Stappenplan - Risicoanalyses

Stap voor stap aan de slag met Normity

In Normity kun je al je risicoanalyses en daarbij behorende risico's beheren. Daarvoor is een aparte module beschikbaar, genaamd... Risicoanalyse! Je kunt daarbij zoveel risicoanalyses vastleggen als je zelf wilt. Door toepassing van één van de beschikbare dreigingsmodellen kun je bovendien snel de belangrijkste risico's identificeren. Hieronder nemen we je stapsgewijs mee bij het vastleggen van de resultaten van een dergelijke risicoanalyse.

Het resultaat van een risicoanalyse is over het algemeen een set geconstateerde risico's (inclusief een beoordeling en daarbij behorende maatregelen om het risico beheersbaar te maken of te houden). Dit gaan we allemaal in Normity vastleggen. We gaan er hierbij vanuit dat alle risico's bij elkaar horen binnen éé risicoanalyse, maar je kunt in Normity natuurlijk ook gewoon losse risico's vastleggen. Zo'n individueel risico bestaat in de praktijk dan weer uit zaken als een beoordeling, aanpak, status, type, voortgang, documenten, acties die uit het risico voortvloeien etc. etc. Maar daar komen we straks op terug. Eerst maar eens het begin!

Gebruik voorbereiden

Ga je met de risico's aan de slag, dan is het goed om eerst even stil te staan bij een aantal keuzes die je moet gaan maken. In onze Getting Started vertellen we je daar al wat meer over. Maar ook in Normity zelf moet je alvast wat voorbereidingen treffen. Om te beginnen zijn daar de stamtabellen. Hierover lees je meer in het onderdeel basisinformatie. Belangrijk daarbij is het kleurschema dat je gaat hanteren voor de risicomatrix.

Een risicomatrix is een matrix waarop risico's geplot worden. Over het algemeen wordt daarbij gebruik gemaakt van een score, gebaseerd op de kans dat het risico zich voordoet en de impact die het risico heeft. Deze matrices zijn er zowel in 3x3 (dus 9 mogelijke uitkomsten) en 5x5 (dus 25 mogelijke uitkomsten). Je geeft vervolgens iedere resulterende score een beoordeling (Laag, Gemiddeld, Hoog) en een daarbij behorende kleur. In Normity kun je zelf bepalen welke score welke beoordeling en welke kleur heeft. Dit pas je als volgt aan:

Klik in het menu op 'Beheer'
Klik op de tegel 'Risico's'
Klik op het tabblad 'Kleurschema'

Normity - Kleurschema en niveau voor risicomatrices

Op diezelfde plek kun je overigens ook labels beheren. Labels zijn niet verplicht, maar kunnen wel helpen bij het categoriseren van risico's. Meer informatie hierover vind je dus bij de basisinformatie.

In de afbeelding hierboven zie je de algemene indeling in 3 niveau's (Laag, Gemiddeld, Hoog). Via de klantinstellingen is het ook mogelijk om een vierde niveau te activeren: Significant. Dit is vanzelfsprekend alleen relevant wanneer jouw organisatie gebruik maakt van 4 in plaats van 3 risiconiveau's. In dat geval zijn de mogelijke kleuren: Groen (laag), Geel (gemiddeld), Oranje (significant) en Rood (hoog).

Er zijn nog meer relevante instellingen voor risicoanalyses. Deze zijn bereikbaar via de klantinstellingen, en wel als volgt:

Klik rechtsboven op je naam
Kies uit het submenu 'Instellingen'
Kies het tabblad 'Klant'
Scroll naar het onderdeel 'Risicoanalyse'

Je ziet hier een aantal instellingen voor risicoanalyses. Bijvoorbeeld of het veld Eigenaar verplicht is of niet, of je het veld Ambitie beschikbaar wilt maken, wat de standaard kans en impact is, en of de 3x3 matrix beschikbaar is.

Risicoanalyse

Een risicoanalyse bestaat uit een set risico's. Je start een risicoanalyse als volgt:

Klik in het menu op 'Risicoanalyse'
Klik in het submenu op 'Risicoanalyse'
Klik op de knop 'Nieuw'

We gaan nu een risicoanalyse aanmaken. We geven hierbij relevante informatie op als de verantwoordelijke, het gekozen dreigingsmodel, de scope en of aan de risico's een BIV classificatie gekoppeld gaat worden. Hebben we dat allemaal gedaan, dan kunnen we starten met het koppelen van risico's.

