Verklaring van toepasselijkheid ISO 27001
ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces
ISO 27001 Risicobehandelplan
De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen
die:
De organisatie moet gedocumenteerde informatie bewaren over het risicobeoordelingsproces van informatiebeveiliging.
- risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
- de risicoacceptatiecriteria; en
- criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging;
- waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, geldige en vergelijkbare resultaten opleveren;
- de informatiebeveiligingsrisico’s identificeert:
- het risicobeoordelingsproces voor informatiebeveiliging toepassen om de risico’s in verband met het verlies van vertrouwen in, integriteit van en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
- de risico-eigenaren identificeren;
- de informatiebeveiligingsrisico’s analyseert:
- de potentiële gevolgen beoordelen indien de risico’s die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
- de realistische waarschijnlijkheid beoordelen van het voorkomen van de risico’s die zijn vastgesteld in 6.1.2 c) 1); en
- de risiconiveaus vaststellen;
- de informatiebeveiligingsrisico’s evalueert:
- de resultaten vergelijken van risicoanalyses met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
- de geanalyseerde risico’s prioriteren voor risicobehandeling.