De informatiebeveiliging risicoanalyse uitgelicht: zo werkt de ISO 27001 risicoanalyse

De ISO 27001 risicoanalyse is een belangrijk onderdeel voor je organisatie. In dit artikel leggen we uit wat het is.

Risicoanalyse informatiebeveiliging
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

De informatiebeveiliging risicoanalyse, twee woorden die onlosmakelijk met elkaar verbonden zijn. Binnen informatiebeveiliging, en zeker binnen normen voor informatiebeveiliging zoals ISO 27001, staat de risicoanalyse namelijk centraal. En dat is ook zeker niet gek: wanneer je met informatie werkt liggen er altijd risico’s op de loer en die worden, zeker met opkomende digitalisering, steeds groter. De risicoanalyse informatiebeveiliging, of vaak bedoeld de ISO 27001 risicoanalyse, is de perfecte tool om te beoordelen in hoeverre de informatiebeveiliging binnen je organisatie op een acceptabel niveau is. Ook krijg je zo goed in beeld gebracht waar de kansen liggen om risico’s te beperken. Maar hoe voer je een risicoanalyse informatiebeveiliging uit? In dit artikel vertellen we daar meer over. Ook geven we een risicoanalyse informatiebeveiliging voorbeeld en een handig stappenplan dat je kunt hanteren als soort van checklist risicoanalyse informatiebeveiliging.

De informatiebeveiliging risicoanalyse: zorg dat de juiste zaken op orde zijn!

Informatie binnen organisaties is van grote waarde en daardoor interessant voor kwaadwillenden. Het is daarom ook niet gek dat informatiebeveiliging steeds meer gemeengoed wordt in steeds meer branches. Digitalisering en het toenemend belang van informatietechnologie maken bedrijfsresultaten steeds afhankelijker van beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie. Betrouwbare, veilige en efficiënte IT-middelen zijn een must. Aantoonbare beheersing van informatiebeveiliging (door middel van ISO 27001 of vergelijkbare certificering) is inmiddels geen onderscheidende factor meer.

Maar hoe is het gesteld met (het niveau) van informatiebeveiliging in jouw organisatie? Wij zijn van mening dat informatiebeveiliging noodzakelijk is, maar dat er wel een balans moet zijn tussen noodzakelijke maatregelen en acceptabele risico’s. Geen kosten maken die niet nodig zijn. De risicoanalyse informatiebeveiliging, of beter gezegd de ISO 27001 risicoanalyse, is de perfecte tool om te beoordelen in hoeverre de beveiliging van je organisatie op een acceptabel niveau is. Hier zijn wel twee voorwaarden aan verbonden:

  1. Het informatiebeveiligingsbeleid binnen je organisatie is vastgesteld. Belangrijk hierin is dat er doelstellingen zijn opgenomen en dat het beleid past bij je organisatie.
  2. De tweede voorwaarde is het bepalen van de scope. Nu er beleid is vastgesteld, moet er bepaald worden voor welke activiteiten je bijvoorbeeld een ISO 27001 certificering wilt behalen. Wil je dit voor de gehele organisatie inrichten of specifiek voor een aantal processen of afdelingen?

Hoe stel je een ISO 27001 risicoanalyse op?

Wanneer je een risicoanalyse informatiebeveiliging uit gaat voeren, dan kom je al snel uit bij de ISO 27001 risicoanalyse. Deze wordt uitgevoerd met behulp van een bijlage van de ISO 27001 norm. Deze bijlage wordt de ISO 27001 Annex A genoemd.

De Annex A bevat een hele lijst met informatiebeveiligingsrisico’s, referentiebeheerdoelstellingen en -maatregelen (ook wel controls genoemd). Als organisatie kies je uit die lijst de controls die voor jouw organisatie van toepassing zijn. Hoe weet je wanneer een control van toepassing is? Daar kom je dus achter door het uitvoeren van een risicoanalyse. Het is daarbij cruciaal om passende maatregelen te nemen voor specifieke risico’s binnen jouw organisatie.

Belangrijke onderwerpen voor je organisatie zijn o.a.:

  • Informatiebeveiligingsbeleid;
  • Veilig personeel (bijv. screening);
  • Beheer van bedrijfsmiddelen;
  • Toegangsbeveiliging;
  • Communicatiebeveiliging

Binnen deze onderwerpen worden specifieke risico’s en bijbehorende maatregelen genoemd. Deze zijn weergegeven in de Annex A. Belangrijk om te noemen daarbij is dat de Annex A weliswaar de controls weergeeft, maar niet heel veel details beschrijft. Daarvoor heb je de ISO 27002 norm (waar je niet voor kunt certificeren) nodig. De controls uit ISO 27001 Annex A zijn namelijk terug te vinden in ISO 27002, maar dan met een veel uitgebreidere uitleg over hoe je deze moet implementeren. ISO 27002 bevat dus praktische richtlijnen voor het ontwerpen van informatie-veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van die veiligheid.

