Risicoanalyse informatiebeveiliging: een praktisch stappenplan

Risk8 min leestijd
K

Kees van der Vlies

Partner | IT-auditor

Also available in:English

De risicoanalyse is het kloppend hart van ISO 27001. De norm schrijft niet voor welke maatregelen je moet nemen, maar verplicht je om je risico's te beoordelen en op basis daarvan te bepalen wat nodig is. Alles wat daarna komt — de Verklaring van Toepasselijkheid, het risicobehandelplan, de gekozen Annex A-controls — vloeit voort uit die analyse. Toch is het juist dit onderdeel waar organisaties het vaakst op vastlopen. Dit stappenplan laat zien hoe je een risicoanalyse opzet die niet alleen door de audit komt, maar ook echt stuurt.

Risicoanalyse versus gap-analyse

Eerst een veelgemaakte verwarring. Een gap-analyse vergelijkt je huidige situatie met een norm en laat zien wat er ontbreekt: heb je een wachtwoordbeleid, een incidentproces, logging? Nuttig, maar het zegt niets over risico. Een risicoanalyse vertrekt vanuit de dreigingen voor je organisatie en bepaalt welke daarvan onaanvaardbaar zijn. De gap-analyse kijkt naar de norm; de risicoanalyse kijkt naar je werkelijke blootstelling. Voor ISO 27001 heb je beide nodig, maar het is de risicoanalyse die bepaalt welke maatregelen daadwerkelijk relevant zijn.

Stap 1: Bepaal je scope en context

Een risicoanalyse zonder afgebakende scope wordt oeverloos. Bepaal welke bedrijfsonderdelen, processen, systemen en informatiestromen je beoordeelt. Sluit aan bij de scope van je managementsysteem en bij de context van de organisatie: welke wettelijke eisen gelden, wat verwachten klanten, welke belanghebbenden zijn er? Deze afbakening voorkomt dat je verdrinkt in detail of juist wezenlijke risico's buiten beeld laat.

Stap 2: Kies een methode — asset-based of scenario-based

Er zijn grofweg twee benaderingen. Bij de asset-based methode inventariseer je eerst je informatiemiddelen (systemen, databronnen, applicaties), en bepaal je per middel de dreigingen en kwetsbaarheden. Deze aanpak is grondig en goed traceerbaar, maar kan bij grote organisaties leiden tot enorme, moeilijk te onderhouden overzichten.

Bij de scenario-based methode redeneer je vanuit dreigingsscenario's: wat gebeurt er als ransomware toeslaat, als een medewerker per ongeluk een klantbestand deelt, als een leverancier wordt gecompromitteerd? Deze aanpak sluit beter aan bij hoe management naar risico kijkt en levert vaak scherpere prioritering op. ISO 27001:2022 laat beide toe; de norm schrijft geen methode voor, zolang je aanpak consistent en herhaalbaar is. In de praktijk werkt een combinatie vaak het best: scenario's als vertrekpunt, met de belangrijkste assets eronder gekoppeld.

Stap 3: Beoordeel kans en impact

Voor elk risico bepaal je de kans dat het zich voordoet en de impact als dat gebeurt. Hier gaat het vaak mis: zonder heldere schaal wordt bijna alles 'middel'. Definieer daarom concrete niveaus. Voor kans bijvoorbeeld: zeldzaam (eens per meerdere jaren), mogelijk (jaarlijks), waarschijnlijk (meerdere keren per jaar). Voor impact: verankerd in wat de organisatie echt raakt — omzetderving, boetes, klantverlies, reputatieschade, uitval van kritieke processen.

Beoordeel impact het liefst langs de drie klassieke dimensies van informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid. Een datalek raakt vooral vertrouwelijkheid; een onopgemerkte datamanipulatie raakt integriteit; een platliggend systeem raakt beschikbaarheid. Door impact zo te ontleden voorkom je dat je risico's onbedoeld onderschat.

Stap 4: Bereken en prioriteer het risiconiveau

Het risiconiveau is doorgaans een combinatie van kans en impact, vaak weergegeven in een risicomatrix. Belangrijker dan de precieze rekenkundige score is dat je vooraf een risicoacceptatiecriterium vaststelt: welk niveau accepteert de organisatie, en boven welke grens is behandeling verplicht? Dit criterium moet door het management worden vastgesteld, want het gaat om een bewuste keuze over risicobereidheid, niet om een technische aangelegenheid.

