arrow_drop_up arrow_drop_down
ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces

ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces

De basis van het ISO 27001 informatiemanagementsysteem (ISMS) wordt gevormd door de risico-inventarisatie. Wat zegt de ISO 270001 norm daarover:

De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen

die:

  • risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
    • de risicoacceptatiecriteria; en
    • criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging;
  • waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, geldige en vergelijkbare resultaten opleveren;
  • de informatiebeveiligingsrisico’s identificeert:
    • het risicobeoordelingsproces voor informatiebeveiliging toepassen om de risico’s in verband met het verlies van vertrouwen in, integriteit van en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
    • de risico-eigenaren identificeren;
  • de informatiebeveiligingsrisico’s analyseert:
    • de potentiële gevolgen beoordelen indien de risico’s die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
    • de realistische waarschijnlijkheid beoordelen van het voorkomen van de risico’s die zijn vastgesteld in 6.1.2 c) 1); en
    • de risiconiveaus vaststellen;
  • de informatiebeveiligingsrisico’s evalueert:
    • de resultaten vergelijken van risicoanalyses met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
    • de geanalyseerde risico’s prioriteren voor risicobehandeling.
De organisatie moet gedocumenteerde informatie bewaren over het risicobeoordelingsproces van informatiebeveiliging.

Risico-inventarisatie: de methode

Het eerste waar je tegen aanloopt wanneer je een risicobeoordeling / risico-analyse wilt uitvoeren is dat je een methode moet kiezen. De norm laat u daarin vrij zolang u maar voldoet aan de volgende voorwaarden:
  • De methode moet passend zijn bij de omvang en complexiteit van de organisatie
  • De methode moet consistente, geldige en vergelijkbare resultaten opleveren.
Bij het maken van de risico-inventarisatie is het van belang om zoveel mogelijk afdelingen en / of medewerkers daarbij te betrekken. Vaak worden hiervoor workshops gebruikt. U kunt de ISO 27002 mooi nemen als leidraad om zeker te weten dat u de belangrijkste onderwerpen behandelt.

Vaststellen van het risiconiveau

Het maken van een risico-inventarisatie mondt uit in het vaststellen van de risiconiveau's. Per geïdentificeerd risico stelt u de hoogte ervan vast. Dat doet u door de kans dat dit risico zich voordoet te vermenigvuldigen met het effect ervan. U toetst dit aan de begrippen vertrouwen, integriteit en beschikbaarheid. 

Uiteindelijk heeft u een beeld van de aanwezige risico' s. Een aantal daarvan zal onaanvaardbaar hoog zijn. daarvoor stelt u een risicobehandelplan op.

Geïnteresseerd in de ISO 27001? Kijk dan eens hier.
Reactie plaatsen