De PDCA cyclus als leidraad bij de risicoanalyse informatiebeveiliging

De ISO 27001 norm hanteert een procesgerichte benadering met behulp van de PDCA cyclus. Voer de risicoanalyse ook op die manier uit. Per proces analyseer je de risico’s en optimaliseer je het proces met behulp van de PDCA-cyclus (cirkel van Deming). De PDCA-cyclus is een zogenaamde verbetermethode. Om een hoger kwaliteitsniveau te bereiken als organisatie, dien je een continue cyclus op gang te brengen. Deze cyclus start met plannen, wordt gevolgd door uitvoeren, checken van resultaten en het bijstellen van de uitvoering. Tijdens een ISO 27001 implementatietraject doorloop je minimaal één keer de PDCA-cyclus. Alle hoofdstukken van de ISO 27001 norm passen immers precies in die PDCA-cyclus.

ISO 27001 risicoanalyse maken: handige checklist risicoanalyse informatiebeveiliging

We weten nu op hoofdlijnen hoe je een ISO 27001 risicoanalyse maken kunt, maar nog niet hoe dat er in de praktijk stap voor stap uitziet. Om die reden hieronder een soort van stappenplan dat kan dienen als checklist risicoanalyse informatiebeveiliging:

  1. Vul per proces in welke dreigingen van toepassing worden geacht (met behulp van de lijst uit Annex A/ISO 27002).
  2. Vul per dreiging voor het desbetreffende proces in wat de kans is op optreden. Doe dit op basis van labels waar je een waarde aan toekent. Bijvoorbeeld: high (=waarde 3), medium (=waarde 2) en low (=waarde 1).
  3. Vul per dreiging voor het desbetreffende proces in wat de impact is als de dreiging zich voordoet. Hanteer hierbij dezelfde labels en waardes als bij het vaststellen van de kans op optreden.
  4. Bepaal de risicowaarde door de formule kans x impact. Bijvoorbeeld: als kans op dreiging X = high (3) en de impact low (1) is de risicowaarde: kans (3) x impact (1) = 3.
  5. Geef per dreiging in het proces vervolgens aan welke huidige beheersmaatregelen van toepassing zijn. De stappen t/m 5 noemen we ook wel de GAP-analyse.
  6. Bepaal of er per dreiging aanvullende maatregelen gewenst zijn, volgend uit het informatiebeveiligingsbeleid. Uiteraard is prioritering op basis van hoge risicowaardes hierbij aan te bevelen. Ook een planning met een verantwoordelijke, streefdatum en status van het project is van belang.

Opstaptraject informatiebeveiliging

Aan de slag met het inrichten van de basis van informatiebeveiliging? Bekijk dan eens: Opstaptraject informatiebeveiliging (ISO 27001/NEN 7510)

Risicoanalyse informatiebeveiliging voorbeeld

Regelmatig wordt ons de vraag gesteld of we een risicoanalyse informatiebeveiliging voorbeeld beschikbaar hebben. Uiteraard hebben we tal van ISO 27001 risicoanalyses uitgevoerd voor verschillende organisaties. Mocht je hier meer inzicht in willen hebben, neem dan gerust contact met ons op. Onze adviseur kan je voorbeeld risicoanalyse informatiebeveiliging laten zien in de vorm van formats, zodat je een indruk krijgt.

Outsourcing: Security Officer as a Service

Ook interessant: Laat je informatiebeveiliging naar een hoger level tillen door een expert. Kijk eens naar onze dienst outsourcing: ‘Security Officer as a Service‘ (SOaaS).

Verder willen we je attenderen op het handige ‘stappenplan risicoanalyse ISO 27001’. Een document dat geheel vrijblijvend via onze website te downloaden is. In dat document vertellen we je over het belang van een risicoanalyse informatiebeveiliging, vertellen we hoe je een risicoanalyse uitvoert en tonen we een stappenplan risicoanalyse ISO 27001 dat visueel (schematisch) is weergegeven. Ook zeker de moeite waard om te downloaden als je op zoek bent naar een risicoanalyse informatiebeveiliging voorbeeld.

Wie voert de risicoanalyse ISO 27001 uit?

De vraag rijst nog wel eens wie er nu eigenlijk verantwoordelijk is voor het uitvoeren van de risicoanalyse. Hieronder een invulling:

  • De directie is verantwoordelijk voor de strategische richting van de organisatie en de doeltreffendheid van het ISMS (Information security management system). Zij moet hiervoor de nodige middelen, rollen, verantwoordelijkheden en bevoegdheden beschikbaar stellen/toekennen, zodat de benodigde informatiebeveiligingsdoelstellingen worden behaald.
  • Veelal zal er een Security Officer (SO) worden aangesteld die sturing aan dit proces geeft. De directie of MT zal echter altijd betrokkenheid en leiderschap moeten tonen en kan deze niet enkel en alleen op de Security Officer afschuiven.

Ondersteuning nodig bij de informatiebeveiliging risicoanalyse?