Stap 5: Behandel de risico's

Voor elk risico boven de acceptatiegrens kies je een behandeling. De norm kent vier opties: verminderen (maatregelen treffen), accepteren (bewust het risico dragen), overdragen (bijvoorbeeld via verzekering of uitbesteding) en vermijden (de risicovolle activiteit staken). De meeste risico's worden verminderd door beheersmaatregelen. Hier ontstaat de directe koppeling met Annex A: de gekozen maatregelen vormen de basis voor je Verklaring van Toepasselijkheid (SoA), en het geheel van behandelbeslissingen wordt vastgelegd in het risicobehandelplan met eigenaren en termijnen.

Belangrijk: je implementeert niet klakkeloos alle 93 Annex A-controls. Je implementeert de controls die jouw geïdentificeerde risico's adresseren, en motiveert in de SoA welke je wel en niet toepast en waarom.

Stap 6: Houd de analyse levend

De grootste valkuil is dat de risicoanalyse een eenmalig document wordt dat na certificering stof vergaart. Risico verandert voortdurend: nieuwe systemen, nieuwe leveranciers, nieuwe dreigingen, wijzigingen in wet- en regelgeving. ISO 27001 verplicht daarom tot periodieke herbeoordeling en tot herziening bij significante wijzigingen. Wij adviseren minimaal een jaarlijkse volledige herbeoordeling, aangevuld met een lichte toets bij elke belangrijke verandering. Zo blijft de analyse een stuurinstrument in plaats van een auditverplichting.

Veelgemaakte fouten

In de praktijk zien we een aantal terugkerende fouten. Een te fijnmazige asset-inventarisatie die onmogelijk bij te houden is. Risicoscores zonder onderbouwing, waardoor de analyse subjectief oogt. Het ontbreken van een expliciet acceptatiecriterium, waardoor onduidelijk blijft wat 'te hoog' betekent. Risico-eigenaarschap dat bij de security-afdeling wordt gelegd in plaats van bij de lijn die het risico daadwerkelijk draagt. En tot slot een analyse die niet doorwerkt in concrete maatregelen — een prachtige matrix zonder gevolg.

Secure Audit helpt organisaties bij het opzetten en uitvoeren van risicoanalyses die aansluiten op ISO 27001 en die praktisch bruikbaar blijven, van methodekeuze tot risicobehandelplan en SoA. Neem contact op voor een vrijblijvend gesprek over jouw situatie.

Veelgestelde vragen

Wat is het verschil tussen een risicoanalyse en een gap-analyse?+

Een gap-analyse vergelijkt je huidige situatie met een norm en laat zien wat ontbreekt. Een risicoanalyse vertrekt vanuit de dreigingen voor je organisatie en bepaalt welke risico's onaanvaardbaar zijn. De gap-analyse kijkt naar de norm, de risicoanalyse naar je werkelijke blootstelling. Voor ISO 27001 heb je beide nodig.

Wat is het verschil tussen asset-based en scenario-based risicoanalyse?+

Bij de asset-based methode inventariseer je eerst je informatiemiddelen en bepaal je per middel de dreigingen en kwetsbaarheden. Bij de scenario-based methode redeneer je vanuit dreigingsscenario's zoals ransomware of een datalek. ISO 27001:2022 laat beide toe; een combinatie werkt in de praktijk vaak het best.

Hoe bepaal je kans en impact bij een risicoanalyse?+

Definieer concrete, herhaalbare schalen in plaats van vage niveaus. Beschrijf kans bijvoorbeeld in frequentie (zeldzaam, mogelijk, waarschijnlijk) en impact in wat de organisatie raakt (omzet, boetes, reputatie). Beoordeel impact langs vertrouwelijkheid, integriteit en beschikbaarheid om onderschatting te voorkomen.

Moet je alle Annex A-controls implementeren?+

Nee. Je implementeert de controls die jouw geïdentificeerde risico's adresseren. In de Verklaring van Toepasselijkheid (SoA) motiveer je welke van de Annex A-controls je wel en niet toepast en waarom. De risicoanalyse bepaalt welke maatregelen relevant zijn.

Hoe vaak moet je een risicoanalyse herzien?+

ISO 27001 verplicht tot periodieke herbeoordeling en tot herziening bij significante wijzigingen. Wij adviseren minimaal een jaarlijkse volledige herbeoordeling, aangevuld met een lichte toets bij elke belangrijke verandering zoals nieuwe systemen, leveranciers of dreigingen.

Over de auteur

K
Kees van der Vlies

Partner | IT-auditor

Terug naar kennisbank

Heb je een vraag?

Neem contact met ons op voor advies over IT-audit, compliance en informatiebeveiliging.

Contact opnemen