Samenvatting: Inleiding Risicomanagement
Minor: Informatieveiligheid in de Maatschappelijke Context.
De beginselen en de structuur van risico-analyses wordt hier behandeld, in het bijzonder in het licht
van continuïteitsmanagement. Dit wordt toegepast op aspecten en systemen die relevant zijn binnen
het thema informatieveiligheid. Als voorbeeld kan hierbij dienen: het maken van een risico-
inschatting ten aanzien van een systeem waarin persoonsgegevens en/of vertrouwelijke gegevens
zijn opgeslagen, en het voorstellen welke mitigerende maatregelen daarbij getroffen kunnen
worden.
Deze cursus sluit nauw aan bij de cursus "Inleiding ICT Security" (AIV-MIVIICT-17) van dezelfde minor,
welke parallel aan deze cursus gegeven wordt. Bij "Inleiding Risicomanagement" wordt meer
gekeken naar de generieke en beleidsmatige aspecten in samenhang met risico's, bij "Inleiding ICT
Security" wordt meer de technische kant van zaken belicht. Nadere informatie over deze cursus kan
worden gevonden in de studiehandleiding bij de Minor Informatieveiligheid in de maatschappelijke
context, welke ongeveer twee weken voor aanvang van de cursus via de cursussite beschikbaar zal
worden gemaakt.
Leerdoelen:
- Student laat zien dat hij algemene principes van risicomanagement zoals
bijvoorbeeld uit de ISO-normen 31000 dn 22301 (business continuity management)
correct kan toe passen.
- Student laat zien dat hij de basisprincipes van informatieveiligheid conform ISO
27001 correct kan toepassen.
- Student laat zien dat hij de risico’s rondom het gebruik van een ICT-systeem door en
organisatie kan analyseren.
- Student laat zien dat hij een informatieveiligheidssysteem kan evalueren langs de
normen ISO 27001.
1
,Weten voor het tentamen (inleiding risicomanagement):
Doorlezen:
- ISO 31000 – Risicomanagement
- ISO 27001 – Informatiebeveiliging
ISO 27002 – H16 + H17 (blz. 86-93)
- ISO 27031 – Business continuity management systems
- CSBN 2017 samenvatting + hoofdstukken 1 en 2.
Leren:
- Basiskennis informatiebeveiliging
o H15 t/m H18
o H9 + H10 overslaan!
- ISO 27002
o H16 + H17 (blz. 86-93)
- ISO 22301
o Doorlezen
o Zorg dat je de begrippen van H3 (blz. 11-18 kent).
- Risicomodellen (scan van het boek).
- Presentaties
- Begrippen:
o SLA (Service Level Agreement)
Overeenkomst waarin partijen beschrijven welke diensten ze verwachte en
hoe onder welke omstandigheden die uitgevoerd gaan worden.
o BCM (Business Continuity Management)
Managementproces waarin mogelijke bedreigingen voor een organisatie
worden geïdentificeerd en de mogelijke gevolgen voor de bedrijfsvoering als
die bedreigingen zich werkelijk manifesteren, en dat een kader biedt om het
weerstandsvermogen en de veerkracht van de organisatie te versterken,
zodat de organisatie doeltreffend kan reageren om de belangen van
belanghebbenden, reputatie, merk en waarde creërende activiteiten veilig te
stellen.
o BRP (Business Recovery Plan)
o BCP (Business Continuity Planning)
Waarin de continuïteit van de bedrijfsprocessen gewaarborgd worden.
o KPI (Kritieke Prestatie Indicator)
o BIA (Business Impact Analyse)
De gevolgen van rampen, beveiligingsincidenten en de uitval van diensten
worden beoordeel in een Business Impact Analyse.
o RPO (Recovery point objective)
Maximala aanvaardbaar data verlies.
