CYRA (CYberRAting) is een hulpmiddel dat organisaties helpt om hun informatiebeveiliging in kaart te brengen en te verbeteren. De methode biedt een instap- en groeimodel dat aansluit op de behoeften van elke organisatie. Je kunt kiezen voor een niveau dat past bij de risico’s van jouw onderneming en de positie van jouw bedrijf in de leveranciersketen.
De methode is geschikt voor organisaties in alle sectoren en kan worden gebruikt als groeimodel richting een ISO 27001-certificering of als voorbereiding op de NIS2-richtlijn.
De methode-CYRA bestaat uit 4 stappen met elk 3 procesvolwassenheidslevels gebaseerd op de annex uit ISO-27001 en ISO-27701. Deze zijn ingegeven door de Capability Maturity Model Integration (CMMI) en voor CYRA vertaald naar de niveaus zoals aangegeven in het figuur boven.
Zoals in onderstaand figuur te zien is, en waar ook de assessments op gebaseerd zijn, is er voor elk niveau een toetsingskader dat te relateren is aan de respectievelijke ISO-normen. Zo is het voor organisaties duidelijk welk percentage (bron: documentatie CCV) van de totale set aan beheersmaatregelen wordt gehaald met het beoogde groeipad.
- Entry = 25%
- Basic = 55%
- Intermediate = 80%
Advanced = 100%
bijvoorbeeld GeldWijs bv heeft een Intermediate level gehaald, bleek uit de self-assessment. Dat betekent dat de organisatie 80% van de ISO-27001 (in combinatie met de ISO-27701) controls kan halen. Een organisatie die op een Entry level binnenkomt hoeft maar 25% van het totaal aantal controls te halen.