Informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. [VIR-2007]  

Niet statisch maar dynamisch

Risicoanalyse is geen eenmalige actie. De uitkomsten zijn geen statisch geheel. Risicoanalyse vergt een dynamisch proces waarbij periodiek wordt gelelen of de verschillende onderdelen van de analyse nog voldoende actueel zijn. De frequentie waarmee dit onderhoud gebeurt is veelal afhankelijk van de classificatie of rubricering van het object waarvoor de risicoanalyse is uitgevoerd. Kritieke objecten worden bijvoorbeeld jaarlijks tegen het licht gehouden, minder kritieke eens in de drie jaar. Dat beterkent overigens niet dat de analyse dan volledig opnieuw gedaan moet worden. Het vergt in eerste instantie enkel een quick-scan om te bepalen of onderdelen van de analyse zodanig gewijzigd zijn dat een nieuwe analyse nodig is. Bijvoorbeeld als de wijze van het gebruik en daarmee de afhankelijkheid van een informatiesysteem gewijzigd is. Overigens staat deze systematiek onder invloed van ‘cyber security’ onder druk. We zien daar een noodzaak tot een zeer dynamische invulling van risicoanalyse. Dat concentreert zich op dreigingen en kwetsbaarheden en processen als vulnerability- en patchmanagememt. Risicoanalyse als proces kan op (minimaal) twee manieren weergegeven: 1. Door koppeling aan de Plan-Do-Check-Act cylcus behorende bij het ISMS. 2. Door te kijken naar de stappen zoals die in de verschillende methoden voor risicoanalyse aan bod komen..

PDCA-cyclus

De koppeling aan de PDCA-cyclus geeft het volgende beeld:

Weergave als processtappen

Op basis van de verschillende methoden voor risicoanalyse ontstaat dan het volgende beeld qua stappen: Deze stappen worden met uitzondering van de scoping op de volgende pagina’s toegelicht. Daar komt aan de orde dat zowel de kwetsbaarbeidsanalyse als de impactanalyse in verschillende methoden op verschillende plaatsen terugkomen. Dit is in voorgaand schema met haakjes aangegeven. De scoping heeft betrekking op het object van de risicoanalyse, zoals een organisatie(onderdeel), informatiesysteem of verantwoordelijkheidsgebied, de toe te passen methode en tooling, e.d..