2
,o RTO (Recovery time objective)
Tijdperiode na een incidenten waarbinnen
Productlevering of dienstverlening moet worden hervat, of
Activiteit moet worden hervat, of
Middelen hersteld moeten zijn.
o MAO (Maximale aanvaardbare uitvalsduur)
o MTPD (Maximaal toelaatbare periode van verstoring)
o MBCO (Minimumdoelstelling voor bedrijfscontinuïteit)
Minimumniveau van levering van diensten en/of producten dat aanvaardbaar
is voor de organisatie om haar bedrijfsdoelstellingen tijdens een verstoring te
kunnen behalen
3
, Les 1 – Introductie risico’s en risicomanagement
Risicomaatschappij
Een fundamentele onzekerheid over:
- De gevaren die ons bedreigen
- Wie er verantwoordelijk is
Risicobeleving
- Hoe hoger de graad van veiligheid, hoe groter het gevoel bedreigd te zijn.
Risico
Metafoor voor: “moeilijkheden te vermijden op zee”. Vanaf middeleeuwen werd de term
Rysigo gebruikt voor het durven, ondernemen of te hopen op financieel succes.
Definities van risico
- Kans op bepaald verlies, Meetbare onzekerheid
- Effect van onzekerheid op het behalen van doelstellingen
- Risico = Kans Keer Effect
Maar: risico niet altijd negatief. Er is altijd sprake van zowel goede als kwade kansen.
- Zoals overleven, financiële winst, vermaak, adrenaline.
Veiligheid
- Veiligheid is toestand van veilig zijn, vrij van gevaar, risico of letsel.
- Risico is het centrale begrip in de veiligheid. ‘Risico’ is als concept een aanvulling op
‘gevaar’.
Omgang met risico’s: pech moet weg
- Mensen accepteren in afnemende mate dat ze risico’s lopen;
- Als het misgaat, kijkt iedereen naar de overheid;
- Risico-regel-reflex: er moet gelijk actie ondernomen worden bij een risico. Er moet
iemand de schuld krijgen. Overheid doe er maar wat tegen. De overheid moet het
voor ons regelen. (Iedereen kijkt automatisch naar de overheid)
- Nederlander meest verzekerd
4
Minor: Informatieveiligheid in de Maatschappelijke Context.
De beginselen en de structuur van risico-analyses wordt hier behandeld, in het bijzonder in het licht
van continuïteitsmanagement. Dit wordt toegepast op aspecten en systemen die relevant zijn binnen
het thema informatieveiligheid. Als voorbeeld kan hierbij dienen: het maken van een risico-
inschatting ten aanzien van een systeem waarin persoonsgegevens en/of vertrouwelijke gegevens
zijn opgeslagen, en het voorstellen welke mitigerende maatregelen daarbij getroffen kunnen
worden.
Deze cursus sluit nauw aan bij de cursus "Inleiding ICT Security" (AIV-MIVIICT-17) van dezelfde minor,
welke parallel aan deze cursus gegeven wordt. Bij "Inleiding Risicomanagement" wordt meer
gekeken naar de generieke en beleidsmatige aspecten in samenhang met risico's, bij "Inleiding ICT
Security" wordt meer de technische kant van zaken belicht. Nadere informatie over deze cursus kan
worden gevonden in de studiehandleiding bij de Minor Informatieveiligheid in de maatschappelijke
context, welke ongeveer twee weken voor aanvang van de cursus via de cursussite beschikbaar zal
worden gemaakt.
Leerdoelen:
- Student laat zien dat hij algemene principes van risicomanagement zoals
bijvoorbeeld uit de ISO-normen 31000 dn 22301 (business continuity management)
correct kan toe passen.
- Student laat zien dat hij de basisprincipes van informatieveiligheid conform ISO
27001 correct kan toepassen.
- Student laat zien dat hij de risico’s rondom het gebruik van een ICT-systeem door en
organisatie kan analyseren.
- Student laat zien dat hij een informatieveiligheidssysteem kan evalueren langs de
normen ISO 27001.
