MAPGOOD methode

Een checklist voor bedreigingen (risico's) volgens de MAPGOOD methode

Vaak is het lastig om vanuit het niets bedreigingen dan wel risico's voor de eigen organisatie in kaart te brengen. Voor de nieuwe versies van normen van managementsystemen als ISO 9001, ISO 14001 en ISO 27001 is dit een vereiste. Een veelgebruikte methode daarbij is de zg. MAPGOOD methode. MAPGOOD staat voor Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Dit zijn de verschillende invalshoeken om naar bedreigingen en risico's te kijken. De geïdentificeerde risico’s worden vervolgens vergeleken met de vastgestelde acceptatiecriteria. Voldoen de risico's niet aan de gestelde acceptatiecriteria dan dienen passen maatregelen te worden genomen: vermijden, verminderen / mitigeren, overdragen of accepteren. 

Onderstaande tabel (MAPGOOD-item / faalmode / bedreiging) is een hulpmiddel om vanuit generieke bedreigingen, de bedreigingen (risico's) voor de eigen organisatie in kaart te brengen.
 

Standaard risico's - managementsysteem

Een standaardlijst met alle bedreigingen zit in ons managementsysteem platformWaar we trouwens onze risico's in managen, net zoals voor de methoden Risicoanalyse GemeentenRISMAN of RAVIBProbeer NU, en ben in 60 seconden online, bijvoorbeeld voor een RisicoCarrousel. Of bekijk eerst de demo's onder aan of de praktische video.
Nieuw: In samenwerking met onze collega's van meta-audit.nl leveren we bij één jaarabonnement van het managementsysteem platform een certificeerbaar voorbeeld-ISMS incl. MAPGOOD-risico's conform ISO27001:2022 of NEN7510 erbij. Klik hier voor een uitleg hoe ze dit aanpakken.
 

Mens

 

  • Functioneert onjuist
  • Niet aanwezig
  • Niet in dienst
Wegvallen:
- Voorzienbaar (ontslag, vakantie)
- Onvoorzienbaar (ziekten, overlijden, ongeval, staking)
 
Onopzettelijk foutief handelen:
- Onkunde, slordigheid
- Foutieve procedures
- Complexe foutgevoelige bediening
- Onzorgvuldige .....
 
Opzettelijk foutief handelen:
- Niet werken volgens voorschriften/procedures
- Fraude/diefstal/lekken van informatie
- Ongeautoriseerde .....
     
Apparatuur

 

  • Functioneert onjuist
  • Stoort
  • Gaat verloren of raakt ernstig beschadigd
Spontaan technisch falen:
- Veroudering/slijtage
- Storing
- Ontwerp/fabricage/installatie/onderhoudsfouten
 
Technisch falen door externe invloeden:
- Stroomuitval
- Slechte klimaatbeheersing
- Nalatig ......
 
Menselijk handelen/falen:
- Installatiefout
- Verkeerde instellingen
- Bedieningsfouten
- Opzettelijke ..........
     
Programmatuur

 

  • Functioneert onjuist
  • Loopt vast of vertraagde uitvoering
  • Gaat verloren of raakt ernstig
Nalatig menselijk handelen:
- Ontwerp-, programmeer-, invoering, beheer/onderhoudsfouten
- Introductie van virus en dergelijke. door gebruik van niet gescreende programma's
- Gebruik van de verkeerde versie van programmatuur
- Slechte documentatie
 
Onopzettelijk menselijk handelen:
- Fouten door niet juist volgen van procedures
- Installatie van malware en virussen door gebruik van onjuiste autorisaties
 
Opzettelijk menselijk handelen:
- Manipulatie voor of na ingebruikname
- (Ongeautoriseerde) functieverandering en/of toevoeging
- Installatie van virussen, Trojaanse paarden en dergelijke
- Kapen van ......
 
Technische fouten/mankementen:
- Fouten in code programmatuur die de werking verstoren
- Achterdeuren in programmatuur voor (onbevoegde) toegang
- Bugs/fouten in code die tot exploits kunnen leiden
 
Organisatorische fouten:
- Leverancier gaat failliet
- Geen goede .....
     