Je kunt bij een risicoanalyse kiezen of je de matrix 3x3 of 5x5 wilt gebruiken. Dit heeft gevolgen voor de beoordeling van de risico's. Je kunt dit naderhand niet meer wijzigen, dus kies dit met zorg. Zie je deze optie niet, dan moet je eerst via de klantinstellingen de 3x3 matrix activeren als optie (zie hierboven).

Risico's koppelen

Voor het proces maakt het uit of je gebruik maakt van een dreigingsmodel (zie hieronder) of niet. Heb je gekozen voor een dreigingsmodel, dan kies je op het tweede tabblad 'dreigingen' steeds in het linkerdeel een dreiging uit het model, waarna je de informatie aanvult in het rechterdeel. Heb je niet voor een dreigingsmodel gekozen, dan vul je alleen het rechterdeel in.

Normity - Dreigingen toevoegen aan de risicoanalyse

Een tip is om de dreigingen uit het dreigingsmodel niet één op één toe te voegen, maar deze dreigingen organisatiespecifiek te maken. Het heeft weinig zin om een risico 'Brandschade' toe te voegen, omdat je dan niets organisatiespecifieks hebt vastgelegd.

Beter is het om hier bijvoorbeeld 'Brandschade door kortsluiting in serverruimte, waardoor ons on premise ticketsysteem voor langere tijd niet beschikbaar is' van te maken. Zo maak je de dreiging meteen al een stuk concreter en kun je ook passende maatregelen definiëren.

In het tabblad 'Bestaande risico's' kun je vervolgens risico's toevoegen die al in eerdere risicoanalyses zijn geconstateerd. Op die manier bouw je een risicoanalyse op met zowel bestaande risico's als nieuwe risico's. In het tabblad 'Risico's' vind je het overzicht van al deze risico's.

Wellicht kun je wat ondersteuning gebruiken bij het vaststellen van de risico's binnen een risicoanalyse. AI is in dit onderdeel beschikbaar om suggesties te doen voor passende risico's. En zoals hopelijk bekend: jij bepaalt zelf welke risico's je daadwerkelijk overneemt.

Dreigingsmodellen

Het is goed om even stil te staan bij de verschillende dreigingsmodellen. Een dreigingsmodel is eigenlijk een verzameling van veralgemeniseerde risico's voor een bepaald onderwerp. In de praktijk zijn er nogal wat dreigingsmodellen, en Normity ondersteunt er een groot aantal, waaronder:

Zo'n dreigingsmodel is handig, omdat het je helpt bij het vaststellen van de risico's. Het voorkomt dat je je teveel focust op enkele onderwerpen, en andere onderwerpen (al dan niet bewust) links laat liggen. Het helpt je met andere woorden om het grotere plaatje voor ogen te houden. Let er daarbij natuurlijk wel op dat een dreiging echt niet hetzelfde is als een risico!

Voortgang

In Normity kun je de voortgang bij een risico vastleggen. Een veelgebruikte formule om een risico te kunnen beoordelen is kans x impact. Deze kan natuurlijk in de tijd veranderen, vooral door maatregelen die je neemt. En dat wil je natuurlijk wel graag goed kunnen bijhouden. In Normity kun je deze voortgang vastleggen. Dit doe je als volgt:

Klik in het menu op 'Risicoanalyse'
Klik in het submenu op 'Risico'
Open het betreffende risico
Ga naar het tabblad 'Voortgang'

Normity - Het vastleggen van de voortgang bij een geconstateerd risico

Je kunt hier ook een toelichting geven. Dat is superhandig, omdat je dan meteen aantoonbaar maakt waarop de wijziging van jouw inschatting is gebaseerd.

We krijgen vaak de vraag op welke momenten je deze inschatting moet doen. Wanneer een risicoanalyse jaarlijks wordt uitgevoerd, adviseren wij om halverwege die periode een moment te plannen om de tussentijdse beoordeling te doen. Dit betekent dus:

Bij het aanmaken van de risico de initiële inschatting
Halverwege de cyclus van de risicoanalyse de huidige inschatting
Bij afronding van de risicoanalyse de resterende inschatting

Werk je met het veld 'Ambitie', dan werkt dit iets anders. In dat geval leg je vooraf de ambitie vast, en heb je alleen een initiële en een huidige inschatting.

