Risicoanalyse voor ISO 27001: de basis van je ISMS
De risicoanalyse is het fundament van je ISMS volgens ISO 27001 . Voor gedetailleerde richtlijnen biedt ISO 27005 een complete methodiek, en het NCSC publiceert praktische hulpmiddelen. Zonder goed begrip van je risico’s kun je geen goede maatregelen selecteren. Dit artikel legt uit hoe je een risicoanalyse uitvoert, met een concreet voorbeeld en een checklist.
Werk je in de zorg? Dan geldt dezelfde aanpak, maar met extra aandacht voor patiëntgegevens. Lees de risicoanalyse voor NEN 7510 als je onder die norm valt.
Wat vraagt ISO 27001?
ISO 27001 stelt eisen aan je risicobeoordeling in hoofdstuk 6.1. Je moet:
- Een risicobeoordeling uitvoeren die reproduceerbaar is
- Risico’s identificeren die de vertrouwelijkheid, integriteit en beschikbaarheid van informatie bedreigen
- Risico’s analyseren op kans en impact
- Risico’s evalueren en prioriteren
- Een risicobehandeling kiezen: mitigeren, accepteren, overdragen of vermijden
- Alles documenteren
De norm schrijft niet voor welke methodiek je moet gebruiken. Je kiest zelf een aanpak die past bij je organisatie, zolang die aan bovenstaande criteria voldoet.
Hoe voer je een ISO 27001 risicoanalyse uit?
Je voert een ISO 27001 risicoanalyse uit in vijf stappen: context bepalen, risico’s identificeren, analyseren, evalueren en behandelen. In het overzicht hieronder zie je wat elke stap inhoudt. Daaronder werken we ze uit met voorbeelden en templates.
| Stap | Wat doe je? | Resultaat |
|---|---|---|
| 1. Context bepalen | Scope, assets, dreigingen en kwetsbaarheden in kaart brengen | Asset-inventarisatie |
| 2. Risico’s identificeren | Per asset de dreigingen, kwetsbaarheden en impact bepalen | Risicolijst |
| 3. Risico’s analyseren | Kans en impact scoren per risico | Risicoscores |
| 4. Risico’s evalueren | Prioriteren en bepalen wat acceptabel is | Risicomatrix |
| 5. Risico’s behandelen | Per risico kiezen: mitigeren, accepteren, overdragen of vermijden | Risicobehandelplan |
Tip: De norm schrijft geen specifieke methodiek voor. Een pragmatische aanpak met een spreadsheet is prima, zolang je consistent bent en alles documenteert. Begin simpel — je kunt later verfijnen.
Stap 1: Context bepalen
Voordat je risico’s kunt identificeren, moet je weten waarnaar je kijkt:
- Scope: Welke systemen, processen en informatie vallen binnen je ISMS?
- Assets: Welke informatie-assets heb je? (systemen, data, processen, mensen)
- Dreigingen: Welke bedreigingen zijn relevant? (hackers, menselijke fouten, natuurrampen)
- Kwetsbaarheden: Waar zitten zwakke plekken?
Tip: Begin met een asset-inventarisatie. Je kunt geen risico’s identificeren als je niet weet wat je moet beschermen. Denk aan: klantdata, financiële systemen, intellectueel eigendom, personeelsgegevens, etc.
Stap 2: Risico’s identificeren
Voor elk asset bepaal je welke risico’s er zijn. Een risico is een combinatie van:
- Een dreiging (wat kan er gebeuren?)
- Een kwetsbaarheid (waarom kan het gebeuren?)
- Een impact (wat zijn de gevolgen?)
Voorbeeld:
| Asset | Dreiging | Kwetsbaarheid | Risico |
|---|---|---|---|
| Klantdatabase | Datalek door hacker | Verouderde software, geen MFA | Ongeautoriseerde toegang tot klantgegevens |
| E-mailsysteem | Phishing-aanval | Onvoldoende awareness | Medewerker klikt op malafide link |
| Laptop | Diefstal | Geen encryptie | Gevoelige data op straat |
| Server | Hardware-falen | Geen redundantie | Dienst niet beschikbaar |
Bronnen voor risico-identificatie:
- NCSC dreigingsbeelden
- Incidenthistorie van je organisatie
- Audits en penetratietests
- Input van medewerkers
- Branche-specifieke dreigingen
Stap 3: Risico’s analyseren
Voor elk risico bepaal je de kans dat het optreedt en de impact als het gebeurt.
