ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces
ISO 27001 Risico-Inventarisatie: De Basis van een Robuust ISMS
De ISO 27001 risico-inventarisatie vormt de basis van het ISO 27001 informatiemanagementsysteem (ISMS). De ISO 27001 norm stelt specifieke eisen aan hoe organisaties hun informatiebeveiligingsrisico's moeten beoordelen en beheren.
Wat Zegt de ISO 27001 Norm over Risico-Inventarisatie?
De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
- Risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
de risicoacceptatiecriteria; en criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging;
Waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, geldige en vergelijkbare resultaten opleveren;
- De informatiebeveiligingsrisico’s identificeert door:
het risicobeoordelingsproces voor informatiebeveiliging toe te passen om de risico’s in verband met verlies van vertrouwen, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het ISMS te identificeren; en
de risico-eigenaren te identificeren;
De informatiebeveiligingsrisico’s analyseert door:
de potentiële gevolgen te beoordelen als de geïdentificeerde risico’s werkelijkheid worden;
de realistische waarschijnlijkheid van het optreden van deze risico’s te beoordelen; en
de risiconiveaus vast te stellen;
- De informatiebeveiligingsrisico’s evalueert door:
de resultaten van risicoanalyses te vergelijken met de vastgestelde risicocriteria; en
de geanalyseerde risico’s te prioriteren voor risicobehandeling.
De organisatie moet gedocumenteerde informatie bewaren over het risicobeoordelingsproces van informatiebeveiliging.
Risico-Inventarisatie: De Methode
Bij het uitvoeren van een ISO 27001 risico-inventarisatie moet een geschikte methode worden gekozen. De norm laat hierbij enige flexibiliteit zolang aan de volgende voorwaarden wordt voldaan:
- De methode moet passend zijn bij de omvang en complexiteit van de organisatie.
- De methode moet consistente, geldige en vergelijkbare resultaten opleveren.
Het is belangrijk om zoveel mogelijk afdelingen en medewerkers bij de risico-inventarisatie te betrekken. Vaak worden hiervoor workshops gebruikt. De ISO 27002 kan dienen als leidraad om ervoor te zorgen dat alle belangrijke onderwerpen worden behandeld.
Vaststellen van het Risiconiveau
Een grondige risico-inventarisatie mondt uit in het vaststellen van de risiconiveaus. Voor elk geïdentificeerd risico bepaalt u de hoogte ervan door de kans op optreden te vermenigvuldigen met de impact. Dit wordt getoetst aan de begrippen vertrouwen, integriteit en beschikbaarheid.
Uiteindelijk krijg je een helder beeld van de aanwezige risico's. Sommige zullen onaanvaardbaar hoog zijn en vereisen een risicobehandelplan.
Geïnteresseerd in voorbeelden van een ISO 27001 risico-inventarisatie? Kijk dan eens hier.