Risicoanalyse informatiebeveiliging De informatiebeveiliging risicoanalyse, twee woorden die onlosmakelijk met elkaar verbonden zijn. Binnen informatiebeveiliging, en zeker binnen normen voor informatiebeveiliging zoals ISO 27001, staat de risicoanalyse namelijk centraal. En dat is ook zeker niet gek: wanneer je met informatie werkt liggen er altijd risico’s op de loer en die worden, zeker met opkomende digitalisering, steeds groter. De risicoanalyse informatiebeveiliging, of vaak bedoeld de ISO 27001 risicoanalyse, is de perfecte tool om te beoordelen in hoeverre de informatiebeveiliging binnen je organisatie op een acceptabel niveau is. Ook krijg je zo goed in beeld gebracht waar de kansen liggen om risico’s te beperken. Maar hoe voer je een risicoanalyse informatiebeveiliging uit? In dit artikel vertellen we daar meer over. Ook geven we een risicoanalyse informatiebeveiliging voorbeeld en een handig stappenplan dat je kunt hanteren als soort van checklist risicoanalyse informatiebeveiliging.

Stappenplan risico-analyse informatiebeveiliging (Informatiegids)

Download geheel vrijblijvend de informatiegids ‘stappenplan risicoanalyse voor ISO 27001’. Daarin zie je precies welke stappen doorlopen dienen te worden bij het uitvoeren van een risicoanalyse informatiebeveiliging/ISO 27001.

DOWNLOAD RISICO-ANALYSE

Informatiegids ISO 27001

De informatiebeveiliging risicoanalyse: zorg dat de juiste zaken op orde zijn!

Informatie binnen organisaties is van grote waarde en daardoor interessant voor kwaadwillenden. Het is daarom ook niet gek dat informatiebeveiliging steeds meer gemeengoed wordt in steeds meer branches. Digitalisering en het toenemend belang van informatietechnologie maken bedrijfsresultaten steeds afhankelijker van beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie. Betrouwbare, veilige en efficiënte IT-middelen zijn een must. Aantoonbare beheersing van informatiebeveiliging (door middel van ISO 27001 of vergelijkbare certificering) is inmiddels geen onderscheidende factor meer.

Lees ook het artikel: De organisatie van de toekomst heeft informatiebeveiliging ‘in het DNA’

Maar hoe is het gesteld met (het niveau) van informatiebeveiliging in jouw organisatie? Wij zijn van mening dat informatiebeveiliging noodzakelijk is, maar dat er wel een balans moet zijn tussen noodzakelijke maatregelen en acceptabele risico’s. Geen kosten maken die niet nodig zijn. De risicoanalyse informatiebeveiliging, of beter gezegd de ISO 27001 risicoanalyse, is de perfecte tool om te beoordelen in hoeverre de beveiliging van je organisatie op een acceptabel niveau is. Hier zijn wel twee voorwaarden aan verbonden:

  1. Het informatiebeveiligingsbeleid binnen je organisatie is vastgesteld. Belangrijk hierin is dat er doelstellingen zijn opgenomen en dat het beleid past bij je organisatie.
  2. De tweede voorwaarde is het bepalen van de scope. Nu er beleid is vastgesteld, moet er bepaald worden voor welke activiteiten je bijvoorbeeld een ISO 27001 certificering wilt behalen. Wil je dit voor de gehele organisatie inrichten of specifiek voor een aantal processen of afdelingen?

Ook interessant: ISO 27001 checklist: in 15-stappen naar implementatie ISO 27001

Hoe stel je een ISO 27001 risicoanalyse op?

Wanneer je een risicoanalyse informatiebeveiliging uit gaat voeren, dan kom je al snel uit bij de ISO 27001 risicoanalyse. Deze wordt uitgevoerd met behulp van een bijlage van de ISO 27001 norm. Deze bijlage wordt de ISO 27001 Annex A genoemd.

