Risicoanalyse informatiebeveiliging

Schema A en K analyseDe toezichthouders Inspectie Gezondheidzorg en Autoriteit Persoonsgegevens eisen dat zorginstellingen, in het kader van het op orde brengen van de informatieprocessen, een Risicoanalyse Informatiebeveiliging uit te (laten) voeren volgens een geaccepteerde methode.

Er zijn verschillende methoden. Wij voeren de risicoanalyse uit volgens de aanpak van de Afhankelijkheden en Kwetsbaarheden analyse (A en K analyse) zoals door de overheid werd uitgewerkt in het kader van het Voorschrift Informatiebeveiliging Rijksdienst (VIR 1994). Ook zijn wij goed thuis in de norm NEN 27005.

In de Risicoanalyse Informatiebeveiliging wordt eerst geïnventariseerd welke processen, informatiesystemen of andere delen van de informatievoorziening echt belangrijk zijn voor de organisatie. Hierbij worden vragen beantwoord zoals "Hoe lang mag het systeem (of proces) maximaal uitvallen?", "Hoe erg is het als het toch langer is?", "Bestaat er gevaar als er fouten in de gegevens zitten?" en "Wat gebeurt er als de gegevens uitlekken?".

Vervolgens worden aan de hand van verschillende checklists, gebaseerd op normen zoals de NEN 7510 en de ISO 27001 en 27002, geïnventariseerd welke maatregelen er allemaal zijn genomen. Deze maatregelen worden beoordeeld en gewogen. Bij de maatregelen horen vragen als "Is een informatiebeveiligingsbeleid vastgelegd?", "Is er een continuïteitsplan?", "Is het autorisatiebeheer op orde?", "Zijn de rechten en de verantwoordelijkheden goed belegd?" en "Hoe werken beleid en plannen in de praktijk?".

De Afhankelijkheden en de maatregelen worden met elkaar geconfronteerd en specifiek gemaakt voor de onderdelen van de informatievoorziening. Zo worden de Kwetsbaarheden inzichtelijk. 

De Toezichthouders accepteren deze vorm van Risicoanalyse in een verplichte audit informatiebeveiliging.

Een duidelijke brochure is op aanvraag beschikbaar beschikbaar.