ISO 27001 en NEN 7510 risicoanalyse

In zowel ISO 27001 als NEN 7510 is er sprake van een risicoanalyse. In veel gevallen blijkt dat men hier niet op de juiste wijze mee omgaat. Vaak genoeg wordt er gekozen voor het simpelweg afstrepen van de ISO 27001 maatregelen. Uitgangspunt is dan vaak de vraag is hoeverre deze maatregelen van toepassing zijn op de organisatie. Hiermee gaat men volledig voorbij aan de eisen die door deze normen worden gesteld.

Het uitvoeren van een correcte risicoanalyse ISO 27001 en NEN 7510 kan echter op een eenvoudige manier worden gedaan waarbij men toch voldoet aan de gestelde eisen. Het uitgangspunt is dat de risicoanalyse voor ISO 27001 / NEN 7510 moet worden uitgevoerd op de bedrijfsmiddelen (lees: asset of informatiesystemen).

Stappenplan voor risicoanalyse ISO 27001 en NEN 7510

Waarom certificeren voor ISO 27001 en NEN 7510

Als eerste in het van belang om de scope vaste te stellen. Met andere woorden: wat is het doel waarvoor de organisatie gecertificeerd wil zijn? Vanuit deze scope wordt bepaald welke assets van belang zijn. Dit kan een veelvoud aan zaken omvatten: informatiesystemen, mensen, gebouwen, processen et cetera. Waar mogelijk dienen deze assets op hoog niveau te worden benoemd.

Dreigingen en assets

Nadat de scope is vastgesteld is het ook van belang om kritisch te kijken naar de bedreigingen op de assets. Het gaat dan om de assets die in relatie staan tot de scope. In veel gevallen kunnen deze zelfstandig worden bedacht, maar diverse websites stellen voor dit doel specifieke lijsten beschikbaar. In algemene zin zijn deze bedreigingen aan de BIV (Beschikbaarheid, Vertrouwelijkheid en Integriteit) gerelateerd. Hierbij moet wel aangetekend worden dat elke bedreiging is gericht op een ander aspect. Het is van groot belang om te onderzoeken op welk aspect een specifieke bedreiging zich richt.

Risico bepaling

Zodra de dreiging is geïdentificeerd, kan de impact worden bepaald. Hierbij staat de vraag centraal wat de exacte impact is en hoe reëel de kans is dat deze dreiging werkelijkheid wordt. De formule hiervoor is eenvoudig: impact x kans = risico. Een blik op de Excel-sheet bij dit artikel maakt dit ook duidelijk. In dat voorbeeld wordt gebruikt gemaakt van drie klassen, maar dit kan naar wens worden uitgebreid. Overigens is het te adviseren om het zo eenvoudig mogelijk te houden, tenzij er zwaar wegende redenen zijn om hier van af te wijken.

In de praktijk zal een risicoanalyse worden uitgevoerd door mensen in de organisatie met een degelijke vakkennis, maar met te weinig ervaring in het uitvoeren van een dergelijke analyse. Juist vanwege dat gegeven is het van belang om het doel en de opzet zo eenvoudig mogelijk te houden. Op die manier wordt een overzichtelijk eindresultaat behaald waarbij de bedreigingen van de assets zichtbaar zijn en worden geclassificeerd op basis van het individuele risico. Een hoge score van het risico, betekent dat dit risico ook hoger op de prioriteitenlijst moet worden vermeld.

Uitvoering risicoanalyse ISO 27001 of NEN 7510

In veel gevallen zal een risico analyse ISO 27001 of NEN 7510 worden uitgevoerd in meerdere sessies door deskundigen. Een belangrijk uitgangspunt daarbij, is de vraag welk risico voor de organisatie acceptabel is. Zo kan een laag risico inhouden dat er geen actie op wordt ondernomen. Belangrijk punt hierbij is de argumentatie. Zo zal een auditor het accepteren als men 5% als ‘laag risico’ classificeert. Wordt dit percentage hoger, bijvoorbeeld 40% dan zal dit zonder correcte onderbouwing niet accepteren.

Koppeling dreiging aan ISO 27002 maatregelen

ISO 27001 maakt gebruik van de maatregelen die in ISO 27002 worden vermeld. Om de geïdentificeerde risico’s te beheersen, te vermijden, op te heffen of te accepteren moet men deze nu beoordelen op toepasbaarheid in de organisatie. Ook nu geldt weer de stelregel dat de argumentatie om een bepaalde maatregelen niet te gebruiken van groot belang is. Op die manier worden de dreigingen gekoppeld aan de maatregelen in ISO 27002. Met behulp van de bijgevoegde Excel-sheet gebeurt dat automatisch. Als er sprake is van andere bedreigingen kan dit proces ook handmatig worden uitgevoerd.

Overzicht maatregelen om te implementeren

Een andere vraag die van belang is gaat over het aantal controls die vereist zijn voor de ISO 27001 / NEN 7510 certificering. Het gaat dan om de volgende drie punten:

  • De selectie van maatregelen vanuit de risico analyse uit ISO 27002
  • De wettelijke bepalingen
  • De maatregelen die de onderneming zelf heeft ontwikkeld

NB: dit lijkt een eenvoudige opsomming, maar in de praktijk blijkt dat juist het voldoen aan de vereisten een arbeidsintensief proces is. Zo zal de relevante wetgeving moeten worden gevonden, moet deze vertaald en getoetst worden, zodat de juiste maatregelen geïmplementeerd kunnen worden. Al met al is dit een belangrijk onderdeel wat de nodige tijd kost.