1
,Weten voor het tentamen (inleiding risicomanagement):
Doorlezen:
- ISO 31000 – Risicomanagement
- ISO 27001 – Informatiebeveiliging
ISO 27002 – H16 + H17 (blz. 86-93)
- ISO 27031 – Business continuity management systems
- CSBN 2017 samenvatting + hoofdstukken 1 en 2.
Leren:
- Basiskennis informatiebeveiliging
o H15 t/m H18
o H9 + H10 overslaan!
- ISO 27002
o H16 + H17 (blz. 86-93)
- ISO 22301
o Doorlezen
o Zorg dat je de begrippen van H3 (blz. 11-18 kent).
- Risicomodellen (scan van het boek).
- Presentaties
- Begrippen:
o SLA (Service Level Agreement)
Overeenkomst waarin partijen beschrijven welke diensten ze verwachte en
hoe onder welke omstandigheden die uitgevoerd gaan worden.
o BCM (Business Continuity Management)
Managementproces waarin mogelijke bedreigingen voor een organisatie
worden geïdentificeerd en de mogelijke gevolgen voor de bedrijfsvoering als
die bedreigingen zich werkelijk manifesteren, en dat een kader biedt om het
weerstandsvermogen en de veerkracht van de organisatie te versterken,
zodat de organisatie doeltreffend kan reageren om de belangen van
belanghebbenden, reputatie, merk en waarde creërende activiteiten veilig te
stellen.
o BRP (Business Recovery Plan)
o BCP (Business Continuity Planning)
Waarin de continuïteit van de bedrijfsprocessen gewaarborgd worden.
o KPI (Kritieke Prestatie Indicator)
o BIA (Business Impact Analyse)
De gevolgen van rampen, beveiligingsincidenten en de uitval van diensten
worden beoordeel in een Business Impact Analyse.
o RPO (Recovery point objective)
Maximala aanvaardbaar data verlies.
2
,o RTO (Recovery time objective)
Tijdperiode na een incidenten waarbinnen
Productlevering of dienstverlening moet worden hervat, of
Activiteit moet worden hervat, of
Middelen hersteld moeten zijn.
o MAO (Maximale aanvaardbare uitvalsduur)
o MTPD (Maximaal toelaatbare periode van verstoring)
o MBCO (Minimumdoelstelling voor bedrijfscontinuïteit)
Minimumniveau van levering van diensten en/of producten dat aanvaardbaar
is voor de organisatie om haar bedrijfsdoelstellingen tijdens een verstoring te
kunnen behalen
3
, Les 1 – Introductie risico’s en risicomanagement
Risicomaatschappij
Een fundamentele onzekerheid over:
- De gevaren die ons bedreigen
- Wie er verantwoordelijk is
Risicobeleving
- Hoe hoger de graad van veiligheid, hoe groter het gevoel bedreigd te zijn.
Risico
Metafoor voor: “moeilijkheden te vermijden op zee”. Vanaf middeleeuwen werd de term
Rysigo gebruikt voor het durven, ondernemen of te hopen op financieel succes.
Definities van risico
- Kans op bepaald verlies, Meetbare onzekerheid
- Effect van onzekerheid op het behalen van doelstellingen
- Risico = Kans Keer Effect
Maar: risico niet altijd negatief. Er is altijd sprake van zowel goede als kwade kansen.
- Zoals overleven, financiële winst, vermaak, adrenaline.
Veiligheid
- Veiligheid is toestand van veilig zijn, vrij van gevaar, risico of letsel.
- Risico is het centrale begrip in de veiligheid. ‘Risico’ is als concept een aanvulling op
‘gevaar’.
Omgang met risico’s: pech moet weg
- Mensen accepteren in afnemende mate dat ze risico’s lopen;
- Als het misgaat, kijkt iedereen naar de overheid;
- Risico-regel-reflex: er moet gelijk actie ondernomen worden bij een risico. Er moet
iemand de schuld krijgen. Overheid doe er maar wat tegen. De overheid moet het
voor ons regelen. (Iedereen kijkt automatisch naar de overheid)
- Nederlander meest verzekerd
4
