Risico Beoordeling in ISO 27001

Binnen ISO 27001 is een risico beoordeling (ook wel risico analyse genoemd) het middel om vast te stellen welke risico’s en kansen spelen binnen de organisatie. In een risico beoordelingsprocedure stel je als directie vast hoe je wil dat de risicobeoordeling wordt uitgevoerd. Bij het opstellen van deze risico beoordelingsprocedure moet je letten op diverse punten. Hieronder zullen we deze benoemen.

Inhoud van een risico beoordeling

1. Vaststellen van de scope

Bij het vaststellen van de scope bepaal je, welke informatiesystemen vallen onder de risico beoordeling. Maak je scope niet te ruim. Wanneer je een te ruime scope vaststelt, loop je het risico dat je niet diep genoeg ingaat op belangrijke elementen. Je risico analyse wordt daarmee te oppervlakkig. Belangrijke maatregelen worden over het hoofd gezien.

2. Welke kansen en bedreigingen zijn er?

Eerst stel je vast welke kansen en bedreigingen (= risico’s) er zijn door antwoord te geven op 3 vragen:

  • Hoe behaal je je doelstellingen voor informatiebeveiliging, zoals je die in je ISMS hebt geformuleerd?
  • Op welke factoren kun je invloed uitoefenen om kans en/of impact te verkleinen voor bedreigingen?
  • Hoe kun je de door ISO 27001 vereiste continue verbetering bewerkstelligen?

3. Hoe ga je om met maatregelen?

Vervolgens stel je vast met welke maatregelen je antwoord geeft op de risico’s die je eerder hebt vastgesteld:

  • Hoe plan je de maatregelen waarmee je concrete invulling geeft aan de antwoorden op de bovenstaande drie vragen?
  • Hoe ga je controleren of de genomen maatregelen het gewenste effect hebben bereikt?

4. Plannen van de risico beoordeling

Een correcte risico beoordeling opstellen lukt niet in een ochtendje.

Wie doen er mee aan de risico beoordeling?

Zorg er voor dat bij een sessie voor de risico beoordeling verschillende personen aanwezig zijn:

  • de directie, of degene die eindverantwoordelijk is voor het vastgestelde informatiebeveiligingsbeleid.
  • de security officer (of de DPO, de data protection officer). Deze persoon is verantwoordelijk voor de implementatie van maatregelen die uit de risico analyse voortvloeien.
  • het binnen de scope verantwoordelijke management. Deze moet zorgen voor draagvlak van de uitkomst van de risico analyse.
  • systeemeigenaren (degenen die verantwoordelijk zijn voor de beveiliging van de systemen die binnen de scope vallen). Zij kunnen als beste inschatten welke kans bij de risico’s horen.

ZZP-er

Het is af te raden een risico beoordeling in je eentje te doen, ook wanneer je een ZZP-er bent. Vraag minstens één persoon om met je mee te doen. Het is belangrijk dat je iemand hebt die tegengas kan geven, en met een andere invalshoek naar de situatie kan kijken.Het is ook belangrijk dat deze persoon jouw business goed begrijpt.

Wil je hulp bij het opstellen van een Risico-beoordeling? Of wil je een sjabloon om de risicobeoordeling eenvoudig te maken? Neem dan nu contact met ons op…