Het uitvoeren van de contextanalyse ISO 27001: wat houdt het in?
Het uitvoeren van een contextanalyse ISO 27001 is een belangrijk onderdeel van de ISO-norm. Maar hoe doe je dat precies? Dat lees je in dit artikel.
Robin van der Steen is adviseur bij CertificeringsAdvies Nederland. Robin is een enthousiaste adviseur met een passie voor informatiebeveiliging. Zijn kracht ligt in het beschermen van data en het bewaken van privacy binnen organisaties.
robin@certificeringsadvies.nlIn de ‘nieuwe’ generatie ISO-normen, waaronder ISO 27001:2017 én ISO 27001:2022, staat de contextanalyse centraal. Het doel van de contextanalyse ISO 27001 is inzicht krijgen in de organisatie en haar context. Het uitvoeren van een contextanalyse ISO 27001 moet onder andere leiden tot:
- Een duidelijke scope
- Doelstellingen
- Een ISMS dat past bij de organisatie
De contextanalyse ISO 27001 valt uiteen in twee delen, namelijk de stakeholdersanalyse en de risicoanalyse. In dit artikel vertellen we er meer over.
De contextanalyse ISO 27001
Wanneer we het hebben over de ISO 27001 contextanalyse, dan hebben we het over de ‘context’ van een organisatie, ofwel de omgeving waarin de organisatie zich bevindt en haar betekenis krijgt.
In ISO 27001 is beschreven dat een organisatie interne en externe issues moet vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om de beoogde resultaten van het managementsysteem voor informatiebeveiliging te behalen. Het is voor de organisatie dus zaak om informatie met betrekking tot deze interne en externe issues te:
- Identificeren
- Beoordelen
- Actualiseren
Dat kan worden gedaan door het uitvoeren van een contextanalyse ISO 27001. Op die manier kan er rekening worden gehouden met alle factoren die van invloed (kunnen) zijn op het Information Security Management System (ISMS) en kunnen kansen en risico’s die eruit voortkomen beter beheerd worden. Afhankelijk van de context kunnen er keuzes worden gemaakt rondom missie, visie, strategie, beleid en doelstellingen, welke de scope van het ISMS vormen.
De stakeholdersanalyse in ISO 27001
Wat zijn stakeholders volgens ISO 27001? Stakeholders zijn alle (groepen) mensen die een belang hebben bij of invloed hebben op je organisatie, zowel positief als negatief. Gevolg is dat jouw organisatie dus vanzelfsprekend ook belang heeft bij die stakeholders. Stakeholders vormen de grootste kans en tegelijkertijd ook de grootste bedreiging voor je organisatie en zijn daarom zo ongeveer de belangrijkste input voor je risicoanalyse.
Voordat je de stakeholdersanalyse uit gaat voeren is het aan te raden om even stil te staan bij het samenstellen van een team waarmee je die analyse gaat doen. Het is aan jou hoeveel en welke mensen uit de organisatie je daarbij betrekt. Beperk het wel tot ongeveer vijf of zes personen, zodat de groep niet te groot wordt. Stel een groep mensen samen uit allerlei geledingen van de organisatie om tot een zo compleet mogelijk beeld te komen.
Hoe voer je een ISO 27001 stakeholdersanalyse dan vervolgens uit? Daar is geen eenduidige methode voor. Je kunt een stakeholdersanalyse ISO 27001 namelijk op allerlei manieren uitvoeren. Het is aan jou om een geschikte methode te kiezen.
Per stakeholder breng je de wensen, eisen en verwachtingen in kaart en bepaal je van die eisen:
- De mate van belang voor je organisatie
- De mate van invloed op je organisatie
Op basis daarvan kun je stakeholders indelen op belang/niveau en vervolgens bepaal je in hoeverre je kan voldoen aan hun eisen, wensen en verwachtingen. Dat doe je door hier een classificatie aan te koppelen (bijv. goed-matig-slecht) of een actie te definiëren.