Kans-schaal (voorbeeld):
| Score | Omschrijving | Frequentie |
|---|---|---|
| 1 | Zeer onwaarschijnlijk | Minder dan 1x per 10 jaar |
| 2 | Onwaarschijnlijk | 1x per 5-10 jaar |
| 3 | Mogelijk | 1x per 1-5 jaar |
| 4 | Waarschijnlijk | 1x per jaar |
| 5 | Zeer waarschijnlijk | Meerdere keren per jaar |
Impact-schaal (voorbeeld):
| Score | Omschrijving | Gevolg |
|---|---|---|
| 1 | Verwaarloosbaar | Nauwelijks merkbaar |
| 2 | Gering | Beperkte hinder, snel opgelost |
| 3 | Matig | Duidelijke impact, herstel kost tijd |
| 4 | Ernstig | Grote schade, langdurig herstel |
| 5 | Catastrofaal | Bedrijfscontinuïteit in gevaar |
De risicoscore = Kans × Impact
Stap 4: Risico’s evalueren
Met de risicoscores kun je prioriteren. Bepaal welke risico’s acceptabel zijn en welke actie vereisen.
Risicomatrix:
| Impact 1 | Impact 2 | Impact 3 | Impact 4 | Impact 5 | |
|---|---|---|---|---|---|
| Kans 5 | 5 | 10 | 15 | 20 | 25 |
| Kans 4 | 4 | 8 | 12 | 16 | 20 |
| Kans 3 | 3 | 6 | 9 | 12 | 15 |
| Kans 2 | 2 | 4 | 6 | 8 | 10 |
| Kans 1 | 1 | 2 | 3 | 4 | 5 |
Interpretatie (voorbeeld):
- 1-4: Laag risico - Accepteren of monitoren
- 5-9: Gemiddeld risico - Maatregelen overwegen
- 10-15: Hoog risico - Maatregelen vereist
- 16-25: Kritiek risico - Directe actie nodig
Bepaal je risicobereidheid vooraf. Wat is acceptabel voor jouw organisatie? Dit verschilt per organisatie en per type informatie. Een bank accepteert minder risico dan een bakker.
Stap 5: Risico’s behandelen
Voor elk risico dat boven de acceptatiegrens valt, kies je een behandeling:
Mitigeren Maatregelen nemen om kans of impact te verlagen. Dit is de meest voorkomende keuze. Je selecteert maatregelen uit Annex A of eigen maatregelen.
Voorbeeld: MFA implementeren om het risico op ongeautoriseerde toegang te verlagen.
Accepteren Het risico bewust accepteren zonder verdere actie. Dit is valide als de kosten van maatregelen niet opwegen tegen de risicoreductie, of als het risico binnen je risicobereidheid valt.
Voorbeeld: Het risico van een korte storing accepteren als de kosten van volledige redundantie niet opwegen tegen de impact.
Overdragen Het risico (deels) overdragen aan een andere partij, meestal via verzekering of uitbesteding.
Voorbeeld: Cyberverzekering afsluiten voor de financiële gevolgen van een datalek.
Vermijden De activiteit die het risico veroorzaakt stoppen of anders inrichten.
Voorbeeld: Stoppen met het verwerken van bepaalde gevoelige gegevens als het risico te hoog is.
Methodieken
Er zijn verschillende methodieken voor risicobeoordeling. Je hoeft geen specifieke methode te gebruiken, maar een erkende methodiek helpt bij consistentie.
ISO 27005
ISO 27005 is de ISO-standaard voor risicomanagement specifiek voor informatiebeveiliging. Het sluit naadloos aan op ISO 27001 en beschrijft het proces in detail.
Voordelen: Perfecte aansluiting op ISO 27001, internationaal erkend Nadelen: Relatief abstract, je moet zelf invullen
FAIR
FAIR (Factor Analysis of Information Risk) is een kwantitatieve methodiek die risico’s uitdrukt in financiële termen.
Voordelen: Concrete cijfers, goed voor business cases Nadelen: Complexer, vereist goede data
OCTAVE
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) is ontwikkeld door Carnegie Mellon University.
Voordelen: Goed gestructureerd, organisatiegericht Nadelen: Kan tijdrovend zijn
Pragmatische aanpak
Veel organisaties, vooral in het mkb, kiezen voor een pragmatische aanpak: een spreadsheet met assets, dreigingen, kansen, impacts en maatregelen. Dit is prima zolang je consistent bent en alles documenteert.
Het ISO 27001 risicoregister
Al je risico’s documenteer je in een risicoregister. Dit is een levend document dat je regelmatig bijwerkt.
