• 10+ jaar security ervaring
  • 50+ implementaties afgerond
  • 100+ interne audits uitgevoerd

Hoe voer je een risicoanalyse ISO 27001 uit in 5 stappen

Stap 1: Bepaal het risicobeleid en de reikwijdte

Een goede risicoanalyse ISO 27001 en ISO 27005 begint niet met een lijst dreigingen, maar met heldere kaders. ISO 27005 biedt het specifieke raamwerk voor risicomanagement dat ISO 27001 vereist maar niet in detail uitwerkt. Zonder die fundering wordt elke analyse willekeurig.

Voer deze voorbereidende stappen uit voordat je ook maar één risico beoordeelt:

  1. Definieer de ISMS-grenzen. Stel vast welke processen, systemen, locaties en medewerkers binnen de reikwijdte van je ISMS vallen. Een te brede scope maakt de analyse onbeheersbaar; een te smalle scope creëert blinde vlekken.
  2. Stel de risk appetite vast. Bepaal welke mate van risico de organisatie accepteert. Dit zijn de acceptatiecriteria waaraan je later elk geïdentificeerd risico toetst. Zonder dit referentiepunt kun je geen prioriteiten stellen.
  3. Kies een methodiek die past bij de organisatiegrootte. Een zorginstelling met honderden medewerkers heeft andere behoeften dan een mkbbedrijf met twintig fte. Kies een aanpak die uitvoerbaar is, niet de meest uitgebreide op papier.
  4. Zorg voor mandaat van de directie. Risicoanalyse vraagt middelen, tijd en beslissingsbevoegdheid. Directiebetrokkenheid is geen formaliteit en zonder dat mandaat stopt elke analyse bij de eerste budgetvraag.

Met deze kaders op papier heb je een stabiele basis. De volgende stap is het identificeren van de concrete bebedreigingen en kwetsbaarheden die binnen die scope een rol spelen.

Stap 2: Identificeer bedreigingen en kwetsbaarheden

Met een vastgesteld risicobeleid en duidelijke scope kun je gestructureerd in kaart brengen wat er mis kan gaan. Dit is het hart van elke risicoanalyse informatiebeveiliging ISO 27001: bepalen welke bedreigingen op welke kwetsbaarheden inwerken.

De 2022-update van ISO 27005 verschoof de focus van een strikte asset-gebaseerde aanpak naar een flexibelere, threat-based benadering. Dreigingen en kwetsbaarheden staan nu centraal en niet langer strikt de asset als vertrekpunt.

Volg deze stappen om de identificatie volledig en reproduceerbaar uit te voeren:

  1. Breng kritieke informatie-assets in kaart: denk aan patiëntdossiers, financiële systemen en authenticatiediensten. Beperk je tot assets die vallen binnen de eerder bepaalde scope.
  2. Koppel dreigingen aan specifieke kwetsbaarheden in je IT-infrastructuur, zoals verouderde software, zwakke toegangscontroles of onvoldoende netwerkscheiding.
  3. Pas de threat-based benadering toe conform ISO 27005:2022: start vanuit realistische dreigingsscenario’s en werk terug naar de kwetsbaarheden die ze mogelijk maken.
  4. Betrek proceseigenaren actief bij de identificatie. Zij kennen de operationele werkelijkheid en voorkomen blinde vlekken die een deskresearch mist. Dit geldt zeker voor sectoren zoals de zorg, waar informatiebeveiliging raakt aan patiëntveiligheid.
  5. Documenteer elke combinatie van bedreiging en kwetsbaarheid systematisch, inclusief de betrokken asset en het relevante proces.

Met een volledig en gevalideerde bedreigings- en kwetsbaarheidskaart heb je de grondstof voor de volgende stap: inschatten hoe groot de kans en impact van elk risico werkelijk zijn.

Stap 3: Analyseer en evalueer de impact

Om een ISO 27001 risicoanalyse uitvoeren succesvol af te ronden, is de risico-evaluatie de cruciale schakel tussen inventarisatie en actie. Toch meldt een aanzienlijk deel van de organisaties dat de complexiteit van risicomanagementprocessen de grootste barrière is voor ISO 27001-compliance. Een heldere methodiek maakt het verschil.

Werk de evaluatie stap voor stap af:

  1. Schat kans en impact in via een kwalitatieve of kwantitatieve matrix. Een klassieke Kans x Impact-matrix werkt met een schaal van 1 tot 6: een datalek door een gestolen laptop scoort bijvoorbeeld Kans 3 (regelmatig mogelijk) en Impact 4 (ernstige bedrijfsschade), wat een risicoscore van 12 oplevert.
  2. Bereken het restrisico door bestaande beheersmaatregelen mee te wegen. Een aanwezige encryptieoplossing verlaagt de impactscore; een ontbrekende toegangscontrole houdt de kansscore hoog.
  3. Toets aan acceptatiecriteria die je in stap 1 hebt vastgesteld. Risico’s boven de drempelwaarde zijn niet acceptabel en vereisen directe opvolging.
  4. Prioriteer de risico’s op basis van restrisicoscore. Hoog-scorende risico’s komen bovenaan het Risk Treatment Plan (RTP) te staan.

