BeheerZekerheid voor risico berekenen
Wanneer u zekerheid inschakelt, worden de testresultaten en problemen samengevoegd voor een actief project of raamwerk dat aan meerdere projecten is gekoppeld. Hiermee kunt u rapportages maken over de zekerheid van een afzonderlijk project of over alle projecten die aan een raamwerk zijn gekoppeld.
In dit onderwerp worden voorbeelden van zekerheid gegeven, zodat u zich vertrouwd kunt maken met de berekeningen die aan zekerheid gekoppeld zijn.
Zekerheid aantonen voor één enkel project
Toon aan dat er voor één specifiek project zekerheid bestaat dat de risico's binnen de organisatie effectief worden beperkt.
Voorbeeld
Scenario
U leidt een Beoordeling algemene IT-controles en u dient het risico kwantitatief te beoordelen. Uw project bevat één doel (Fysieke beveiliging) en twee risico's die aan dat doel gekoppeld zijn. U schakelt zekerheid in in het project en u begint de projectwerkzaamheden uit te voeren.
Risicoscores
U beoordeelt het risico op basis van twee scorefactoren, Impact en Waarschijnlijkheid, en u gebruikt een 5-puntenschaal om een score aan de risico's toe te kennen:
| Doel | Risico | Beschrijving | Score |
|---|---|---|---|
| Fysieke beveiliging | Risico 1 | Ongeoorloofde toegang tot de beveiligde serverruimte. |
|
| Risico 2 | De faciliteiten waarin vertrouwelijke gegevens of bedrijfsinformatie zijn opgeslagen, zijn niet toereikend beveiligd. |
|
Berekening Inherente risicoscore
Op basis van uw risicoscores berekent Projecten automatisch de Inherente risicoscore van ieder risico, evenals de Totale inherente risicoscore.
- Risico 1(5 x 3) = 15,0
- Risico 2(2 x 2) = 4,0
Totale inherente risicoscore (15 + 4) = 19,0.
Controles, gekoppelde risico's en controlegewichten definiëren
U definieert vier controles die eraan bijdragen dat de twee geïdentificeerde risico's gemitigeerd worden, inclusief de bijbehorende risico's, en het risicopercentage dat door de controle wordt gemitigeerd (Controlegewicht):
| Controle | Beschrijving | Bijbehorend risico | Controlegewicht |
|---|---|---|---|
| Controle 1 | Er is een slot geplaatst op de ingang van de faciliteit. | Risico 1 | 100% |
| Controle 2 | Er is een beveiligingscamera geïnstalleerd om verdachte activiteiten vast te leggen. | Risico 1 | 20% |
| Controle 3 | Alle ingangen van serverfaciliteiten zijn beveiligd met een sleutelkaarttoegangssysteem., |
|
|
| Controle 4 | Alle ingangen van kantoorfaciliteiten worden door administratieve medewerkers bewaakt. |
|
|
Controles testen
U heeft geen testrondes in uw project; in plaats daarvan heeft u per controle één stapsgewijze beschrijving. U test iedere controle en u documenteert de resultaten:
| Controle | Testresultaat | Geslaagd of Niet geslaagd? |
|---|---|---|
| Controle 1 | Werkt efficiënt | Geslaagd |
| Controle 2 | Uitzondering(en) opgemerkt | Niet geslaagd |
| Controle 3 | Werkt efficiënt | Geslaagd |
| Controle 4 | Werkt efficiënt | Geslaagd |
Restrisicoscore
Op basis van de door u gedefinieerde risico-controleverbindingen, gespecificeerde controlegewichten en testresultaten berekent Projecten automatisch voor ieder risico de Restrisicoscore en de Totale restrisicoscore.
De Restrisicoscore wordt berekend door de Inherente risicoscore te vermenigvuldigen met het Controlegewicht voor de bijbehorende controles die niet geslaagd zijn:
- Risico 1(15,0 x 0,2) = Restrisicoscore (3,0)
- Risico 2Controles 3 en 4 slagen allebei en samen mitigeren zij Risico 2 met 100%. De Restrisicoscore voor Risico 2 is 0,0.