Het uitvoeren van een informatiebeveiliging risicoanalyse is, zeker binnen een ISO 27001 implementatietraject, een belangrijke stap. Het is dan ook niet gek dat je hiervoor (externe) ondersteuning zoekt. Uiteraard kan een consultant prima ondersteunen bij een ISO 27001 certificering en het uitvoeren van de bijbehorende ISO 27001 risicoanalyse. CertificeringsAdvies Nederland gelooft dat samenwerking tussen medewerkers van jouw organisatie (proceseigenaren) en de ISO 27001 specialist essentieel is. Onze consultants hebben diepgaande kennis van de norm, maar je medewerkers weten wat er speelt in de organisatie.

Daarnaast is pragmatisme van belang. Onze consultants vertalen de uitkomsten van de ISO 27001 risicoanalyse naar concrete verbeteracties die je organisatie op een hoger niveau brengen. Daarbij houden zij rekening met het gewenste niveau van informatiebeveiliging en de mensen die met de oplossing aan de slag moeten.

“Een managementsysteem dat ons past”

Jan Penning (WSB Solutions): “Het hele ISO-traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!” – Wil je het hele verhaal van WSB Solutions lezen? Bekijk dan de WSB Solutions klantcase.

Wil je aan de slag met de risicoanalyse informatiebeveiliging al dan niet in relatie tot ISO 27001? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!

Download Informatiegids ISO 27001

Transcriptie video: ISO 27001 implementatie in 6 stappen

Hai! In deze video vertel ik je graag meer over de implementatie van een ISO 27001 managementsysteem. Stap 1: je begint allereerst met een contextanalyse. In een contextanalyse ga je kijken: hoe bestaan wij als bedrijf in de markt en wat voor in- en externe invloeden zijn er op ons als organisatie? Dat kan bijvoorbeeld in de vorm van een SWOT analyse of een DESTEP analyse. Linksom of rechtsom, je gaat in kaart brengen welke in- en externe factoren van invloed zijn op jou als organisatie. Naast dat je de contextanalyse in kaart brengt, ga je ook kijken naar stakeholders. Belanghebbenden dus voor jouw organisatie. Een belangrijke voorwaarde voor de implementatie van een ISO 27001 managementsysteem, is een stukje leiderschap en betrokkenheid. Het is een managementsysteem dus het management of de directie moet betrokken zijn bij de implementatie van ISO 27001. Of überhaupt een managementsysteem. Zonder betrokkenheid of commitment vanuit de directie ga je er niet komen. Vervolgens als jij een stuk commitment hebt en je hebt de context in kaart gebracht, ga je kijken naar een risicoanalyse. In die risicoanalyse ga je kijken: wat zijn nu de risico’s die van invloed zijn op onze organisatie? Waarschijnlijk heb je ook al een aantal risico’s geïdentificeerd vanuit jouw context- en stakeholdersanalyse. Dat neem je mee en vervolgens ga je kijken: wat is van impact op onze organisatie? Vervolgens ga je kijken: dit risico, vinden wij dat acceptabel? Waarschijnlijk niet, anders had je hem niet opgenomen. Wellicht ook wel, dat is even aan jezelf. Mocht je zo’n risico niet acceptabel vinden, dan ga je waarschijnlijk over tot het behandelen van het risico. Je gaat zo’n risico implementeren, je gaat een maatregel bedenken en vervolgens zegt de norm dan vergelijk die maatregel die jij hebt genomen eens met onze bijlage A, want wij zijn ISO, wij hebben hierover nagedacht. En kijk eens of je niet nog eventuele maatregelen vergeten bent.Dan heb je natuurlijk geïdentificeerd wat je wil gaan doen, wat je doelen zijn en wat je maatregelen voor risicobehandeling zijn. Daar heb je ook geld voor nodig, tijd, mensen: middelen in het algemeen. In de breedste vorm van het woord! Je gaat zorgen dat je de maatregelen die jij hebt bedacht ten uitvoer brengt en daar ga je een stuk monitoring op loslaten zodat je ook weet: hoe staan we ervoor? Vervolgens heb je dus het stuk monitoren, waar we het eerder al heel even over hadden. Leven wij ons beleid na? Medewerker A heeft alleen toestemming om toegang te hebben tot applicatie A. Maar uit jouw controle blijkt dat hij ook toegang heeft tot applicatie B. Dat is dan weer een afwijking van je eigen beleid en dat ga je dan vervolgens behandelen in het volgende hoofdstuk.  Naast de controle op naleving, ga je ook een interne audit uitvoeren. Dat is een extra stap die je neemt om een stukje naleving te toetsen. Tevens ook een verplicht onderdeel! Wil je nog meer informatie over het implementeren van een ISO 27001 managementsysteem? Bekijk dan ook eens onze andere YouTube video’s, neem contact met ons op of bekijk onze website!

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Meer weten over ISO 27001?

Download de handige informatiegids!

  • Alles over informatiebeveiliging
  • Stap voor stap inzicht
  • Antwoord op al je vragen

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields