanipulatie
Operationele risico's — Beschikbaarheid van diensten, afhankelijkheid van derden, bedrijfscontinuïteit, capaciteit
Compliancerisico's — Overtredingen van regelgeving, contractbreuk, hiaten in certificering, auditbevindingen
AI-specifieke risico's — LLM-hallucinatie, prompt-injectie, AI-gegevensverwerking, modelbias, governance van providers
Risicobeoordelingsproces
Onze risicobeoordeling volgt een proces van vijf stappen:
Contextbeoordeling — Beoordeel de organisatorische context, dreigingsinformatie, incidentgeschiedenis en platformwijzigingen (clausule 4)
Risico-identificatie — Identificeer activa die risico lopen, bedreigingen, kwetsbaarheden en mogelijke gevolgen (clausule 6.1.2)
Risicoanalyse — Scoor elk risico op waarschijnlijkheid en impact met behulp van de onderstaande schalen (clausule 6.1.2)
Risico-evaluatie — Bereken de risicoscore en classificeer de ernst (clausule 6.1.2)
Risicobehandeling — Selecteer de behandelingsoptie en implementeer beheersmaatregelen (clausule 6.1.3)
Waarschijnlijkheidsschaal
Score | Niveau | Definitie | Indicatieve frequentie |
|---|---|---|---|
1 | Zeldzaam | Zou alleen onder uitzonderlijke omstandigheden kunnen voorkomen | Minder dan eens per 5 jaar |
2 | Onwaarschijnlijk | Zou kunnen voorkomen maar wordt niet verwacht | Eens per 1-5 jaar |
3 | Mogelijk | Zou op een bepaald moment kunnen voorkomen | Eens per jaar |
4 | Waarschijnlijk | Naar verwachting in de meeste omstandigheden | Meerdere keren per jaar |
5 | Bijna zeker | Wordt verwacht vaak voor te komen of komt al voor | Maandelijks of vaker |
Overwogen factoren: Of de aanvalsvector actief wordt misbruikt op vergelijkbare platforms, bestaande beheersmaatregelen die de waarschijnlijkheid verminderen, historische incidentgegevens, motivatie en capaciteit van aanvallers.
Impactschaal
Score | Niveau | Definitie | Voorbeelden |
|---|---|---|---|
1 | Verwaarloosbaar | Minimale of geen impact | Cosmetisch probleem, ongemak voor één gebruiker gedurende minuten |
2 | Gering | Beperkte impact; snel herstelbaar | Kortstondige degradatie van de dienst, kleine inconsistentie in gegevens (geen lek) |
3 | Matig | Merkbare impact; vereist inspanning om op te lossen | Gedeeltelijke uitval gedurende uren, verlies van een niet-kritieke functie |
4 | Groot | Aanzienlijke impact op operaties, gegevens of reputatie | Langdurige uitval, datalek bij meerdere gebruikers, melding aan toezichthouder vereist |
5 | Catastrofaal | Ernstige impact die de levensvatbaarheid van het bedrijf bedreigt | Massaal datalek, totaal verlies van de dienst, handhavingsmaatregelen door toezichthouder |
Overwogen factoren: Aantal getroffen gebruikers of records, of vertrouwelijke of beperkt toegankelijke gegevens zijn blootgesteld, wettelijke meldingsplichten, hersteltijd en -kosten, impact op klantvertrouwen.
Risicoscorematrix
Risicoscore = Waarschijnlijkheid x Impact (schaal van 1-25)
Scorebereik | Risiconiveau | Vereiste actie |
|---|---|---|
20-25 | Kritiek | Onmiddellijke mitigatie vereist; goedkeuring van CEO voor elk uitstel |
15-19 | Hoog | Aanpakken binnen 48 uur; behandelplan vereist |
8-14 | Gemiddeld | Aanpakken binnen 1-2 weken; inplannen voor volgende sprint |
1-7 | Laag | Monitoren en beoordelen; opportunistisch aanpakken |
Risicoscores worden automatisch berekend op basis van onze gestructureerde risicodefinities, waardoor handmatige fouten worden verminderd en consistentie tussen beoordelingscycli wordt gewaarborgd.
Risicobehandelingsopties
Voor elk risico boven de acceptabele drempel selecteren we een van de vier behandelingsopties:
Behandeling | Definitie | Wanneer gebruikt |
|---|---|---|
Mitigeren | Beheersmaatregelen implementeren om waarschijnlijkheid en/of impact te verminderen | Standaardoptie; de meeste risico's worden zo behandeld |
Accepteren | Het risico erkennen en monitoren zonder aanvullende maatregelen | Wanneer de kosten van mitigatie de potentiële impact overstijgen, of het restrisico binnen de tolerantie valt |
Overdragen | Het risico verschuiven naar een derde partij | Wanneer een provider beter gepositioneerd is om het risico te beheren |
Vermijden | Het risico elimineren door de activiteit of het activum te verwijderen | Wanneer het risico onacceptabel is en niet adequaat gemitigeerd kan worden |
Risicoacceptatiecriteria
Lage risico's (1-7) mogen worden geaccepteerd door de Engineering Lead
Gemiddelde risico's (8-14) vereisen medeweten van de CEO; kunnen worden geaccepteerd met een gedocumenteerde motivering
Hoge en Kritieke risico's (15+) vereisen expliciete goedkeuring van de CEO met gedocumenteerde rechtvaardiging, compenserende maatregelen en een herzieningsdatum
Structuur Risicoregister
Alle risico's worden gedocumenteerd als gestructureerde gegevensbestanden, georganiseerd per categorie (Beveiliging, Operationeel, Compliance, AI-specifiek). Elke risico-entry bevat:
Unieke identificatie, categorie en getroffen activum
Risicobeschrijving en aanvalsvector
Scores voor waarschijnlijkheid en impact
Toegewezen risico-eigenaar
Mitigatiestrategie en geïmplementeerde beheersmaatregelen
Herzieningsdatum en status
Afstemming op raamwerken (ISO 27001, SOC 2)
De inhoud van het risicoregister — inclusief specifiek geïdentificeerde risico's, scores en behandelingsdetails — is vertrouwelijk. Deze pagina beschrijft onze methodologie; het eigenlijke register wordt bijgehouden in onze beveiligde, versiebeheerde opslagplaats met beperkte toegang.
Risicobeoordelingsfrequentie
Activiteit | Frequentie |
|---|---|
Validatie risicoregister | Wekelijks (geautomatiseerd) |
Beoordeling hoge/kritieke risico's | Tweewekelijks |
Volledige beoordeling risicoregister | Per kwartaal |
Beoordeling op basis van triggers | Bij gebeurtenis (incident, nieuwe functie, architectuurwijziging, wijziging in regelgeving) |
Restrisico
Nadat beheersmaatregelen zijn toegepast, heeft elk risico een restrisiconiveau gescoord met dezelfde methodologie, maar die de toestand na de maatregelen weerspiegelt. Restrisico wordt gedocumenteerd in het risicoregister, gerapporteerd in de directiebeoordeling, en elk restrisico boven 'Gemiddeld' vereist een gedocumenteerde acceptatie met een herzieningsdatum.
Afstemming met incidenternst
Onze risicoscoring komt overeen met onze classificatie van incidenternst om een consistente respons te garanderen:
Risicoscore | Risiconiveau | Incidenternst | Response SLA |
|---|---|---|---|
20-25 | Kritiek | S0 | Inperking + mitigatie op dezelfde dag |
15-19 | Hoog | S1 | 48-uurs mitigatie |
8-14 | Gemiddeld | S2 | 1-2 weken |
1-7 | Laag | S3 | Backlog / monitoren |