ZBC Kennisbank

Checklist risicoanalyse informatiebeveiliging ISO 27001 en NEN 7510

 

Veel organisaties willen vaststellen wat hun risico’s zijn als het gaat om de bescherming van persoonsgegevens of om informatiebeveiliging, ook als certificering voor ISO 27001 of NEN 7510 niet direct het doel is. Er zijn diverse tools met bijbehorende checklists voor zo’n risicoanalyse beschikbaar. Maar deze stammen veelal nog uit de vorige eeuw, toen internet, sociale media, laptops, smartphones, de cloud, BYOD en het nieuwe werken nog niet bestonden en de hackers nog vanaf zolderkamertjes werkten.

De uitkomst van de meeste van de checklists is dat organisaties een diarree aan maatregelen moeten implementeren. Dat daarmee dan een papieren tijger wordt gecreëerd, begrijpt een kind. En ervan uitgaan dat al die maatregelen zullen worden nageleefd, is een luchtkasteel. Maar wanneer u geen ministerie, bank, verzekeraar, ziekenhuis of politiedienst bent, dan heeft u zo’n overkill aan maatregelen helemaal niet nodig.
De nieuwe ISO 27001 en vanaf eind 2017 ook de nieuwe NEN 7510 ondersteunen deze visie volledig. Zij zijn risk-based geworden in plaats van rule-based. (Zie ook ‘Het failliet van rule-based opvattingen’.) Dat betekent, dat je per maatregel gaat kijken of de maatregel noodzakelijk is om een risico af te dekken. Iedere maatregel die niet bijdraagt aan het afdekken van een risico, mag geschrapt worden. Uiteraard geldt hierbij ‘pas toe of leg uit’. Dat betekent dat u dus wel een goede risicoanalyse als basis moet hebben.
U kunt op deze manier focussen op de implementatie van die maatregelen die er echt toe doen. Hierdoor worden de beveiligingsrisico’s vaak veel beter en vooral ook veel sneller afgedekt en worden de maatregelen ook beter geaccepteerd. En dat is natuurlijk van groot belang. Want de wetgever stelt steeds hogere eisen aan beheersing van risico’s als het gaat om persoonsgegevens en de boetes zijn niet mals. Basisgedachte daarbij is niet, dat er geen incidenten mogen voorkomen. Incidenten op zich zijn niet strafbaar. U moet echter wel aantoonbaar kunnen maken, dat u uw risico’s beheerst.
Opmerking: Privacy is natuurlijk breder dan alleen het beschermen van persoonsgegevens. De nieuwe privacy wet schrijft daarom voor, dat u een privacy effect beoordeling, ook wel PIA genoemd, moet doen. Meer hierover in het artikel ‘De privacy effect beoordeling (PIA) kan niet wachten tot 2018’.

Risicoanalyse informatiebeveiliging

Uitgangspunt voor iedere moderne risicoanalyse zijn de bedrijfsrisico’s. Zo staat dit in iedere nieuwe ISO-norm en vanaf eind 2017 ook in de NEN 7510. Wanneer een informatiebeveiligingsrisico niet tevens een bedrijfsrisico vormt, dan is het bijna per definitie een acceptabel risico. Misschien klinkt dat ingewikkeld, bedrijfsrisico’s. In feite echter is het heel simpel. Bottomline zijn het er voor 99% van de organisaties maar twee:

  • niet voldoen aan de eisen en behoeften van de stakeholders;
  • meer geld uitgeven dan er binnenkomt.

Het tweede risico is evident. De meeste organisaties beheersen echter dat risico wel en maken dat aantoonbaar met een accountantsverklaring. Maar de stakeholders vormen een wat complexer probleem. Iedere organisatie heeft een waslijst aan stakeholders. Het is niet altijd mogelijk te voldoen aan al hun verschillende eisen. Belangrijke groepen stakeholders zijn voor vrijwel iedere organisatie:

  • klanten (afnemers),
  • ketenpartners (business partners of belangrijke leveranciers),
  • personeel,
  • toezichthouders (wet en regelgeving; raad van toezicht; media; publieke opinie).

Als u niet meer kunt voldoen aan de eisen van één van deze groepen belangrijke stakeholders en deze u niet meer ziet zitten, dan loopt de continuïteit van uw organisatie gevaar. De risico’s op dit gebied kunnen we in feite onderbrengen bij het centrale thema ‘reputatieschade. (Zie ook ‘Business risk assessment in detail’.) Immers, wie wil nu werken voor of zaken doen met een partij die hij als onbetrouwbaar beschouwt’? Meer over de stakeholderanalyse in het artikel ‘Checklist stakeholderanalyse’.

De onderdelen van de risicoanalyse

Ook de onderdelen van de risicoanalyse zijn generiek. De gebieden die u achtereenvolgens analyseert, zijn:

  • continuïteitsrisico’s (bedrijfsrisico’s die de continuïteit van de organisatie in gevaar brengen);
  • het leveringsproces aan klanten (primaire proces);
  • productontwikkeling en interne voortbrengingsprocessen (halffabricaten);
  • ondersteunende processen (HRM, finance, ICT, facilities enzovoort);
  • kritische objecten (medewerkers, productielijn, bedrijfscultuur, bepaalde middelen of resources);
  • omgevingsrisico’s (wet en regelgeving, locatie, disruptie enzovoort).

Uiteraard worden deze gebieden weer opgesplitst in onderdelen, zoals ze hierboven al deels zijn genoemd. Deze opsplitsing is niet meer helemaal generiek. Daarom geven we in het volgende hoofdstuk een voorbeeld van een checklist.
Nieuw is de tegenwoordige definitie van het begrip risico. Vroeger was een risico altijd een bedreiging. Tegenwoordig behoren ook kansen tot de bedrijfsrisico’s. (Zie ook ‘ISO 31000 raamwerk voor risk management’.)

Checklist risicoanalyse informatiebeveiliging ISO 27001 en NEN 7510

Het generieke deel van de checklist hebben we hierboven beschreven. Na dit generieke deel moet u meer specifiek worden. Toch hebben we getracht onze checklist in de basis zo generiek mogelijk te houden. Met een aantal kleine aanpassingen wordt deze vervolgens geschikt voor iedere dienstverlener die als zeer belangrijke stakeholder B2B klanten (commercieel) heeft of B2B ketenpartners (zorg, overheid). Juist deze organisaties worden het meest onder druk gezet om een certificaat te hebben. We hebben daarom bewust zo’n organisatie als voorbeeld gekozen. De checklist is gestructureerd conform de voorgaande beschrijving:

Onder werp Detail Risico-id Risico is kans of bedreiging Bedrijfs-risico Risico IB
Business conti nuity   1 <PPPP> beschikt niet over een geldig ISO 27001 certificaat, dat nodig is om te voldoen aan eisen van klanten of prospects en om de bestuurders aansprakelijkheid af te dekken    
2 Gegevens die eigendom zijn van klanten liggen op straat door verwijtbaar handelen van <PPPP>    
3 Gebeurtenis die leidt tot reputatieschade voor de klant    
4 Gebeurtenis die leidt tot reputatieschade voor <PPPP>    
5 Klant is verliesgevend    
6 Inbreuk op persoonsgegevens, die eigendom zijn van de klant    
7 Klant stelt <PPPP> aansprakelijk voor schade.    
8 Hoge kosten voor sales, support en kennisonderhoud    
Leverings proces Marketing 21 Bereiken suspects     
22 Bereiken prospects     
23 Omgaan met bestaande klanten    
Verkoop 31 Matchen behoefte klant met standaarddiensten <PPPP>     
32 Evenwichtige weergave eisen van klant en van <PPPP> in contract (K/B)    
Inrichten dienst  41 Dienst voldoet niet aan eisen van de klant    
42 Infrastructuur en beheer van de klant is niet in control bij <PPPP>    
Productie/ beheer 51 Incidentafhandeling onvoldoende    
52 Uitvoering en compliancy     
53 Klant is ontevreden    
Product ontwik-keling   81 Geen ROI op investering    
Onder-steunen de proces sen HRM 91 Zorgen voor bevlogen medewerkers, die ongeschreven wetten volgen    
Finance 92 Geeft geen of onbetrouwbare prognoses    
ICT-beheer 93 Aantoonbaar voldoen aan eisen interne en externe klanten    
Leveranciers beheer 94 Leveranciers komen verplichtingen niet na    
Interne control 95 Focus op verbetering    
Cruciale bedrijfs-middelen Medewer kers 101 Goede medewerkers verlaten bedrijf    
Extern datacenter 102 Calamiteit in datacenter (is single point of failure)    
Levert minder dan wat <PPPP> nodig heeft (functionaliteit; compliancy)    
Management systemen 103 Zorgen voor aantoonbare compliancy mbt klanteisen en wetgeving     
Directie/ eigenaren 104 Calamiteiten mbt de directie/ eigenaren van het bedrijf, waardoor de continuiteit van het leveringsproces in gevaar komt.    
Omge ving   121 Veranderende wet en regelgeving    
122 Opkomst disruptive concurrenten    
123 Calamiteiten mbt de middelen    
124 Krapte op de arbeidsmarkt    
125 Publieke opinie    
127 Hackers nemen de besturing van installaties van klanten over    

Toelichting bij de checklist risicoanalyse informatiebeveiliging

Toelichting op een paar afkortingen in de checklist:

  • <PPPP>is de bedrijfsnaam. Als u dit artikel in Word downloadt, dan kunt u de tabel vanuit Word zo in Excel pakken en kunt  u <PPPP> in één keer vervangen door de naam van uw eigen organisatie. 
  • IB staat voor informatiebeveiliging.