Gegevens

 

  • Worden onterecht ontsloten
  • Zijn tijdelijk ontoegankelijk
  • Gaan verloren
Via gegevensdragers (CD/DVD/USB-sticks/Harddisk/Back-ups/mobiele apparaten):
- Diefstal/zoekraken/lekken
- Beschadiging door verkeerde behandeling
- Niet overeenkomende bestandformaten
- Foutieve of geen versleuteling
- Foutieve of vervalste
 
Via Cloud voorzieningen:
- Ongeautoriseerde toegang door onbevoegden (hackers/hosters)
- Ongeautoriseerde .....
 
Via apparatuur:
- Fysieke schrijf- of leesfouten
- Onvoldoende toegangsbeperking tot apparatuur
- Fouten in .....
 
Via programmatuur:
- Foutieve of gemanipuleerde programmatuur
- Doorwerking .....
 
Via personen:
- (On)opzettelijke foutieve gegevensinvoer, -verandering of –verwijdering van data
- Onbevoegde .....
     
Organisatie

 

  • Werkt niet volgens vastgestelde uitgangspunten
  • Reorganiseert
  • Fuseert of wordt opgeheven
Gebruikersorganisatie:
- Mismanagement
- Gebrekkige toedeling taken, bevoegdheden, verantwoordelijkheden
- Onduidelijke of ontbrekende gedragscodes
- Afwezige, verouderde of onduidelijke handboeken /systeemdocumentatie / werkprocedures
- Onvoldoende ......
 
Beheerorganisatie:
- Gebrekkig beleid betreffende beheer
- Onvoldoende ......
 
Ontwikkelingsorganisatie:
- Slecht projectmanagement
- Niet ........
     
Omgeving

 

  • Is toegankelijk voor ongeautoriseerden
  • Is beschadigd
  • Is verwoest of ernstig beschadigd
Huisvesting:
- Ongeautoriseerde toegang tot gebouw(en)
- Diefstal op werkplekken
- .......
 
Nutsvoorzieningen:
- Uitval van elektriciteit, water, telefoon
- .......
 
Buitengebeuren:
- Natuurgeweld (overstroming, blikseminslag, storm, aardbeving et cetera)
- Overig .......
     
Diensten

 

  • Worden niet volgens afspraak geleverd
  • Tijdelijk niet te leveren
  • Definitief niet meer te leveren
Diensten worden niet conform afspraak geleverd:
- Slecht opgeleid personeel
- Groot personeelsverloop
- Onvoldoende capaciteit in personeel
- ......
 
Diensten dienstverlener tijdelijk niet beschikbaar:
- Levert diensten niet conform overeenkomst
- ......
 
Diensten dienstverlener definitief niet meer te leveren:
- Een dienstverlener gaat failliet
- .....

Voor wie nog steeds nog steeds moeite heeft met het risicomanagement proces. Zet in 60 seconden onze cloudoplossing Proware klaar, een simpele en innovatieve software tool voor kwaliteits- en risicomanagement. Alle 'MAPGOOD-risico's' hebben we in een handige spreadsheet toegevoegd.
Nog meer? Het duurt iets langer ... maar in een paar uur hebben we ook een eigen en geschikt voorbeeld voor een managementsysteem. Voor inhoudelijke vragen raadplegen wij onze collega's van meta-audit.nl of vraag ze het zelf.

Eerst zien, bekijk dan onze demo’s op de productpagina.
Of klik voor een impressie op onderstaande video obv de Proware module RiskManagement of probeer het direct zelf

De principes en richtlijnen voor het proces van risico management staan uitgebreid beschreven in de norm ISO 31000.

Klik voor een impressie van het Metaware managementsysteem op onderstaande video.

 

Demo systemen:

Log automatisch in bij één van de demo systemen en ervaar hoe het werkt:

 

 

 

 

Één managementsysteem

Één managementsysteem platform.
Kwaliteit, veiligheid, milieu, informatiebeveiliging, .... Een geïntegreerde omgeving voor de beschreven processen, de risico-analyse met beheersmaatregelen, alle workflow processen en 'last but not least' de prestaties in een dashboard.
Alles samen te stellen als 'bouwblokken'.

Meer over het platform