Home

risicoacceptatiecriteria

Risicoacceptatiecriteria zijn normen die organisaties gebruiken om te bepalen of een geïdentificeerd risico aanvaardbaar is. Ze vormen de grens tussen risico's die actief beheerd moeten worden en risico's die zonder aanvullende maatregelen kunnen worden aanvaard.

De criteria worden bepaald door afstemming met belanghebbenden, de organisatiecontext en relevante wet- en regelgeving en

Tijdens de risicobeoordeling worden risico's geëvalueerd tegen deze criteria. Een risico dat aan de criteria voldoet,

Deze criteria staan in relatie tot de risicobereidheid en tolerantie van de organisatie. Na maatregelen blijft

Implementatie vereist gedocumenteerd beleid en procedures, met periodieke herziening bij veranderde omstandigheden of relevante wijzigingen in

Toepassingsvoorbeelden zijn onder meer IT-beveiliging, productie, projectmanagement en compliance. Een IT-context kan bijvoorbeeld een maximale jaarlijkse

normen
(bijvoorbeeld
ISO
31000).
Ze
kunnen
kwantitatief
zijn,
zoals
een
maximum
te
dragen
financiële
impact,
een
jaarlijkse
kansdrempel
of
een
combinatie
daarvan,
of
kwalitatief,
bijvoorbeeld
categorieën
als
laag,
middelgroot
of
hoog.
wordt
als
aanvaard
beschouwd;
anders
is
mitigatie
of
een
andere
vorm
van
risicobehandeling
vereist.
de
residual
risk
vaak
onder
de
aanvaardbare
drempels,
maar
moet
wel
steeds
beoordeeld
blijven
of
de
acceptatiecriteria
nog
worden
gehaald.
de
wet-
en
regelgeving.
kans
op
een
ernstig
beveiligingsincident
of
een
duidelijke
grens
voor
gemeten
kwetsbaarheden
als
acceptatiecriterium
bevatten.