Documentatie - Scope
De eerste stap die genomen moet worden voordat men kan beginnen aan een risicoanalyse is het bepalen van de scope. Zeker bij grote organisaties is het ondoenlijk om één risicoanalyse voor de gehele organisatie uit te voeren. Het dan verstandiger om meerdere risicoanalyses uit te voeren waarbij je je per risicoanalyse richt op een beperkt onderdeel van de organisatie.
Indien dit de eerste keer is dat je een risicoanalyse uitvoert, richt je dan op de vitale processen van de organisatie. De vitale processen van een organisatie zijn de processen die ervoor zorgen dat de producten of diensten die een organisatie levert, ook daadwerkelijk geleverd kunnen worden. Neem de informatiesystemen van een vitaal proces als scope voor een risicoanalyse. Maak zelf een afweging of bepaalde vitale processen gezamenlijk in een risicoanalyse behandeld kunnen worden.
Concreet betekent het bepalen van de scope, bepalen welke informatiesystemen je meeneemt in de risicoanalyse. De scope kan bestaan uit de informatiesystemen behorende bij bijvoorbeeld een proces, een afdeling, een project of een om andere reden bij elkaar horende verzameling van informatiesystemen. Wees voorzichtig met het te ruim kiezen van je scope. Het gevaar van een te ruime scope is dat je daardoor niet diep genoeg op belangrijke details ingaat en dus een te oppervlakkig beeld krijgt van de feitelijke risico’s.