Vulnerability Analysis Tool (VA2L)

De Vulnerability Analysis

De Vulnerability analysis is de fase (DO) die volgt na het opstellen van het security beleid en het uitvoeren van een Risico Analyse (PLAN) en houdt in: Positiebepaling en Verbetering.

In de voorafgaande fase (Opstellen security policy en uitvoeren Risico Analyse) is het Doel bepaald. Het ambitieniveau van de organisatie m.b.t. informatiebeveiliging is vastgelegd. In de vulnerability analysis wordt eerst nagegaan in hoeverre er wordt voldaan aan het gewenste niveau van beveiliging en waar de gaten (de vulnerabilities) zitten. Een analyse van deze vulnerabilities levert op welke maatregelen met welke prioriteit moeten worden genomen om in een zo kort mogelijke tijd op een gewenst beveiligingsniveau te komen.

De vulnerability analysis dient veel vaker te worden uitgevoerd dan de Process Dependancy Analysis. Een vulnerability analysis kan bijvoorbeeld eenmaal per kwartaal worden gehouden om het management per kwartaal middels managementrapportage op de hoogte te houden van de status van informatiebeveiliging en de vorderingen te zien.

De vulnerability analysis bestaat uit de volgende stappen:

• 1. Vaststellen welke functionarissen verantwoordelijk zijn voor welke maatregelen
• 2. Vaststellen per maatregel wat de status van implementatie is binnen de organisatie
• 3. Analyse van de verschillen tussen het gewenste niveau van implementatie
en het werkelijke niveau van implementatie en vaststellen van de risico's
• 4. Vaststellen welke maatregelen er met welke prioriteit dienen te worden genomen.

Beschrijving van VA2L

Met behulp van VA2L kan de vulnerability analysis, zoals beschreven worden uitgevoerd. Het programma kent de volgende stappen:
1. Invoeren outputbestand uit PDA2L.
2. Genereren vragenlijsten per functionaris
3. (laten) invullen van de vragenlijsten voor de betreffende functionarissen
4. Uitvoeren vulnerability analysis
5. Opstellen implementatieplan