Het resultaat is een gerangschikte lijst van risico’s met onderbouwde scores. Die lijst vormt de directe input voor het risicobehandelplan, waarin je per risico een concrete aanpak kiest.

Stap 4: Stel het risicobehandelplan (RTP) op

Met een volledig risicoprofiel in handen is het tijd om te handelen. Het risicobehandelplan (RTP) is de brug tussen analyse en implementatie: het maakt van bevindingen concrete afspraken. Dit zijn de risicoanalyse ISO 27001 stappen die bepalen hoe je organisatie daadwerkelijk grip krijgt op geïdentificeerde risico’s.

  1. Kies een behandeloptie per risico. Elk geïdentificeerd risico krijgt één van vier behandelingen: vermijden (stop de activiteit die het risico veroorzaakt), overdragen (bijvoorbeeld via verzekering of uitbesteding), accepteren (bewust en gedocumenteerd bij lage impact), of mitigeren (beperk de kans of impact via maatregelen). Onderbouw elke keuze met de risicoscore uit stap 3.
  2. Selecteer passende controls uit Annex A. ISO 27001:2022 bevat 93 controls verdeeld over vier thema’s: organisatorisch, persoonsgericht, fysiek en technologisch. Koppel elke mitigerende maatregel expliciet aan een of meerdere Annex A-controls. Zo maak je de link tussen risico en beheersing aantoonbaar voor auditors.
  3. Wijs verantwoordelijken en deadlines toe. Een maatregel zonder eigenaar wordt niet uitgevoerd. Leg per control vast wie verantwoordelijk is, wat de gewenste einddatum is, en wat de acceptatiecriteria zijn. Zoals het NEN stelt: risicomanagement is geen eenmalig project, maar een continue cyclus die geïntegreerd moet worden in de organisatiecultuur.
  4. Stel de Verklaring van Toepasselijkheid (SoA) op. De SoA is een verplicht ISO 27001-document dat voor alle 93 Annex A-controls vastlegt of ze van toepassing zijn, waarom wel of niet, en hoe ze geïmplementeerd zijn. Dit document is het centrale bewijs voor certificeringsaudits.

Een volledig RTP geeft je organisatie niet alleen structuur, maar ook de aantoonbaarheid die auditors verwachten. In de volgende sectie vind je de belangrijkste inzichten om deze aanpak duurzaam te verankeren in je compliancecyclus.

How to: De belangrijkste inzichten voor conformiteit

Als je weet hoe je een risicoanalyse ISO 27001 uitvoert, is de volgende stap zorgen dat je aanpak ook stand houdt bij een audit. Conformiteit in 2026 vereist een aantoonbare koppeling tussen risicoanalyse en operationele incidentrapportage. Statische documentatie volstaat niet meer. Gebruik ISO 27005 als praktische leidraad: die norm geeft de concrete methodiek achter de ISO 27001 vereisten.

Zorg dat je risicoanalyse leeft binnen je organisatie door deze stappen te borgen:

  1. Gebruik ISO 27005 als operationele gids: het vertaalt abstracte eisen naar een werkbaar risicobeheerkader.
  2. Integreer de risicoanalyse in de management review cyclus zodat het risicoprofiel minimaal jaarlijks wordt geactualiseerd.
  3. Koppel bevindingen aan incidentrapportage en corrigerende maatregelen om continue verbetering aantoonbaar te maken.
  4. Documenteer beslismomenten expliciet: auditoren willen zien waarom risico’s worden geaccepteerd, behandeld of overgedragen.
  5. Werk met een erkende GRC-aanpak die risicoregister, behandelplan en controlemaatregelen in samenhang beheert.

Belangrijkste inzichten:

  • ISO 27005 geeft de methodische basis voor een ISO 27001-conforme risicoanalyse.
  • Continue verbetering vereist een levend risicoregister, geen eenmalige exercitie.
  • Koppel risicoanalyse aan incidentdata voor auditbare conformiteit in 2026.
  • Integratie in de management review maakt risicobeheer een strategisch stuurinstrument.

Grip op informatiebeveiliging begint met structuur. Novins helpt je risicoanalyse, behandelplan en auditvoorbereiding overzichtelijk te beheren, zonder onnodige complexiteit. Meer weten? Neem contact op.


Gratis Security Check