De Annex A bevat een hele lijst met informatiebeveiligingsrisico’s, referentiebeheerdoelstellingen en -maatregelen (ook wel controls genoemd). Als organisatie kies je uit die lijst de controls die voor jouw organisatie van toepassing zijn. Hoe weet je wanneer een control van toepassing is? Daar kom je dus achter door het uitvoeren van een risicoanalyse. Het is daarbij cruciaal om passende maatregelen te nemen voor specifieke risico’s binnen jouw organisatie.

Belangrijke onderwerpen voor je organisatie zijn o.a.:

  • Informatiebeveiligingsbeleid;
  • Veilig personeel (bijv. screening);
  • Beheer van bedrijfsmiddelen;
  • Toegangsbeveiliging;
  • Communicatiebeveiliging

Binnen deze onderwerpen worden specifieke risico’s en bijbehorende maatregelen genoemd. Deze zijn weergegeven in de Annex A. Belangrijk om te noemen daarbij is dat de Annex A weliswaar de controls weergeeft, maar niet heel veel details beschrijft. Daarvoor heb je de ISO 27002 norm (waar je niet voor kunt certificeren) nodig. De controls uit ISO 27001 Annex A zijn namelijk terug te vinden in ISO 27002, maar dan met een veel uitgebreidere uitleg over hoe je deze moet implementeren. ISO 27002 bevat dus praktische richtlijnen voor het ontwerpen van informatie-veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van die veiligheid.

Meer informatie: Wat is de ISO 27001 Annex A en hoe verschilt deze van ISO 27002?

De PDCA cyclus als leidraad bij de risicoanalyse informatiebeveiliging

De ISO 27001 norm hanteert een procesgerichte benadering met behulp van de PDCA cyclus. Voer de risicoanalyse ook op die manier uit. Per proces analyseer je de risico’s en optimaliseer je het proces met behulp van de PDCA-cyclus (cirkel van Deming). De PDCA-cyclus is een zogenaamde verbetermethode. Om een hoger kwaliteitsniveau te bereiken als organisatie, dien je een continue cyclus op gang te brengen. Deze cyclus start met plannen, wordt gevolgd door uitvoeren, checken van resultaten en het bijstellen van de uitvoering. Tijdens een ISO 27001 implementatietraject doorloop je minimaal één keer de PDCA-cyclus. Alle hoofdstukken van de ISO 27001 norm passen immers precies in die PDCA-cyclus.

Hulpmiddel PDCA bij ISO 27001

Meer lezen hierover? Bekijk het artikel: Gratis hulpmiddel bij ISO 27001: De PDCA duidelijker en beter toepasbaar!

ISO 27001 risicoanalyse maken: handige checklist risicoanalyse informatiebeveiliging

We weten nu op hoofdlijnen hoe je een ISO 27001 risicoanalyse maken kunt, maar nog niet hoe dat er in de praktijk stap voor stap uitziet. Om die reden hieronder een soort van stappenplan dat kan dienen als checklist risicoanalyse informatiebeveiliging:

  1. Vul per proces in welke dreigingen van toepassing worden geacht (met behulp van de lijst uit Annex A/ISO 27002).
  2. Vul per dreiging voor het desbetreffende proces in wat de kans is op optreden. Doe dit op basis van labels waar je een waarde aan toekent. Bijvoorbeeld: high (=waarde 3), medium (=waarde 2) en low (=waarde 1).
  3. Vul per dreiging voor het desbetreffende proces in wat de impact is als de dreiging zich voordoet. Hanteer hierbij dezelfde labels en waardes als bij het vaststellen van de kans op optreden.
  4. Bepaal de risicowaarde door de formule kans x impact. Bijvoorbeeld: als kans op dreiging X = high (3) en de impact low (1) is de risicowaarde: kans (3) x impact (1) = 3.
  5. Geef per dreiging in het proces vervolgens aan welke huidige beheersmaatregelen van toepassing zijn. De stappen t/m 5 noemen we ook wel de GAP-analyse.
  6. Bepaal of er per dreiging aanvullende maatregelen gewenst zijn, volgend uit het informatiebeveiligingsbeleid. Uiteraard is prioritering op basis van hoge risicowaardes hierbij aan te bevelen. Ook een planning met een verantwoordelijke, streefdatum en status van het project is van belang.