Toelichting bij het gebruik van de checklist:

  • De risico’s worden beoordeeld met H/M/L (hoog/middel/laag). Voor Risico IB kan ook nvt (niet van toepassing) worden gebruikt. 
  • Risico’s worden geschrapt als ze naar het oordeel geen bedrijfsrisico vormen. Dus risico’s met de aanduiding nvt in de kolom bedrijfsrisico’s komen niet voor. 
  • De wijze waarop tot een beoordeling wordt gekomen is vaak sterk afhankelijk van de bedrijfsgrootte en het eigenaarschap van het bedrijf. Meestal geldt hierbij de volgende regel:
    • Bij bedrijven met minder dan 40 FTE’s en een directie die tevens eigenaar van het bedrijf is, bepaalt de directie of een risico H/M/L is. Deze bedrijven beheersen doorgaans hun risico’s op een andere manier. (Zie ook ‘Toepassing drie cycli van risicobeheersing in de praktijk’.) 
    • Voor andere organisaties worden de kans en de impact van het risico bepaald en op basis van een rekensommetje wordt dan het totale risico bepaald. Vervolgens is het aan de directie om te bepalen hoe omgegaan wordt met dit risico. Opties zijn onder andere het verminderen van de kans, het verminderen van de impact of het accepteren van een risico. 
  • De nummering is zodanig gemaakt dat per onderdeel risico’s toegevoegd kunnen worden. Ook kunnen zo probleemloos risico’s verwijderd worden. Dit zal zeker het geval zijn bij de omgevingsrisico’s, want deze zijn altijd specifiek.
  • Houdt nadrukkelijk deze volgorde aan. Dan is de kans het grootste dat een risico al eerder benoemd is in een voorgaand risico en wordt voorkomen dat een waslijst ontstaat van tientallen risico’s, waar dan ook weer allemaal maatregelen op moeten worden verzonnen. NB: Het eigen gebruik van deze checklist is toegestaan maar geheel voor eigen risico! ZBC aanvaardt in dit geval geen enkele aansprakelijkheid. Onervarenheid met de checklist kan ertoe leiden dat risico’s over het hoofd worden gezien of onjuist worden ingeschat.

Hoe verder met deze risicoanalyse informatiebeveiliging?

Zoals gezegd kunnen risico’s worden geaccepteerd. Maar doorgaans wordt gekozen voor het verder verminderen van het risico. Dat betekent dat er doelstellingen of beleidsuitgangspunten worden gedefinieerd, waardoor het risico wordt verminderd. Sla deze stap vooral niet over, want door het toepassen van logische principes kan worden voorkomen, dat er een heleboel maatregelen moeten worde getroffen. (Zie ‘Informatiebeveiliging is helemaal niet zo moeilijk’.) Deze fout wordt in veel traditionele risicoanalyses gemaakt. De risicoanalyse wordt dan misschien wel simpeler, maar de implementatie van alle maatregelen en het aantoonbaar maken van de naleving zijn dan een hel. De doelstellingen en beleidsuitgangspunten worden vervolgens vertaald in relevante maatregelen. En dan blijkt vaak dat veel van de maatregelen al zijn getroffen en dat de resterende maatregelen vaak kunnen worden afgedekt door de drie logische principes. Wat dan nog resteert, is het implementeren van de drie logische principes (‘Awareness privacy en informatiebeveiliging niet trainen maar kweken’) en het aantoonbaar maken maken, dat de maatregelen worden nageleefd. Dan blijven nog een aantal verbeterpunten over. Maar meestal is de uitvoering hiervan niet nodig om aan te tonen dat u in control bent en dus klaar bent voor de ISO 27001 of NEN 7510 certificering. (Zie ook ‘Binnen drie maanden een ISO 27001 certificaat halen’.)

ZBC helpt organisaties via cursussen en coaching met het opzetten en verbeteren van hun management systemen voor ISO 27001, NEN 7510 en privacy.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 20 december 2016 | Copyright: ZBC


3 Responses to “Checklist risicoanalyse informatiebeveiliging ISO 27001 en NEN 7510”

  1. Onno schreef:

    Is een risicoanalyse een eenmalige exercitie of wordt deze met enige regelmaat uitgevoerd?

  2. Stephan schreef:

    Als ik naast de tekst download op de word icoon drukt wordt het artikel gedownload. Hoe download ik nou de daadwerkelijke checklist?

    • Wiebe Zijlstra schreef:

      Hallo Stephan. Het klopt dat je de complete checklist niet kunt downloaden. Alleen cursisten en klanten krijgen de beschikking over de complete checklist want dan kunnen we ook nauwkeurig aangeven hoe hiermee om te gaan, zodat een foutieve inschatting van risico’s en dus ook verkeerde maatregelen voorkomen worden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *