Risico analyse ISO27001 en NEN7510

Hoe wordt een risico analyse ISO27001 of NEN7510 uitgevoerd? Een veel gemaakte fout is dat men simpelweg gaat afstrepen welke van de ISO27002 maatregelen wel of niet van toepassing zijn. Daarmee wordt niet voldaan aan de eisen die deze normen stellen. In dit artikel wordt beschreven hoe een risico analyse ISO27001 of NEN7510 op een eenvoudige manier kan worden uitgevoerd. ISO27001 / NEN7510 geeft aan dat je een risico analyse moet uitvoeren op bedrijfsmiddelen. Lees asset of informatiesystemen. In dit artikel gebruik ik het woord asset. Tegenwoordig wordt in de ISO27001:2013 ook processen genoemd als hetgeen waar tegen je de analyse kunt uitvoeren. In dit artikel gebruik ik het woord asset.

Aanpak risico analyse ISO27001 en NEN7510

Scope

Bepaal waar de organisatie voor gecertificeerd wil worden. Wat is de scope en bepaal vanuit deze scope welke assets hierbij horen. Assets kunnen zijn informatiesystemen, mensen, gebouwen, processen etc. etc. Benoem de assets op hoog niveau waar mogelijk.

Dreigingen

Bepaal welke dreigingen op de assets van toepassing zijn in relatie tot de scope. De dreigingen kun je zelf bedenken, maar er zijn ook voldoende sites die hiervoor lijsten beschikbaar stellen. Bij dit artikel heb ik een Excel spreadsheet opgenomen waarin voorbeelden zijn te vinden. Dreigingen zijn gerelateerd aan de BIV. Beschikbaarheid, Vertrouwelijkheid en Integriteit. De ene dreiging is primair gericht op beschikbaarheid, de andere bijvoorbeeld op vertrouwelijkheid.Bekijk goed op welke aspecten van de BIV een dreiging zich richt.

Risico bepaling

Op basis van de dreiging bepaal je welke impact deze heeft op de asset en welke kans er bestaat dat deze dreiging optreed. Impact x kans = risico. De bijgesloten Excel sheet hanteert onderstaande risico matrix: Men kan dit zo uitgebreid maken als noodzakelijk. Hier worden 3 klassen gebruikt voor impact en kans, maar dit kan worden uitgebreid. Mijn advies is houd het simpel of er moet een zeer goede reden zijn om hier van af te wijken. Een risico analyse wordt uitgevoerd met mensen die hun vak / materie verstaan, maar waarschijnlijk geen kennis hebben van hoe een risico analyse wordt uitgevoerd. Focus daarom op het doel en houdt de opzet eenvoudig. Het eindresultaat is een overzicht van bedreigingen gericht op de assets die geclassificeerd worden op basis van risico rating. Hoe hoger de risico rating hoe hoger het adresseren van het risico op de prioriteitenlijst zal moeten komen te staan.

Uitvoering risico analyse

Een risico analyse ISO27001 of NEN7510 wordt uitgevoerd met materie deskundigen en betreft in veel gevallen meerdere sessies. Van te voren wordt bepaald welke risico de onderneming durft te accepteren. Zo is het verdedigbaar dat er geen actie wordt ondernomen op een laag gekwalificeerd risico. Zorg echter wel dat de argumentatie op orde is. Een auditor zal op basis van de uitgebreide maatregelen die vanuit ISO27002 beschikbaar worden gesteld niet raar opkijken als er 5% op laag wordt geschat. Mocht er echter 40% op een lage risico rating uitkomen en op basis van deze rating wordt besloten niets te doen, dan kom je daar naar verwachting niet mee weg of er moet een goede onderbouwing zijn.

Koppeling dreiging aan ISO27002 maatregelen

Daar ISO27001 gebruik maakt van de maatregelen uit ISO27002 moet men deze nu beoordelen op toepasbaarheid om het risico te beheersen, te vermijden, op te heffen of te accepteren. Zou worden besloten om een maatregel uit de ISO27002 niet te gebruiken, dan is dit toegestaan echter het moet wel beargumenteerd worden. De dreigingen worden daarmee gekoppeld aan de ISO27002 maatregelen. De bijgevoegde Excel doet automatisch. Men kan dit natuurlijk ook zelf handmatig doen als andere dreigingen zouden worden gebruikt.

Totaal aan te implementeren maatregelen

Hoe komt men nu tot het totaal van maatregelen of ook wel controls genoemd welke de organisatie moet gaan implementeren voor de ISO27001 / NEN7510 certificering?

1. De selectie van maatregelen vanuit de risico analyse uit ISO27002.
2. De wettelijke bepalingen.
3. De maatregelen die de onderneming zelf heeft ontwikkeld.

Ad.2: Vergis je niet in het werk wat hier in kan zitten. In de ISO27002 maatregel staat alleen dat er voldaan moet worden aan wettelijke eisen. Het uitzoeken welke wetgeving van toepassing is, het vertalen hiervan zodat het getoetst kan worden aan de business en uiteindelijk de maatregelen implementeren om hier aan te voldoen kan veel tijd kosten.

Voorbeeld risico analyse ISO27001 / NEN7510

Om het bovenstaande artikel toe te lichten met een voorbeeld wordt gebruik gemaakt van het ISO27001 / NEN7510 risico management spreadsheet. Deze is onderstaand te downloaden. Zie het tabblad risk assessment m.b.t. dit voorbeeld.

• Dreiging: Virus uitbraak
• Maatregel: initieel verwacht vanuit ISO27002: Kwaadaardige software (A10.4.1)
• Toelichting: De onderneming heeft geen Antivirus oplossing in gebruik.

Klik op het plaatje voor een vergroting.

Omdat er geen Anti Virus oplossing aanwezig is wordt het risico als hoog geschat. Pas in het risk assessment tabblad bij Nr.37 (Virus) de kans en impact aan op hoog. Bekijk vervolgens ook het tabblad SOA (Statement of Applicability). Hier zie je dat de dreiging niet alleen op A10.4.1 kwaadaardige software van toepassing is maar ook op diverse andere maatregelen / controls uit de ISO27002. Een dergelijke Excel neemt veel werk uit handen om de mapping tussen dreiging en maatregel te maken. Dit kan ook handmatig en is in sommige gevallen goed te argumenteren, maar kost veel meer tijd.

Afsluiting

Mijn advies is om de initiële risico analyse ISO27001 en NEN7510 te bewaren als versie 1.0. Zodra maatregelen zijn geïmplementeerd kan de risico analyse herhaald worden. Hiermee kan de onderneming tijdens een audit laten zien welke verbeteringen de genomen maatregelen hebben opgeleverd. Vreemd genoeg vraagt ISO27001 hier niet om tijdens een eerste certificering. Wel is het verplicht om ieder jaar een heranalyse uit te voeren. Verder zijn er aan aantal verplichte documenten ten aanzien van de risico analyse. Zo moet beschreven worden hoe de risico analyse wordt uitgevoerd, hoe risico’s worden gemonitoord en hoe de organisatie omgaat met risico’s.

Download Excel risico analyse ISO27001 spreadsheet

Bijgevoegd een link om het Excel spreadsheet te downloaden: Risicoanalyse

Risico analyse voor ISO27001:2013?

Ik krijg regelmatig de vraag of de risico analyse ook voor de ISO27001:2013 norm beschikbaar is. Helaas nog niet. Maar ben je hier naar op zoek kijk dan eens op de site www.ravib.nl. Deze site geeft de mogelijkheid om een risico analyse te maken voor de huidige versie van de norm.