Risicomanagement binnen de ISO 27001

Sjoerd Marinussen – Business Consultant

Voor de ISO 27001 en NEN 7510 is het belangrijk dat u jaarlijks een volledige risicoanalyse, inclusief business impactanalyse op informatiebeveiliging uitvoert. In deze blog treft u aan wat we onder deze risicoanalyse verstaan en welke aandachtspunten hierbij zijn.

 

Inzicht in uw risico’s

Een risicoanalyse geeft u inzicht in de belangrijkste risico’s voor uw organisatie het gebied van informatiebeveiliging. Er zijn een aantal standaardvragen in deze analyse die een integraal beeld geven van de risico’s. Bijvoorbeeld kunnen onbevoegden zich toegang verschaffen tot uw systemen? Zijn uw medewerkers goed geïnstrueerd zodat informatie niet per ongeluk op straat komt te liggen? Met deze risicoanalyse die zowel binnen de ISO 27001 als de NEN 7510 een eis is, brengen we alle voor uw organisatie relevante risico’s in kaart. Hiermee kunt de risico’s prioriteren en beperken.

 

Uitgangspunten volgens de standaard

We hanteren bij een risicoanalyse de wat informatieveiligheid betreft meest bekende manier, de BIV-indeling.

  • B – beschikbaarheid van informatie. Doen de systemen het. Kunt u bij de data.
  • I – integriteit – klopt alle informatie. Zitten er geen fouten in.
  • V – vertrouwelijkheid – Hebben onbevoegden geen toegang.

 

Wat is de inhoud van een risicoanalyse?

Elke organisatie is uniek en heeft in die zin andere aandachtsgebieden. Vanuit onze aanpak en ervaring uit vele projecten kunnen we u  een aantal handreikingen doen. De ISO 27001 norm en NEN 7510 geeft als uitgangspunt dat de risicoanalyse met voldoende diepgang moet zijn uitgevoerd. Dit is natuurlijk een rekbaar begrip.

U kunt hierbij denken aan:

  • Is alles duidelijk en volledig beschreven en omschreven?
  • Voert u elk jaar op dezelfde ‘consistente en vergelijkbare’ manier de risicoanalyse uit?
  • Geeft u helder aan waarom u de keuzes en kwalificaties maakt?

 

Eerst de risico’s vaststellen

Stap 1 – Business impact analyse

De risicoanalyse begint met een business impact analyse van de informatiebeveiliging. Met een ‘informatieclassificatie’ brengt u in kaart welke informatie u binnen uw organisatie ‘verwerkt’ (opslag, delen, gebruik, etc.) en welke systemen hierin een rol spelen.

Daarna bekijkt u deze informatiestromen en bepaalt u welke daarvan het meest kritisch zijn voor uw continuïteit. Met andere woorden welke informatie en/of systemen hebben de meeste ‘impact’ op uw bedrijf. In termen van continuïteit, kwaliteit, winstgevendheid en veiligheid.

Stap 2 – De risicoanalyse

In deze stap kijkt u naar de – tijdens stap 1 vastgestelde – ‘impactvolle’ informatie en systemen binnen uw organisatie. Voor de verschillende systemen en informatie gaat u na welke risico’s uw organisatie loopt. In termen van de eerdergenoemde Beschikbaarheid, Integriteit en Vertrouwelijkheid. Dit levert u een lijst met risico’s op. Voor elk risico bepaalt u twee zaken en hanteert daarbij een schaal van 1 tot 5:

  • De kans dat de gebeurtenis zich voor doet.
  • De impact die het vervolgens op uw organisatie heeft.

Stap 3 – De heatmap

Dat levert u een ‘heatmap’ op. Een overzicht van alle risico’s met hun ‘kans x impact’. Daarmee weet u dat de risico’s met een hoog ‘kans x impact cijfer’ de meeste aandacht vragen.

Stap 4 – Risicobereidheid

Tenslotte, voor u aan de slag gaat met maatregelen is het goed om de ‘risicobereidheid’ per risico te bepalen. U kunt er namelijk bewust voor kiezen om ergens een risico te lopen omdat u bijvoorbeeld weet dat de organisatie – als het gebeurt – snel kan handelen om het op te lossen.

