Ga naar inhoud
ISMS YipYip

Risicobeoordeling informatiebeveiliging

Gedeeltelijk IB-coördinator

Dit document beschrijft hoe YipYip risicobeoordelingen uitvoert. De methodiek staat in 03-planning/6.1-risicobeoordeling/methodiek.md.

Wanneer

  • Jaarlijks: volledige beoordeling van alle assets binnen de ISMS-scope
  • Ad hoc: bij significante wijzigingen, incidenten of nieuwe dreigingsinformatie

Triggers voor een tussentijdse beoordeling:

  • Beveiligingsincident met impact
  • Nieuwe dienst of systeem in productie
  • Grote organisatiewijziging
  • Relevante audit-bevindingen

Hoe

  1. IB-coördinator bepaalt scope en verzamelt input (asset register, incidenten, audit-bevindingen)
  2. Dreigingsanalyse per component volgens de methodiek (BIA, kans × impact per BIV-aspect)
  3. Risico’s scoren en behandelzone bepalen
  4. Resultaten vastleggen in Google Sheets (zie tools/sheets/risico-analyse.md)
  5. Periodieke export naar 03-planning/6.1-risicobeoordeling/risico-register.yaml
  6. Behandelbesluiten voor zone 3-5 vastleggen in behandelplan

Betrokkenen

RolBijdrage
IB-coördinatorCoördinatie, uitvoering, rapportage
Developers / DevOpsTechnische input over systemen en dreigingen
DirectieGoedkeuren behandelbesluiten bij hoog/kritiek risico

Huidige status

Er is nog geen volledige formele risicobeoordeling uitgevoerd in het nieuwe ISMS. De methodiek is gemigreerd uit het vorige ISMS en is operationeel. De eerste volledige beoordeling wordt gepland in Q1-Q2 2026.

NEN7510

Bij de beoordeling wordt extra aandacht besteed aan:

  • Risico’s voor patiëntveiligheid en zorgcontinuïteit
  • Privacy-risico’s medische gegevens
  • Risico’s door medische apparatuur en e-health systemen

Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-29