De risico-inventarisatie en analyse bestaat uit de identificatie van ongewenste gebeurtenissen, de bepaling van de kans dat deze zullen voorkomen en de ernst van de effecten ervan. Het aantal ongewenste gebeurtenissen neemt enorm toe aangezien steeds meer openbare netwerken verbonden worden aan private netwerken. Veel bedrijfsprocessen zijn daardoor tegenwoordig afhankelijk van ICT systemen, netwerken en ondersteunde processen terwijl de risico en kwetsbaarheden van de beveiliging als maar toenemen. De kwaliteit en continuiteit van het bedrijfsproces en de informatieis daarmee sterk afhankelijk geworden van ICT. 

Een goede definitie van informatiebeveiliging is het treffen van maatregelen om de betrouwbaarheid (vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid) van gegevens en van gegevensverwerkende processen te waarborgen, zowel geautomatiseerd als niet geautomatiseerd.

De beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van gegevens en van gegevensverwerkende processen zijn van groot belang voor het behoud van de concurrentiepositie, cashflow, winstgevendheid, naleving van de wet en het imago van de organisatie.

De waarborging van de informatiebeveiliging valt uiteen in:
 Vertrouwelijkheid: waarborgen dat informatie alleen toegankelijk is voor de degenen, die hiertoe geautoriseerd zijn;
 Integriteit: het waarborgen van de correctheid en de volledigheid van informatie en verwerking;
 Beschikbaarheid: waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen.
 Controleerbaarheid: het waarborgen door wie, hoe en wanneer de data en informatie bewerkt is.

Werkwijze
Wij hanteren hiervoor een pragmatische methode met niet meer probabilistisch rekenwerk dan nodig is, waarbij we ons richten op de grootste risico's, om u uw security, zo praktisch en snel mogelijk, naar een acceptabel minimaal niveau te brengen. Wij beoordelen op een systematische wijze de beveiligingsrisico's en kwetsbaarheden per bedrijfsproces, vertaald naar de techniek, processen,  procedures, organisatie en mensen. Per aspect geeft de rapportage aan of er een risico is en wat dit risico inhoudt. Hierbij verliezen wij niet uit het oog wat de mogelijke kosten zouden kunnen zijn voor de nieuw in te voeren beveiligingsmaatregel en wegen dit af tegen de schade en potentiele kans op zo'n security incident. De beveiligingsrisico's en dreigingen en het gat tussen de bestaande behoeften en kwetsbaarhden worden aan de hand van interviews, voorhanden documentatie en daadwerkelijke controles, nauwkeurig door ons in kaart gebracht.

Resultaat
Het resultaat van deze risico inventarisatie en analyse treft u aan in een heldere en beknopte rapportage. Deze rapportage wordt vervolgens mondeling toegelicht waarmee kan het management op een gewogen wijze besluiten maken over welke beveiligingsmaatregelen met welke prioriteit ingevoerd dienen te worden in relatie tot kosten, kwetsbaarheden, risico's en dreigingen. De risico inventarisatie en analyse kan toegepast worden op bepaalde informatiesystemen, specieke systemen (componenten), netwerken, applicaties of diensten.

Informatiebeveiliging is een continue en iteratief proces en houdt daardoor helaas niet op bij een 1-malige inventarisatie. Wij raden u dan ook aan om de beveiligingsrisico's en geimplementeerde maatregelen periodiek te evalueren en te laten controleren. Uw organisatie kan hiermee inspelen op wijzigingen in security behoeften en prioriteiten, nieuwe bedreigingen en risico's inschatten en bevestigen dat maatregelen nog steeds effectief en geschikt zijn.

Wilt u meer weten over de Risico Inventarisatie en Analyse dienst van SurfPlan, neem dan contact op met uw adviseur.