Minimale inhoud per risico:
- Uniek ID
- Beschrijving van het risico
- Gerelateerde assets
- Kans-score
- Impact-score
- Risicoscore
- Gekozen behandeling
- Geplande of geïmplementeerde maatregelen
- Risico-eigenaar
- Status
- Datum laatste review
Voorbeeld:
| ID | Risico | Asset | Kans | Impact | Score | Behandeling | Maatregel | Eigenaar |
|---|---|---|---|---|---|---|---|---|
| R001 | Ongeautoriseerde toegang | Klantdatabase | 3 | 4 | 12 | Mitigeren | MFA, logging | IT Manager |
| R002 | Ransomware | Alle systemen | 4 | 5 | 20 | Mitigeren | Backups, EDR, training | CISO |
| R003 | Korte storing | Website | 3 | 2 | 6 | Accepteren | - | IT Manager |
Checklist: ISO 27001 risicoanalyse
Gebruik deze checklist om te controleren of je risicoanalyse compleet is. Loop hem langs voordat je de interne audit plant. Werk je onder NEN 7510, dan geldt dezelfde lijst, aangevuld met de zorgspecifieke punten op de NEN 7510 risicoanalyse-pagina.
- Scope van het ISMS is bepaald en gedocumenteerd
- Asset-inventarisatie is compleet (systemen, data, processen, mensen)
- Per asset zijn dreigingen en kwetsbaarheden benoemd
- Kans- en impactschaal zijn vooraf vastgelegd
- Elk risico heeft een kans-score, impact-score en risicoscore
- Risicobereidheid (acceptatiegrens) is vastgesteld door de directie
- Per risico is een behandeling gekozen: mitigeren, accepteren, overdragen of vermijden
- Elk risico heeft een eigenaar
- Gekozen maatregelen zijn gekoppeld aan de verklaring van toepasselijkheid
- Aannames en redeneringen zijn vastgelegd (reproduceerbaar)
- Risicobeoordeling is geaccepteerd door de risico-eigenaren
- Reviewmoment is gepland (minimaal jaarlijks)
Tip: Een risicoanalyse hoeft niet perfect te zijn bij de eerste ronde. De auditor wil zien dat het proces consistent en herhaalbaar is, niet dat je elk denkbaar risico hebt gevonden.
Praktische tips
Begin simpel
Je hoeft niet met de meest geavanceerde methodiek te beginnen. Een spreadsheet met 20-30 risico’s is voor veel organisaties een goede start. Je kunt later verfijnen.
Betrek de juiste mensen
Risico-identificatie is geen solo-activiteit van de security officer. Betrek:
- IT (technische risico’s)
- HR (personele risico’s)
- Operations (procesrisico’s)
- Management (strategische risico’s)
- Eindgebruikers (praktijkkennis)
Wees realistisch
Overdrijf kansen en impacts niet om budget te krijgen, maar onderschat ze ook niet. Een eerlijke beoordeling is waardevoller dan een politiek gekleurde.
Documenteer je aannames
Waarom schat je de kans op 3? Waarom de impact op 4? Leg je redenering vast. Dit helpt bij reviews en maakt je beoordeling reproduceerbaar.
Review regelmatig
Risico’s veranderen. Nieuwe dreigingen ontstaan, systemen veranderen, maatregelen worden geïmplementeerd. Plan minimaal jaarlijks een volledige review, en ad-hoc bij grote veranderingen.
Link aan maatregelen
Elk risico dat je mitigeert, moet gekoppeld zijn aan concrete maatregelen. Die maatregelen documenteer je in je verklaring van toepasselijkheid (Statement of Applicability). Daarin leg je per Annex A-maatregel vast of je hem toepast en waarom.
Veelgemaakte fouten bij de ISO 27001 risicoanalyse
Te technisch
Alleen focussen op IT-risico’s en de menselijke en organisatorische kant vergeten. Een medewerker die een USB-stick kwijtraakt is ook een risico.
Te theoretisch
Risico’s benoemen die in theorie bestaan maar in jouw context niet relevant zijn. Meteorietinslag is technisch een dreiging, maar niet waar je je op moet focussen.
Geen eigenaarschap
Risico’s identificeren maar niemand verantwoordelijk maken. Elk risico moet een eigenaar hebben die verantwoordelijk is voor de behandeling.
Set and forget
De risicobeoordeling één keer doen voor de audit en daarna in de la leggen. Risicomanagement is een doorlopend proces.
Kopiëren
Een risicolijst van internet overnemen zonder deze aan te passen aan je eigen situatie. De auditor prikt hier doorheen, en belangrijker: het helpt je niet.
Meer informatie
- Eisen van de norm – Wat vraagt ISO 27001 over risico’s?
- Het ISMS – Hoe past risicomanagement in het geheel?
- Annex A maatregelen – Welke controls kun je selecteren?
- Verklaring van toepasselijkheid – Van risico naar gedocumenteerde keuze
- Leveranciersbeheer – Leveranciersrisico’s in het risicoregister
- Stappenplan – De risicobeoordeling in het totaalproces
- NEN 7510 risicoanalyse – Voor zorgorganisaties
- ISO 27005 – De ISO-standaard voor risicomanagement