Basisprincipes
10 min leestijd

ISO 27001 risicobeoordeling: Een complete methodologiegids

support@ismscalculator.com|

Inleiding

Risicobeoordeling is niet alleen een vereiste van ISO 27001 — het is de motor die de hele norm aandrijft. Elke geïmplementeerde maatregel moet terug te voeren zijn op een risico in uw risicoregister.

Waarom risicobeoordeling centraal staat

Clausule 6.1 vereist acties om risico's aan te pakken. Clausule 8.2 vereist beoordeling op geplande intervallen.

Bepaalt: welke Annex A-maatregelen gelden, welke prioriteit activiteiten krijgen, hoe beslissingen worden gerechtvaardigd en hoe verbetering wordt aangetoond.

Stap 1: Definieer de methodiek

Documenteer uw methodiek vooraf. Definieer:

Identificatieaanpak: Hoe activa, bedreigingen en kwetsbaarheden worden gevonden.

Waarschijnlijkheidsschaal: 1–5 met gedefinieerde criteria.

Impactschaal: Hoe gevolgen worden gemeten.

Berekening: Waarschijnlijkheid × Impact.

Acceptatiecriteria: Acceptabel risiconiveau zonder behandeling.

Stap 2: Identificeer informatie-activa

Activa omvatten:

Informatie: Klantgegevens, intellectueel eigendom.

Software: Applicaties, databases, broncode.

Fysieke activa: Servers, laptops, mobiele apparaten.

Diensten: Cloudplatforms, SaaS van derden.

Stap 3: Identificeer bedreigingen en kwetsbaarheden

Bedreigingen: Ransomware, gegevensverlies, hardware-uitval.

Kwetsbaarheden: Zwakke wachtwoorden, ongepatchte software.

Focus op plausibele bedreigingen in uw omgeving.

Stap 4: Beoordeel en scoor risico's

1. Waarschijnlijkheid (1–5) 2. Impact (1–5) 3. Score = Waarschijnlijkheid × Impact 4. Vergelijk met acceptatiecriteria

Documenteer in een risicoregister.

Stap 5: Risicobehandelingsopties

Vier opties:

Aanpassen (Beperken): Maatregelen implementeren.

Behouden (Accepteren): Formele acceptatie voor lage residuele risico's.

Vermijden: De risicoveroorzakende activiteit elimineren.

Overdragen (Delen): Via verzekering of uitbesteding.

Risicoregister koppelen aan de VvT

De Verklaring van Toepasselijkheid koppelt elk van de 93 maatregelen aan: toepasselijkheid, rechtvaardiging, implementatiestatus en -wijze.

Houd up-to-date bij elke herziening van de risicobeoordeling.

Belangrijkste punten

Een rigoureuze risicobeoordeling is de meest waardevolle investering. Behandel het risicoregister als een levend document en herzie het minstens jaarlijks.

Klaar om uw ISO 27001-kosten te schatten?

Gebruik onze gratis calculator voor een op maat gemaakte schatting van kosten, inspanning en planning op basis van uw bedrijfsprofiel.

Gerelateerde artikelen

Basisprincipes

ISO 27001 Verklaring van Toepasselijkheid: Complete gids

8 min
Basisprincipes

Wat is ISO 27001? Een complete gids

10 min
Kosten & Budget

Hoeveel kost ISO 27001? Overzicht 2026

8 min
Terug naar alle artikelen