ISO 27001 informatiegidsHeb je al bepaald of je organisatie voldoende met informatiebeveiliging bezig is? Op onze website hebben we diverse artikelen gepubliceerd over informatiebeveiliging. Zo is de ISO 27001 norm geïntroduceerd en we hebben het gehad over de vraag of informatiebeveiliging een kostenpost of juist noodzaak is. In beide artikelen is de ISO 27001 risicoanalyse al kort genoemd. Omdat de risicoanalyse in ISO 27001 centraal staat, zoomen we daar in dit artikel wat dieper op in.

De risicoanalyse ISO 27001: Hoe weet je of de informatiebeveiliging op orde is?

Wij zijn van mening dat informatiebeveiliging noodzakelijk is, maar dat er wel een balans moet zijn. Een balans tussen noodzakelijke maatregelen en acceptabele risico’s. Geen kosten maken die niet nodig zijn dus. De ISO 27001 risicoanalyse is de perfecte tool om te beoordelen in hoeverre de beveiliging in je organisatie op een acceptabel niveau is. Hier zijn wel twee voorwaarden aan verbonden:

  1. Het informatiebeveiligingsbeleid is vastgesteld. Belangrijk is dat hier doelstellingen in zijn opgenomen en dat het beleid past bij je organisatie. Voor een bank of verzekeraar is informatieverwerking core business. Hier past dus een ander beleid bij dan bij een productiebedrijf.
  2. De tweede voorwaarde is het bepalen van de scope. Nu er beleid is vastgesteld, moet bepaald worden voor welke activiteiten je het ISO 27001 certificaat wilt behalen. Wil je voor de gehele organisatie de ISO certificering behalen of alleen voor een aantal afdelingen?

Stappenplan risico-analyse

Download geheel vrijblijvend het stappenplan risicoanalyse voor ISO 27001. Daarin zie je precies welke stappen doorlopen dienen te worden om te kunnen voldoen aan de ISO 27001 norm.

DOWNLOAD RISICO-ANALYSE
iso 27001 informatiegids mockup

Uitvoeren van de risicoanalyse ISO 27001 met behulp van ISO 27002

De ISO 27001 risico analyse wordt uitgevoerd met behulp van een bijlage van de ISO 27001 norm: de ISO 27002. Dit is een lijst met veelvoorkomende risico’s, referentiebeheersdoelstellingen- en maatregelen. Om een goede risicobeoordeling informatiebeveiliging uit te voeren loop je deze lijst door en bepaal je welke risico’s op je organisatie van toepassing zijn. Zoals de lijst al aangeeft, is het een referentie en geen uitputtende lijst. Het is cruciaal om passende maatregelen te nemen voor specifieke risico’s binnen jouw organisatie. Belangrijke onderwerpen in ISO 27002 zijn o.a.:

  • Informatiebeveiligingsbeleid;
  • Veilig personeel (denk hierbij bijvoorbeeld aan screening);
  • Beheer van bedrijfsmiddelen;
  • Toegangsbeveiliging;
  • Communicatiebeveiliging;

Binnen deze onderwerpen worden specifieke risico’s en bijbehorende maatregelen genoemd. Deze maatregelen zijn gebaseerd op best practices, waardoor ze gemakkelijk in de praktijk toe te passen zijn. De ISO 27001 norm hanteert een procesgerichte benadering met behulp van de PDCA cyclus. Voer de risicoanalyse ook op die manier uit. Per proces analyseer je de risico’s en optimaliseer je het proces met behulp van de verbetercirkel van Deming.

Stappenplan uitvoeren ISO 27001 risicoanalyse

Onderstaand vind je het stappenplan voor het uitvoeren van de ISO 27001 risicoanalyse. Een voorbeeld van hoe een dergelijk document eruit zou kunnen komen te zien, vind je daaronder.

Stappenplan:

  1. Vul per proces in welke dreigingen van toepassing worden geacht (met behulp van de lijst uit ISO 27002).
  2. Vul per dreiging voor het desbetreffende proces in wat de kans is op optreden. Doe dit op basis van labels waar je een waarde aan toekent. Bijvoorbeeld: high (=waarde 3), medium (=waarde 2) en low (=waarde 1).
  3. Vul per dreiging voor het desbetreffende proces in wat de impact is als de dreiging zich voordoet. Hanteer hierbij dezelfde labels en waardes als bij het vaststellen van de kans op optreden.
  4. Bepaal de risicowaarde door de formule kans x impact. Bijvoorbeeld: als kans op dreiging X = high (3) en de impact low (1) is de risicowaarde: kans (3) x impact (1) = 3.
  5. Geef per dreiging in het proces vervolgens aan welke huidige beheersmaatregelen van toepassing zijn. De stappen t/m 5 noemen we ook wel de GAP-analyse.
  6. Bepaal of er per dreiging aanvullende maatregelen gewenst zijn, volgend uit het informatiebeveiligingsbeleid. Uiteraard is prioritering op basis van hoge risicowaardes hierbij aan te bevelen. Ook een planning met een verantwoordelijke, streefdatum en status van het project is van belang.

Wie voert de ISO 27001 risicoanalyse uit?

De vraag rijst nog wel eens wie er nu eigenlijk verantwoordelijk is voor het uitvoeren van de risicoanalyse. De directie is verantwoordelijk voor de strategische richting van de organisatie en de doeltreffendheid van het ISMS (Information security management system). Zij moet hiervoor de nodige middelen, rollen, verantwoordelijkheden en bevoegdheden beschikbaar stellen/toekennen, zodat de benodigde informatiebeveiligingsdoelstellingen worden behaald. Veelal zal er een Security officer worden aangesteld die sturing aan dit proces geeft. De directie of MT zal echter altijd betrokkenheid en leiderschap moeten tonen en kan deze niet enkel en alleen op de Security officer afschuiven.

De rol van een consultant

Uiteraard kan een consultant ondersteunen bij ISO 27001 certificering en het uitvoeren van de risicoanalyse. CertificeringsAdvies Nederland gelooft dat samenwerking tussen medewerkers (proceseigenaren) en de ISO 27001 specialist essentieel is. Onze consultants hebben diepgaande kennis van de norm, maar je medewerkers weten wat er speelt in de organisatie. Daarnaast is pragmatisme van belang. Onze consultants vertalen de uitkomsten van de ISO 27001 risicoanalyse naar concrete verbeteracties die je organisatie op een hoger niveau brengen. Daarbij houden zij rekening met het gewenste niveau van informatiebeveiliging en de mensen die met de oplossing aan de slag moeten.



Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl