De risicoanalyse van Jump bestaat uit een SWOT-analyse (hele MT), stakeholderanalyse (hele MT) en IB risicoanalyse (Quality & Security Officer). Er is rekening gehouden met risico’s voor de kwaliteit, informatiebeveiliging en algehele bedrijfsvoering van Jump.
De Technisch Directeur voert jaarlijks de risicoanalyses uit of evalueert de laatst uitgevoerde analyses, voorafgaand aan de Management Review (P-650).
Sommige risico's kunnen worden opgelost met hele concrete maatregelen.
Andere risico's zijn langlopende thema's die we als management adresseren in jaarplannen.
Deze jaarplannen komen terug in de doelstellingenlijst.
Ten eerste brengt Het MT in kaart welke stakeholders het bedrijf heeft. Dit bepaalt de directie aan de hand van de relevantie voor de bedrijfsvoering. De stakeholders zijn hiermee als volgt vastgesteld:
De directie voert de SWOT-analyse uit aan de hand van de relevante interne en externe onderwerpen en gaat vervolgens aan de slag met de gekozen stakeholders om vast te stellen welke behoefte and / or eisen deze stakeholdergroepen met zich meebrengen. De bevindingen worden per onderwerp vastgelegd in de analyses (B-400a).
Om in het kader van informatiebeveiliging haar risico’s in te schatten, bepaalt De directie aan de hand van de informatiebeveiligingsrisicoanalyse en de ISO 27001 Bijlage A de van toepassing zijnde risico's ten aanzien van informatiebeveiliging. Door de koppeling met Annex A is duidelijk hoe relevant de beheersmaatregelen uit Annex A voor de organisatie zijn, zodat evaluatie van de effectiviteit van de maatregelen kan worden getoetst en middelen op een zo efficiënt mogelijke manier door De directie kunnen worden ingezet.
De Technisch Directeur schat per onderwerp het risico in door een inschatting te maken van de impact van het risico en de waarschijnlijkheid dat het risico zich dit voordoet. De impact en waarschijnlijkheid is geclassificeerd van zeer laag (1) tot zeer hoog (5), de scores worden vervolgens vermenigvuldigd. Als de totale risicoscore 10 of hoger is, dienen beheersmaatregelen te worden bepaald om het risico te beperken of te elimineren.
De Technisch Directeur kan eventueel ook besluiten om een risico met een score van 10 te accepteren zonder aanvullende beheersmaatregelen te treffen indien de kosten en inspanningen van de mogelijke beheersmaatregel niet opweegt tegen de verkleining van het risico. Bij een risico met een score van 10 of hoger wordt geaccepteerd zonder beheersmaatregelen te treffen dient dit altijd te worden onderbouwd in de risicoanalyse, zodat hier in de toekomst op gemonitord kan worden. Echter, risico’s met een score van 15 of hoger mogen nooit worden geaccepteerd zonder aanvullende beheersmaatregelen te treffen in het belang van de continuïteit van de organisatie.
De Technisch Directeur stelt op basis van de stakeholderbelangen, de risico’s voor informatiebeveiliging en de huidige prestaties beheersmaatregelen/acties op (Plan van Aanpak) ter verbetering van de prestaties en het verkleinen van de risico’s. Per maatregel bepaalt de directie een tijdlijn voor het mitigeren van de geïdentificeerde risico’s en kansen. De risico-eigenaar is gespecificeerd per maatregel.
De maatregelen opgenomen in document B-640a KPI & Doelstellingen.
Het MT evalueert de prioriteiten tijdens de Quarterly. De Algemeen Directeur zorgt ervoor dat hier verslaglegging van is en de Technisch Directeur verwerkt de updates in de doelstellingensheet. Ook eventuele mutaties om een doelstelling te laten vervallen, of een nieuwe toe te voegen, worden besproken tijdens de sessie.
Hier worden in de notulen de besluiten vastgelegd.
De opvolging en evaluatie van de beheersmaatregelen wordt door de risico-eigenaren zo veel mogelijk bijgehouden in de tickets van de actielijst. Tijdens het kwartaaloverleg evalueren de risico-eigenaren de voortgang van risicomitigatie. Wanneer de maatregelen voor een risico zijn geïmplementeerd, wordt de maatregel opgenomen onder ‘genomen’ maatregelen en de impact vs. waarschijnlijkheid opnieuw beoordeeld. De risico-eigenaren beoordelen of dit restrisico geaccepteerd wordt of dat er verdere maatregelen moeten worden getroffen.
De Technisch Directeur is verantwoordelijk voor het beheer en actueel houden van de risicoanalyses. Hij/zij draagt er zorg voor dat het document actueel blijft en tenminste jaarlijks samen het MT wordt geëvalueerd voorafgaand aan de directiebeoordeling (P-650).