ISO 9001
ISO 14001
ISO 27001
CO2 prestatieladder
VCA
E-learning
Blog
Contact
0031 (0)85 - 303 1473
ISO 9001
ISO 14001
ISO 27001
CO2 prestatieladder
VCA
E-learning
Blog
Contact
0031 (0)85 - 303 1473
In dit artikel
Inhoudsopgave
Artikelen in deze categorie
Verklaring van toepasselijkheid ISO 27001
ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces
ISO 27001 Risicobehandelplan
Home
ISO Kennisbank
ISO 27001:2013
ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces
ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces

ISO 27001 Risico-inventarisatie / Risicobeoordelingsproces

J. van der Rijst
ISO 27001:2013
De basis van het ISO 27001 informatiemanagementsysteem (ISMS) wordt gevormd door de risico-inventarisatie. Wat zegt de ISO 270001 norm daarover:

De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen

die:

  • risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
    • de risicoacceptatiecriteria; en
    • criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging;
  • waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, geldige en vergelijkbare resultaten opleveren;
  • de informatiebeveiligingsrisico’s identificeert:
    • het risicobeoordelingsproces voor informatiebeveiliging toepassen om de risico’s in verband met het verlies van vertrouwen in, integriteit van en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
    • de risico-eigenaren identificeren;
  • de informatiebeveiligingsrisico’s analyseert:
    • de potentiële gevolgen beoordelen indien de risico’s die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
    • de realistische waarschijnlijkheid beoordelen van het voorkomen van de risico’s die zijn vastgesteld in 6.1.2 c) 1); en
    • de risiconiveaus vaststellen;
  • de informatiebeveiligingsrisico’s evalueert:
    • de resultaten vergelijken van risicoanalyses met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
    • de geanalyseerde risico’s prioriteren voor risicobehandeling.
De organisatie moet gedocumenteerde informatie bewaren over het risicobeoordelingsproces van informatiebeveiliging.

Risico-inventarisatie: de methode

Het eerste waar je tegen aanloopt wanneer je een risicobeoordeling / risico-analyse wilt uitvoeren is dat je een methode moet kiezen. De norm laat u daarin vrij zolang u maar voldoet aan de volgende voorwaarden:
  • De methode moet passend zijn bij de omvang en complexiteit van de organisatie
  • De methode moet consistente, geldige en vergelijkbare resultaten opleveren.
Bij het maken van de risico-inventarisatie is het van belang om zoveel mogelijk afdelingen en / of medewerkers daarbij te betrekken. Vaak worden hiervoor workshops gebruikt. U kunt de ISO 27002 mooi nemen als leidraad om zeker te weten dat u de belangrijkste onderwerpen behandelt.

Vaststellen van het risiconiveau

Het maken van een risico-inventarisatie mondt uit in het vaststellen van de risiconiveau's. Per geïdentificeerd risico stelt u de hoogte ervan vast. Dat doet u door de kans dat dit risico zich voordoet te vermenigvuldigen met het effect ervan. U toetst dit aan de begrippen vertrouwen, integriteit en beschikbaarheid. 

Uiteindelijk heeft u een beeld van de aanwezige risico' s. Een aantal daarvan zal onaanvaardbaar hoog zijn. daarvoor stelt u een risicobehandelplan op.

Geïnteresseerd in de ISO 27001? Kijk dan eens hier.
Reactie plaatsen
Edit article Dashboard Settings Website Design Article cached on Tue. 23 Apr 12:13
Renew cache