Informatiebeveiliging

Risicoanalyse binnen de ISO normen

In turbulente en radicale tijden zijn er altijd risico's voor jouw organisatie. Als deze risico's niet bekend zijn, dan kan dit gevolgen hebben voor de continuïteit van jouw organisatie. Om dit probleem te voorkomen kan je als organisatie een risicoanalyse uitvoeren. Dit is iets wat veel terugkomt bij een ISO certificering, een risicoanalyse is namelijk een groot onderdeel van de ISO 27001 norm. Maar hoe pak je dit aan en wat is belangrijk als je met een risicoanalyse aan de slag gaat? Wij nemen je mee! In vier stappen leggen we je uit hoe je de analyse kunt doen.
Dit artikel is voor het laatst bijgewerkt op
31/10/2024

Stap 1: Breng je risico's in kaart

Vanuit meerdere perspectieven wil je jouw risico's in kaart brengen. Denk aan belanghebbenden, maar je kunt ook doelstellingen en bedrijfsprocessen van je organisatie onder de loep nemen. Soms is het moeilijk om deze risico's direct zichtbaar te maken. Een methode om meer input te krijgen in je risico's is het zogenoemde Nominal Group Technique (NGT). NGT is een soort brainstormsessie waarin  je iedereen individueel risico's laat opschrijven. Vervolgens worden alle risico's in een lijst opgenomen en bespreek en rangschik je deze gezamenlijk. Dit zorgt voor meer input dan een traditionele brainstorm en voorkomt dat 'sterk aanwezige' medewerkers enkel het woord voeren. Verder is het cruciaal dat je hier de tijd voor neemt om zo nog meer awareness te creëren binnen je organisatie.

Stap 2: Stel beoordelingscriteria op basis van de risico's

Nadat je de risico's in kaart hebt gebracht, is het van belang dat je beoordelingscriteria opstelt voor de gevonden risico's. Vragen als:

  • Hoe urgent is een risico?
  • En welke criteria hang je daar aan?
  • Op basis van impact of frequentie?

Vaak worden impact (Groot, middel en klein) en frequentie (continu, dagelijks, wekelijks etc.) gebruikt, maar schroom vooral niet om eigen criteria toe te voegen.

Stap 3: Stel een behandelprocedure op tegen de opgestelde risico's

Na het opstellen van beoordelingscriteria dien je als organisatie een behandelprocedure in te zetten als onderdeel van je risicoanalyse. Een behandelprocedure kan gezien worden als een soort interventie voor het behandelen van de risico's binnen je organisatie. Hierin worden maatregelen geschreven die bepalen wie, wat en wanneer doet ten aanzien van de risico's. Dit is belangrijk om eigenaarschap te stimuleren.

Bedenk je: als iedereen verantwoordelijk is, is niemand verantwoordelijk. Verder zorgt dit ervoor dat je geen risico's over het hoofd ziet en weet hoe je deze moet aanpakken.

Stap 4: Blijf kritisch op jouw risicoanlayse!

Ten slotte is het belangrijk (zoals altijd) kritisch te blijven. Het is aangeraden om vaste momenten te plannen waarin nagedacht kan worden over het functioneren van de risicoanalyse en bijbehorende procedures. Dit zorgt voor een pragmatische en effectieve aanpak van de risicoanalyse.

Kortom, de risicoanalyse is een belangrijk onderdeel van ISO normen. Het komt in elke norm naar voren en het kan een fundamenteel onderdeel van je bedrijfsvoering zijn. Zeker in turbulente en radicale tijden. Soms moet je als organisatie het roer omgooien, maar dit moet wel op een verantwoorde manier gebeuren om bewustzijn te creëren binnen de organisatie. Als je niet blijft kijken naar de obstakels en gevaren kan dit cruciale gevolgen hebben voor je business continuïteit. Dus al met al, blijf alert en analyseer altijd je risico's om zo bewust te zijn van wat er om je heen gebeurt als organisatie. Zo ben je eventueel gevaar altijd een stapje voor, voorkomen is immers beter dan genezen!

Ontdek de juiste software voor jouw ISO-managementsysteem
Download gratis whitepaper
Ruben den Dulk
Information Security Consultant
085 773 60 05
Naar nieuwsoverzicht
KAM Certificeringen is nu Fendix

Wij zijn partner van