Aan de slag met het inrichten van de basis van informatiebeveiliging? Bekijk dan eens: Opstaptraject informatiebeveiliging (ISO 27001/NEN 7510)

Risicoanalyse informatiebeveiliging voorbeeld

Regelmatig wordt ons de vraag gesteld of we een risicoanalyse informatiebeveiliging voorbeeld beschikbaar hebben. Uiteraard hebben we tal van ISO 27001 risicoanalyses uitgevoerd voor verschillende organisaties. Mocht je hier meer inzicht in willen hebben, neem dan gerust contact met ons op. Onze adviseur kan je voorbeeld risicoanalyse informatiebeveiliging laten zien in de vorm van formats, zodat je een indruk krijgt.

Ook interessant: Laat je informatiebeveiliging naar een hoger level tillen door een expert. Kijk eens naar onze dienst outsourcing: ‘Security Officer as a Service‘ (SOaaS).

Verder willen we je attenderen op het handige ‘stappenplan risicoanalyse ISO 27001’. Een document dat geheel vrijblijvend via onze website te downloaden is. In dat document vertellen we je over het belang van een risicoanalyse informatiebeveiliging, vertellen we hoe je een risicoanalyse uitvoert en tonen we een stappenplan risicoanalyse ISO 27001 dat visueel (schematisch) is weergegeven. Ook zeker de moeite waard om te downloaden als je op zoek bent naar een risicoanalyse informatiebeveiliging voorbeeld.


DOWNLOAD RISICO-ANALYSE

Wie voert de risicoanalyse ISO 27001 uit?

De vraag rijst nog wel eens wie er nu eigenlijk verantwoordelijk is voor het uitvoeren van de risicoanalyse. Hieronder een invulling:

  • De directie is verantwoordelijk voor de strategische richting van de organisatie en de doeltreffendheid van het ISMS (Information security management system). Zij moet hiervoor de nodige middelen, rollen, verantwoordelijkheden en bevoegdheden beschikbaar stellen/toekennen, zodat de benodigde informatiebeveiligingsdoelstellingen worden behaald.
  • Veelal zal er een Security Officer (SO) worden aangesteld die sturing aan dit proces geeft. De directie of MT zal echter altijd betrokkenheid en leiderschap moeten tonen en kan deze niet enkel en alleen op de Security Officer afschuiven.

Lees ook het artikel: Wat is een ISMS in de ISO 27001 norm?

Ondersteuning nodig bij de informatiebeveiliging risicoanalyse?

Het uitvoeren van een informatiebeveiliging risicoanalyse is, zeker binnen een ISO 27001 implementatietraject, een belangrijke stap. Het is dan ook niet gek dat je hiervoor (externe) ondersteuning zoekt. Uiteraard kan een consultant prima ondersteunen bij een ISO 27001 certificering en het uitvoeren van de bijbehorende ISO 27001 risicoanalyse. CertificeringsAdvies Nederland gelooft dat samenwerking tussen medewerkers van jouw organisatie (proceseigenaren) en de ISO 27001 specialist essentieel is. Onze consultants hebben diepgaande kennis van de norm, maar je medewerkers weten wat er speelt in de organisatie.

Daarnaast is pragmatisme van belang. Onze consultants vertalen de uitkomsten van de ISO 27001 risicoanalyse naar concrete verbeteracties die je organisatie op een hoger niveau brengen. Daarbij houden zij rekening met het gewenste niveau van informatiebeveiliging en de mensen die met de oplossing aan de slag moeten.

Jan Penning (WSB Solutions): “Het hele ISO-traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!” – Wil je het hele verhaal van WSB Solutions lezen? Bekijk dan de WSB Solutions klantcase.

Wil je aan de slag met de risicoanalyse informatiebeveiliging al dan niet in relatie tot ISO 27001? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!

Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl

Dit artikel is gepubliceerd op 17 november 2016. Het artikel is van een update voorzien op 23 november 2022.