De risico analyse is voor ISO 27001 het fundament onder al uw controls. Het bepaalt wat materieel is, welke maatregelen u kiest en wat u in uw Statement of Applicability vastlegt. Een goede risico analyse is niet een spreadsheet van duizend regels, maar een werkbaar overzicht waarmee uw management daadwerkelijk kan sturen.
Wat een werkbare risico analyse bevat
Een gestructureerde lijst van uw informatie assets (systemen, data, processen). Per asset de relevante dreigingen en kwetsbaarheden. Een bewuste keuze van methodiek (kwalitatief, semi kwantitatief, kwantitatief). Een risico waardering met argumentatie. Eigenaarschap per risico en eigenaarschap van de mitigerende maatregelen. Een review cyclus die niet jaarlijks tot een grote operatie wordt maar in delen door het jaar heen kan worden bijgehouden.
Waar het mis gaat
Risico analyse als eenmalige document oefening die daarna niet meer wordt onderhouden. Te diep gaan in elk asset waardoor het overzicht verloren gaat. Geen koppeling met uw bedrijfsdoelen en daardoor risicos die geen bedrijfsmatige relevantie hebben. Een goed risico analyse proces voorkomt deze valkuilen.
Hoe wij werken
Een ISO 27001 specialist met risico ervaring werkt met uw team om de eerste risico analyse op te zetten. Wij kiezen de methodiek die bij uw organisatie past en zorgen dat het beheer haalbaar blijft.
Plan een eerste gesprek via het formulier hieronder. Verwant: Statement of Applicability.
Verwant: ZZP ISO 27001 consultant, ISO 27001 gap analyse uitvoeren.