Workshop 2: Maatregelen
Last updated
Last updated
Deze workshop is typisch een week na de eerste workshop (Risico identificatie).
De Workshop Facilitator start de workshop met een korte presentatie, met daarin een terugblik op de vorige workshop (Risico's) en de doelen van de huidige workshop.
Hieronder is een voorbeeld opgenomen van een presentatie, die kan helpen om de bovenstaande onderwerpen over te brengen op de deelnemers.
De Workshop Facilitator plakt de risico’s, die in de workshop Risico Identificatie aangemerkt zijn als: door het team zelf te behandelen (‘mitigate’), in de betreffende kolom, op volgorde van prioriteit (zoals vastgesteld in de workshop Risico's).
De onderstaande onderwerpen worden behandeld met behulp van het Canvas.
Voor ieder Risico bespreekt het team, welke maatregelen zouden helpen om het risico te verlagen. Deze worden op Post-Its genoteerd en op het Canvas geplakt (kolom Controls), naast het Risico waarop ze betrekking hebben.
Voor iedere maatregel wordt bekeken, hoe vastgesteld kan worden of de maatregel werkt. Ook stelt het team een streefgetal voor aan het eind van de cyclus.
Besproken wordt wie er binnen het team verantwoordelijk wordt voor de betreffende maatregel. Hij/zij moet toezien op de implementatie van de maatregel. Tevens wordt besproken wat hij/zij nodig heeft van de anderen, om succesvol te kunnen zijn.
een lijst met maatregelen
Voor iedere maatregel:
het risico waarop de maatregel betrekking heeft
hoe de effectiviteit van maatregelen bepaald wordt
een streefwaarde voor de effectiviteit, aan het eind van deze cyclus
wie verantwoordelijk is voor de implementatie van de maatregel (Control Owner)
de bijdrage van andere teamleden
Aan het eind van de workshop herhaalt de Workshop Facilitator de afspraken over de implementatie van maatregelen. Hij kijkt vooruit naar de Alignment Meeting en de volgende workshop (Effectiviteit), waarin besproken zal worden welke resultaten geboekt zijn. Daarbij benoemt hij/zij ook de noodzaak van het bijhouden van een indicentenregister, en biedt daarvoor een template of tool aan. De Team Captain is verantwoordelijk voor het bijhouden daarvan.
Na afloop van de workshop zorgt de Workshop Facilitator voor een verslaglegging. Hieronder is een voorbeeld opgenomen van een manier waarop dat kan gebeuren. De Workshop Facilitator deelt de verslaglegging met de deelnemers aan de workshop.
Als alle teams de Workshop Maatregelen hebben afgerond, volgt de Alignment Meeting (zie verderop)
Als verdieping kunnen de Policy Cards gebruikt worden. Hierop worden genoteerd:
het doel van de maatregelen (in termen van risicobeheersing)
een beschrijving van de maatregelen, met de volgende vorm: “Om het risico van X voor Asset Y te beheersen, worden maatregelen A, B en C geïmplementeerd door persoon Z. De effectiviteit wordt vastgesteld door meting P, en wordt geëvalueerd door persoon Q op de manier zoals beschreven in R, op moment S.
evt. een verwijzing naar een Control uit ISO 27001 Annex A.
een categorisering van de maatregelen (cf ISO 27002)
wie de Policy Owner is