Misschien vind je het lastig om een goede beoordeling te maken van een risico. AI is in dit onderdeel beschikbaar om suggesties te doen voor een passende beoordeling. Jij bepaalt zelf welke gegevens aan AI beschikbaar worden gesteld. Vervolgens maakt AI een aantal beoordelingen van je risico, waarvan je zelf kunt bepalen of deze worden overgenomen. Bovendien doet AI ook suggesties voor maatregelen om het risico te mitigeren.

Normelementen koppelen

Bij een risico kun je vastleggen bij welke normelementen het risico hoort. Dit doe je via het tabblad Norm. Dit leg je als volgt vast:

Klik in het menu op 'Risicoanalyse'
Klik in het submenu op 'Risico'
Open het betreffende risico
Ga naar het tabblad 'Norm'

Normity - Het vastleggen van de normelementen bij een geconstateerd risico

Welke normelementen je koppelt aan een risico, bepaal je zelf. Heb je de RAVIB methodiek toegepast met de BIO of ISO 27001 norm, dan stelt Normity zelf de normelementen / maatregelen voor die bij jouw risico's horen. Superhandig om je op weg te helpen. Uiteindelijk kies je het natuurlijk nog steeds zelf.

Heb je normelementen gekoppeld, dan kan het handig zijn om een overzicht te krijgen van de (ontdubbelde) documenten, taken en acties die aan deze normelementen zijn gekoppeld. Op die manier kun je snel zien wat allemaal onderliggend gekoppeld is. Dit staat dus los van de elementen die je aan het risico zelf koppelt! Wil je de onderliggende koppelingen zien, dan hoef je alleen maar naar beneden te scrollen. Voorwaarde is wel dat je minimaal 1 normelement hebt gekoppeld op dit scherm.

Normity - Bewijslast dat gekoppeld is aan beheersmaatregelen bij een risico

Misschien vraag je je af waarom je uberhaupt dit tabblad zou gebruiken. Immers: je kunt bij het risico zelf ook al de normelementen koppelen (op het eerste tabblad). Dat klopt ook. Dit extra scherm is bedoeld voor de zogenaamde beheersmaatregelen uit bijvoorbeeld de ISO 27001 en NEN 7510. Die maatregelen zijn dus meer dan alleen maar normelementen. Ze zijn ook echt gericht op het beheersen van risico's. Vandaar dat we hier een apart tabblad voor hebben gemaakt.

Koppelingen

Een risico staat vrijwel nooit op zichzelf. Je kunt een risico binnen Normity dan ook koppelen aan allerhande andere items binnen het platform. Bijvoorbeeld aan normelementen (zie hierboven), maar ook aan documenten, taken, acties, applicaties, processen, klachten, vragenlijsten en meer. Al deze koppelingen kun je natuurlijk ook eenvoudig in Normity bijhouden. Dit kan ofwel op het eerste tabblad van het risico ofwel in de vervolgtabbladen. De tabbladen spreken over het algemeen voor zich.

Kansen

Heb je het over risico's, dan heb je het ook vaak over kansen. En in de praktijk liggen die vaak best dicht bij elkaar. In Normity kun je niet alleen de risico's, maar ook de kansen vastleggen. Kansen voor jouw organisatie, afdeling of misschien zelfs jou persoonlijk. En net als bij risico's kun je bij kansen ook eigenaren toekennen, documenten koppelen, acties definiëren en nog veel meer.

Net als bij risico's, heb je ook bij kansen de optie om AI suggesties te laten doen. In dat geval kijkt AI naar jouw context en bestaande kansen en geeft een aantal suggesties voor interessante kansen voor jouw organisatie. Jij bepaalt zelf welke je gaat overnemen in je managementsysteem en welke je gaat negeren.

Risico's importeren

Voor de risico's en de risicoanalyse is ook een importfunctie beschikbaar.

incidenten bewijslast

Inhoud

We raden nieuwe gebruikers aan om het stappenplan stap voor stap door te nemen. Maar natuurlijk kun je ook meteen naar een pagina springen!

Hulp nodig?

Kom je er toch niet helemaal uit? Geen probleem. Ons team staat voor je klaar om je te helpen.

Telefoon
085 - 00 46 605

E-mail
hallo@normity.nl

Zakelijk
KVK	82359520
BTW	NL862433873B01
IBAN	NL70 KNAB 0406 7977 30