Business Impact Assessment en het belang ervan
Door Legalitadvies.nl
Gepubliceerd Op 19 augustus 2020
Bij een Business Impact Assessment (BIA) wordt onderzoek gedaan naar de meest kritische bedrijfsprocessen, ICT-systemen en medewerkers. Er wordt gekeken en gedocumenteerd wat de primaire processen zijn om vervolgens te onderzoeken welke ICT-systemen en medewerkers deze processen ondersteunen.
Tijdens een Business Impact Analyse wordt er getoetst wat de Beschikbaarheid-, Integriteit, Vertrouwelijkheid en (tegenwoordig) Privacy (BIVP) classificatie van een informatiesysteem moet zijn. Vaak worden deze tijdens een BIA gescoord met 3 risicowaarden: hoog, midden en laag. Op basis van een BIVP-classificatie kan bepaald worden welke informatiebeveiligingsnormen geïmplementeerd moeten worden. Denk aan de ISO 27001 en voor de overheid is dit de Baseline Informatiebeveiliging Rijksdienst (BIR).
Een BIA wordt uitgevoerd in groepsverband met medewerkers uit de organisatie die veel verstand hebben van:
- Technisch en functioneel beheer van een applicatie /systeem;
- Bedrijfscontinuïteit;
- Kwaliteitsmanagement;
- Informatiebeveiliging;
- De Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
Door de volgende 6 stappen te doorlopen kan een gedegen BIA worden uitgevoerd:
1) Definieer een scope
Het is belangrijk om te bepalen welke bedrijfsprocessen en ondersteunende systemen beoordeeld moeten worden.
2) Inventarisatie
Nadat bepaald is wat de scope is van de BIA dient er te worden uitgezocht welke medewerkers eigenaar, beheerder en/of hoofdgebruiker zijn van systemen en/of applicaties binnen de organisatie.
3) Voorbereiden
Om te zorgen dat tijdens de BIA alle betrokkenen een goed beeld hebben van de werking van een proces en de systemen die het proces ondersteunen, is het belangrijk om goed te beschrijven welke componenten onderdeel zijn van de BIA. Het is aan te raden dit goed en uitgebreid te beschrijven en hierbij een overzicht van de architectuurplaten mee te leveren.
4) Uitvoeren
Tijdens de uitvoering van de BIA komen de eigenaren, beheerders en hoofdgebruikers bij elkaar. Er worden vragen beantwoord over de beschikbaarheid, integriteit, vertrouwelijkheid en privacy van het kritieke proces en de ondersteunende systemen. Er worden ook diverse risicoscenario’s besproken in samenhang met de gedefinieerde impact classificaties om tot slot het belang en de risico’s van het kritieke proces in kaart te brengen.
5) Analyseren en rapporteren
Wanneer de BIA is uitgevoerd worden de resultaten gerapporteerd en worden er op basis van de bevindingen adviezen uitgebracht over welke informatiebeveiligingsmaatregelen genomen moeten worden.
6) Risicoanalyse
Wanneer bovenstaand proces is doorlopen is het mogelijk om voor de meest belangrijke systemen nog verdere risicoanalyses uit te voeren. Tijdens deze risicoanalyses wordt bepaald welke dreigingen er zijn die de beschikbaarheid, integriteit, vertrouwelijkheid of privacy in gevaar kunnen brengen. Op basis van deze dreigingen kunnen er specifieke maatregelen genomen worden.
Voor meer informatie over privacy- en securitymanagement, bekijk onze website: https://legalitadvies.nl of neem contact op met mij.
Auteur: Michel Modderkolk.