Dat doet u door te bepalen welke ‘risiconiveau’ (kans x impact) voor uw organisatie acceptabel is. Na bepaling van dat ‘kans x impact-cijfer’ selecteert u alle de risico’s die op en boven die risicogrens liggen.

Als belangrijk resultaat heeft u nu een lijst met risico’s waarvan de kans dat het gebeurt aanzienlijk is, de impact op de organisatie ook en waarvan u bepaald hebt dat u niet bereid bent om daar een groot risico te lopen. Daarmee kunt u vervolgens aan de slag. De risico’s onder de grens hebben voor dit moment geen aandacht nodig.

Deze stappen voert u uit, door eigen analyses op uw systemen, processen en informatie. Aangevuld met interviews met de proces- en systeemeigenaren

Risicobeheersing door maatregelen

Er zijn verschillende manieren om maatregelen te treffen waarbij we een aantal basisuitgangspunten hanteren:

  • Vermijden of wel ontwijken; het systeem of de informatie niet meer gebruiken of vervangen.
  • Overdragen en hiermee uitbesteden van het risico; bijvoorbeeld door het te verzekeren.
  • Mitigeren; een oplossing zoeken om de risico-situatie te verbeteren. Bijvoorbeeld betere fysieke beveiliging van uw informatie

U wijst alle geindentificeerde risico’s toe aan een eigenaar met de vraagt om een voorstel voor het beheersen of oplossen van het risico.

Het vastleggen van de maatregelen

Het is belangrijk het aantal vastgestelde maatregelen vast te leggen in bijvoorbeeld een Excel-document. Hierin omschrijft u uitvoerig wat de risico’s betreffen, wie de eigenaren hiervan zijn en welke maatregelen zijn vastgesteld. Dit helpt om de werkwijze consistent te houden en is belangrijk voor de auditor die wilt zien of u grip hebt op de situatie. Er zijn ook gespecialiseerde systemen waarin bijvoorbeeld ook functionaliteiten inzitten om acties e.d. aan mensen te kunnen toewijzen via e-mail. En waarin zijn de status eenvoudig kunnen terugkoppelen.

 

Maatregelen uitvoeren

Vanzelfsprekend is het zaak om ook daadwerkelijk de maatregelen uit te voeren. Elk risico krijgt een eigenaar. Vaak iemand die er inhoudelijk dicht op zit. De Security Officer is verantwoordelijk voor de coördinatie, controle en beoordeling van de effectiviteit van de maatregelen. Leg goed vast wat u gedaan hebt c.q. wat de status is van de verschillende acties. Het gaat erom dat u grip hebt op wat u doet en dat ook kan laten zien.

Daar waar nodig past u de analyse of het actieplan aan.

 

Jaarlijks herijken

De business impact analyse en risicoanalyse moet u elk jaar uitvoeren en herijken. Om nieuwe systemen en processen binnen uw organisatie toe te voegen en om na te gaan of er nog veranderingen zijn bij de bestaande. Ook gaat u na of de maatregelen die u bepaald hebt nog passend zijn.

Goed om te weten is dat bij tussentijdse organisatorische veranderingen van een aanzienlijke omvang of impact het ook verstandig is om de beide analyses tussentijd te herijken.

 

In control zijn

Het is belangrijk dat u kunt laten zien dat u ‘in control’ bent. Dat bent u wanneer u goed weet wat uw risico’s zijn en dat u maatregelen hebt getroffen (of nog gaat doen) om die te beheersen. Dat is voor de risicoanalyse de voornaamste toets.

Blog geschreven door Sjoerd Marinussen, Business Consultant

Deel dit bericht:

Realiteitszin bij het werken met de NEN 7510 in de zorg: balanceren tussen veiligheid en praktisch gemak

In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veilig...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Adres

Computerweg 22
3542 DR Utrecht

KvK: 30277648
BTW: NL 8217.37.612.B01

Privacy statement - Disclaimer - © 2024 BMGRIP