De Totale restrisicoscore wordt berekend door alle Restrisicoscores bij elkaar op te tellen:
Restrisicoscore Risico 1 (3,0) + Restrisicoscore Risico 2 (0,0) = Totale restrisicoscore (3,0).
Algehele garantie
De Algehele zekerheid, die wordt weergegeven binnen het Project, wordt als volgt berekend:
(Totale inherente risicoscore (19,0) - Totale restrisicoscore (3,0)) / Totale inherente risicoscore (19,0) = Algehele zekerheid (84%).
Zekerheid aantonen voor meerdere projecten
Toon aan dat er binnen meerdere projecten binnen een raamwerk sprake is van zekerheid om zo het vertrouwen te wekken dat de risico's binnen de organisatie effectief worden beperkt.
Voorbeeld
Scenario
U dient vanuit een centrale plek vijf verschillende projecten te beheren en voor alle vijf projecten het risico kwantitatief te beoordelen. In uw raamwerk bevindt zich één doel dat twee risico's bevat.
| Raamwerk | Doel | Risico |
|---|---|---|
| Raamwerk 1 | Doel 1 | Risico 1 |
| Risico 2 |
Verwerken
U importeert de risico's in de relevante projecten, schakelt zekerheid in in zowel het raamwerk als het project en test de controles. U noteert eventuele problemen waar van toepassing.
Resultaat
De testresultaten en problemen worden automatisch vanuit ieder project samengevoegd in het raamwerk. Zekerheidberekeningen worden als volgt in het raamwerk samengevoegd:
Risicoscores op projectniveau
| Project | Inherente risicoscore | Restrisicoscore | Gekoppeld raamwerkrisico |
|---|---|---|---|
| Project 1 | 9,0 | 2,0 | Risico 1 |
| Project 2 | 6,0 | 2,0 | |
| Project 3 | 3,0 | 1,0 | |
| Project 3 | 0,0 | 0,0 | Risico 2 |
| Project 4 | 5,0 | 1,0 | |
| Project 5 | 5,0 | 1,0 |
Risicoscores op raamwerkniveau
| Raamwerkrisico | Inherente risicoscore | Restrisicoscore | Gekoppelde projecten |
|---|---|---|---|
| Risico 1 | 18,0 | 5,0 | 1, 2, 3 |
| Risico 2 | 10,0 | 2,0 | 3, 4, 5 |
Zekerheid van Doel 1 75%
(Totale inherente risicoscore (28,0) - Totale restrisicoscore (7,0)) / Totale inherente risicoscore (28,0)
Meer voorbeelden
Bekijk aanvullende scenario's die laten zien hoe binnen één enkel project de zekerheid voor een risico wordt berekend.
Een risico dat door één enkele controle gedekt wordt
| Risico A --> Controle A | Risico A --> Controle A | Risico A --> Controle A | Risico A --> Controle A | Risico A --> Controle A | |
|---|---|---|---|---|---|
| Risico-ID | A | A | A | A | A |
| Impact | 2 | 3 | 2 | 3 | 3 |
| Waarschijnlijkheid | 5 | 3 | 5 | 3 | 3 |
Aangepaste risicoscorefactor 1 (Snelheid) Gewicht: 80% | -- | -- | 5 | 5 | -- |
Aangepaste risicoscorefactor 1 (Kwetsbaarheid) Gewicht: 50% | -- | -- | -- | 5 | -- |
| Inherente risicoscore | 10 | 9 | 40 | 90 | 9 |
| Controlegewicht | 85% | 100% | 85% | 100% | 55% |
| Controle-ID | A | A | A | A | A |
| Werkt efficiënt? | Ja | Ja | Ja | Ja | Nee |
| Berekening Risicoscore | 10 x (1- 0,85) | 0 | 40 x (1- 0,85) | 0 | (9 x 0,55) + (9 x 1-0,55) |
| Uitleg |
|
|
|
|
|
Een risico dat door twee controles gedekt wordt
| Risico A --> Controle A, B | Risico A --> Controle A, B | |
|---|---|---|
| Risico-ID | A | A |
| Impact | 3 | 4 |
| Waarschijnlijkheid | 3 | 3 |
Aangepaste risicoscorefactor 1 (Snelheid) Gewicht: 80% | -- | -- |
Aangepaste risicoscorefactor 1 (Kwetsbaarheid) Gewicht: 50% | -- | -- |
| Inherente risicoscore | 9 | 12 |
| Controlegewicht |
