Definition (EN)
Residual risk is the risk remaining after risk treatment has been applied, taking into account the effectiveness of implemented controls and other mitigating measures.
Explanation (EN)
Residual risk represents the level of risk that remains once an organisation has selected and implemented risk treatment options (e.g., mitigating controls).
It is assessed to determine whether the remaining risk is acceptable within the organisation’s risk appetite and risk tolerance, or whether additional treatment is required.
Residual risk should be monitored and reviewed over time because changes in threats, vulnerabilities, assets, or controls can increase or decrease the remaining level of risk.
Nederlandse term (NL)
Restrisico
Definitie (NL)
Restrisico is het risico dat overblijft nadat risicobehandeling is toegepast, rekening houdend met de doeltreffendheid van geïmplementeerde beheersmaatregelen en andere mitigerende maatregelen.
Toelichting (NL)
Restrisico is het risiconiveau dat overblijft nadat de organisatie risicobehandelingsopties (zoals mitigerende beheersmaatregelen) heeft gekozen en toegepast.
Het wordt beoordeeld om te bepalen of het resterende risico aanvaardbaar is binnen de risicobereidheid en risicotolerantie van de organisatie, of dat bijkomende behandeling nodig is.
Restrisico moet doorlopend worden opgevolgd en periodiek worden herzien, omdat wijzigingen in dreigingen, kwetsbaarheden, assets of beheersmaatregelen het restrisico kunnen verhogen of verlagen.
Source
ISO 31000 — Risk management — Guidelines
ISO/IEC 27005 — Information security risk management
ISO Guide 73 — Risk management — Vocabulary
Related terms
Risk appetite
Risk tolerance
Risk treatment
Risk acceptance
Risk management