Praktische zaken en handige formats
Martijn Stuart – Infield ICT: “Informatiebeveiliging is van groot belang met betrekking tot IT-systemen en tevens een handvat om de organisatie te professionaliseren. Zo kunnen we kwalitatief goede dienstverlening bieden en naar buiten toe laten zien dat we veilig en zorgvuldig met informatie omgaan. Om ISO 27001 in te richten hebben we samengewerkt met CertificeringsAdvies Nederland (CAN). De consultants van CAN zijn altijd heel erg ter zake kundig. Over de hele linie kwamen ze met praktische zaken en handige formats. Doordat je dit soort handvaten krijgt aangereikt, werkt dat een stuk makkelijker dan wanneer dat niet het geval is.” – Bekijk de hele klantcase van Infield ICT.
De risicoanalyse in ISO 27001
Het tweede gedeelte van de contextanalyse ISO 27001 (waarbij je eigenlijk al richting planning gaat), bestaat uit de risicoanalyse. Wanneer je hiermee aan de slag gaat, kom je in aanraking met ‘risicomanagement’ wat betrekking heeft op:
- De issues en factoren in de organisatieomgeving.
- De kansen en bedreigingen, zowel intern als extern, die hieruit voortkomen.
De risicoanalyse is een belangrijk onderdeel binnen ISO-normen, maar dat is zeker het geval bij ISO 27001. In de ISO 27001 norm staat de risicoanalyse namelijk centraal. Met behulp van deze analyse wordt beoordeeld in hoeverre de informatiebeveiliging in de organisatie op een acceptabel niveau is of niet. Door een goede risicoanalyse uit te voeren, zorg je ervoor dat er in de organisatie niet lukraak beveiligingsmaatregelen geïmplementeerd worden, maar dat de ‘dingen’ in de juiste volgorde gebeuren.
Om de risicoanalyse voor ISO 27001 in goede banen te leiden, is het ook hier weer zaak om een geschikte groep mensen samen te stellen die hiermee aan de slag gaan. Zorg ervoor dat je borgt dat betrokkenheid van het management aan kunt tonen en dat je tot het beste resultaat voor de organisatie komt.
Ook voor het uitvoeren van een ISO 27001 risicoanalyse zijn allerlei methodes mogelijk. Welke je kiest is aan jou. Voer de risicoanalyse uit voor de belangrijkste (kern)processen en daarin aanwezige informatiesystemen binnen je organisatie:
- Per proces voer je een risicoanalyse uit (neem ook de kansen mee);
- Daarna stel je het effect van de risico’s en kansen vast (ofwel: wat kan er misgaan in het proces? En wat is de ernst daarvan?);
- Vervolgens stel je de oorzaak van het falen of de kans vast;
- Daar koppel je relevante verbetermaatregelen aan.
Een risicoanalyse wordt uitgevoerd met behulp van ISO 27002 die bestaat uit een lijst met veel voorkomende beheersmaatregelen. Dat is geen afvinklijstje, maar helpt je wel blinde vlekken voorkomen.
Nadat de risico’s in kaart zijn gebracht, is het zaak om acties, actieverantwoordelijken en een planning te koppelen. Op basis daarvan kan een ISMS opgezet worden.
Met het volbrengen van de stakeholders- en risicoanalyse is de ISO 27001 planfase (zo goed als) compleet. Wanneer je een gedegen analyse uitvoert, heeft het ook daadwerkelijk toegevoegde waarde voor je organisatie. Voorkom daarom dat je de contextanalyse ISO 27001 ‘even’ snel uitvoert, omdat het nu eenmaal moet van de ISO-norm.
Hulp nodig bij uitvoeren contextanalyse ISO 27001?
Kun je advies of ondersteuning gebruiken bij de implementatie van ISO 27001 in het algemeen of de contextanalyse ISO 27001 in het bijzonder? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg met het verbeteren van je informatiebeveiliging!
Robin van der Steen is adviseur bij CertificeringsAdvies Nederland. Robin is een enthousiaste adviseur met een passie voor informatiebeveiliging. Zijn kracht ligt in het beschermen van data en het bewaken van privacy binnen organisaties.
robin@certificeringsadvies.nl
Contextanalyse ISO 27001 uitvoeren?
Of ISO 27001 implementeren? Wij helpen je op weg!
- Stap voor stap inzicht
- Vrijblijvende offerte
- Praktische tips
- Traject op maat