|
|
| Controle-ID | ||
| Werkt efficiënt? | ||
| Berekening Risicoscore | 9 x 0,75 | 12 x 1 |
| Uitleg |
|
|
Een risico dat door drie controles gedekt wordt
| Risico A --> Controle A, B, C | Risico A --> Controle A, B, C | |
|---|---|---|
| Risico-ID | A | A |
| Impact | 5 | 5 |
| Waarschijnlijkheid | 3 | 3 |
Aangepaste risicoscorefactor 1 (Snelheid) Gewicht: 80% | -- | -- |
Aangepaste risicoscorefactor 1 (Kwetsbaarheid) Gewicht: 50% | -- | -- |
| Inherente risicoscore | 15 | 15 |
| Controlegewicht |
|
|
| Controle-ID | ||
| Werkt efficiënt? | ||
| Berekening Risicoscore | 15 x (0,45 + 0,15) | 15 x (0,45 + 0,15) + 15 x (1- 0,85) |
| Uitleg |
|
|
Berekeningen
Kom meer te weten over de berekeningen die aan zekerheid gekoppeld zijn.
| Termijn | Berekening | Opmerkingen |
|---|---|---|
| Gewicht Risicoscorefactor | Waarden (1-1000%) die door de gebruiker worden ingevoerd om het belang van de Risicoscorefactor uit te drukken. | Hoe hoger de waarde van het gewicht, des te belangrijker de risicoscorefactor is voor uw organisatie en des te meer de risicoscorefactor zal bijdragen aan de Totale inherente risicoscore. Het waardenbereik maakt volledige aanpassing van uw scores mogelijk. U kunt bijvoorbeeld een risicoscorefactor vijf keer zwaarder laten wegen dan een andere risicoscorefactor (Kwetsbaarheid = 100%, Snelheid = 500%). De som van de gewichten van de Risicoscorefactoren kan oplopen tot ieder getal. Opmerking U kunt het gewicht van de standaard risicoscorefactoren (Impact en Waarschijnlijkheid) niet aanpassen; deze is ingesteld op 100%. |
| Inherente risicoscore (risico) | (Impact x Waarschijnlijkheid) x (Aangepaste risicoscorefactor x Gewicht) | |
| Inherente risicoscore (doel) | SOM (Inherente risiscoscores voor alle risico's in het doel) | |
| Totale inherente risicoscore (project) | SOM (Inherente risicoscore per doel) | |
| Totale inherente risicoscore (raamwerk) | SOM (Inherente risicoscores in alle projecten die het risico bevatten) | |
| Controlegewicht | Waarden (0-100%) die door de gebruiker worden ingevoerd om het percentage van het risico uit te drukken dat door de controle wordt gemitigeerd. | De som van de controlegewichten kan ieder getal zijn. |
| Restrisicoscore (risico) | SOM (Inherente risicoscore x Controlegewicht <voor bijbehorende controles die niet efficiënt werken>) + (Inherente risicoscore x (1 - Som van Controlegewichten <als het Totale controlegewicht minder is dan 100%>)) | De controle wordt als 'niet geslaagd' aangemerkt en in de berekening van de Restrisicoscore gebruikt als:
In bovengenoemde scenario's neemt de zekerheid af. In Projecten wordt één Restrisicoscore per risico berekend en niet één Restrisicoscore per testronde. |
| Restrisicoscore (doel) | SOM (Restrisicoscores voor alle risico's in het doel) | |
| Totale restrisicoscore (project) | SOM (Restrisicoscores per doel) | |
| Totale eestrisicoscore (raamwerk) | SOM (Restrisicoscores in alle projecten die het risico bevatten) | |
| Algehele zekerheid (project) | (Totale inherente risicoscore - Totale restrisicoscore) / Totale inherente risicoscore | |
| Algehele zekerheid (raamwerk) | (Totale inherente risicoscores in alle projecten die het risico bevatten - Totale restrisicoscores in alle projecten die het risico bevatten) / Totale inherente risicoscores |
