ISO 27001-risicoanalyse
Organisaties die willen aantonen dat ze maatregelen treffen om informatie binnen hun bedrijf te beveiligen, kunnen een audit voor het ISO 27001-certificaat aanvragen. Wanneer het bedrijf voldoet aan de eisen van ISO 27001, ontvangt het een ISO 27001-certificaat. Onderdeel van de audit voor ISO 27001-certificering is een beoordeling van de risicoanalyse. De auditor kijkt daarbij of de organisatie die de audit aanvraagt de mogelijke risico’s en bijbehorende beheersmaatregelen goed in kaart heeft gebracht. DEKRA kan dit doen als onafhankelijke partij.

Noodzaak ISO 27001-risicoanalyse
Doel van ISO 27001 is het implementeren van een veilig beheersysteem voor informatie binnen de organisatie. Om te bepalen welke maatregelen hiervoor nodig zijn, is het belangrijk om eerst de mogelijke risico’s in kaart te brengen. Om deze reden is de risicoanalyse de eerste stap voor een organisatie die een ISO 27001-audit aanvraagt.
Een goede risicoanalyse maakt inzichtelijk welke mogelijke bedreigingen er zijn en hoe de organisatie deze kan opvangen. Deze kennis vormt de basis voor de inrichting van het informatiebeveiligingssysteem (ISMS). Een goed ingericht ISMS is een van de eisen die in ISO 27001 staat. In ISO 27002 - een verdieping van ISO 27001 - staan beveiligingsmaatregelen. Deze maatregelen vormen de basis voor het opzetten en uitvoeren van de risicoanalyse.
Inhoud ISO 27001 risicoanalyse
Geen enkele risicoanalyse is hetzelfde. De precieze invulling van een risicoanalyse is onder andere afhankelijk van de werkzaamheden van de organisatie. Belangrijk is dat voor de risicoanalyse altijd dezelfde methodiek gebruikt wordt. Verder speelt ook de scope van de certificering een rol. In sommige gevallen kiest een bedrijf om niet de hele organisatie te laten certificeren, maar slechts enkele bedrijfsonderdelen. Onderstaande aspecten komen altijd in de risicoanalyse terug:
- een gedetailleerde lijst met mogelijke risico’s van elk bedrijfsproces
- een lijst met de personen die verantwoordelijkheid dragen voor elk risico
- de kans dat een dreiging zich voordoet
- een (meetbare) opsomming van de impact als een dreiging zich voordoet
- een afweging of je het risico accepteert of beheersmaatregelen neemt
- concrete beheersmaatregelen voor elk risico
- de benodigde acties om nieuwe beheersmaatregelen te treffen
ISO 27001-certificering met DEKRA
De risicoanalyse voor ISO 27001 vormt de basis voor een gedegen informatiebeveiligingssysteem. Wilt u meer weten over ISO 27001 en certificering op basis van ISO 27001? Kijk dan op onze pagina over ISO 27001.
Heeft u een vraag? Onze experts komen graag met u in contact