In de vorige blog over het Information Security Risk Management (ISRM) zoals beschreven in ISO 27005:2018 hadden we het o.m. over het verband met ISO 31000 en de structuur van de risicomanagementactiviteiten. In deze blog worden de vereisten van ISO 27005 belicht.
Bepalen van de context, scope en organisatie
Deze vereiste in hoofdstuk 7 is een grotendeels ‘High Level Structure’ vereiste die focust op informatieveiligheid. Hier worden ook de basiscriteria gedefinieerd: risico-identificatie, risicobeoordelingscriteria, impact criteria (bepaald in termen van omvang van de schade of de kosten) en de risico-aanvaardingscriteria.
Risicobeoordeling van informatiebeveiliging (Information Security Risk Assessment)
Risico's moeten worden geïdentificeerd, gekwantificeerd of kwalitatief beschreven en geprioriteerd aan de hand van de criteria en doelstellingen van de risico-evaluatie die relevant zijn voor de organisatie.
In eerste plaats komt het identificeren van risico’s om te bepalen wat er kan gebeuren om een potentiële schade te veroorzaken en om inzicht te krijgen in hoe, waar en waarom het schadegeval kan gebeuren. Men gaat in de norm dieper in op de identificatie van de activa, bedreigingen, bestaande controles, kwetsbaarheden en de gevolgen ervan.
Risicoanalyse kan worden uitgevoerd in verschillende mate van detail, afhankelijk van de kriticiteit van de activa, de omvang van de bekende kwetsbaarheden en eerdere incidenten in de organisatie.
Het evalueren van de risico’s resulteert uiteindelijk in een lijst van risico's die zijn geprioriteerd op basis van de risicobeoordelingscriteria in relatie tot de incidentscenario's die tot die risico's leiden.
Behandeling van informatiebeveiligingsrisico’s (Information Security Risk Treatment)
De norm gaat dieper in op de 4 opties die beschikbaar zijn voor het behandelen van informatiebeveiligingsrisico’s: risicowijziging (risk modification), behoud van risico’s zonder verdere acties (risk retention), vermijden van risico’s (risk avoidance) en het delen van een risico met een derde partij (risk sharing).
Het aanvaarden van risico’s m.b.t. informatieveiligheid (Information Security Risk Acceptance)
De standaard benadrukt hier het belang om formeel vast te leggen welke risico’s door wie onder welke omstandigheden werden aanvaard.
Communicatie en overleg over informatiebeveiligingsrisico’s (Information Security Risk Communication and Consultation)
In lijn met de andere standaarden die de HLS gebruiken, speelt het communiceren van de informatieveiligheidsrisico’s en de maatregelen hieromtrent een belangrijke rol. Meer nog legt de norm hier de nadruk op het overleg met de belanghebbenden. Een maatregel kan maar worden gedragen door de groep wanneer die volledige groep die maatregel ondersteunt.
Bewaking en evaluatie van informatieveiligheidsrisico’s (Information Security Risk Monitoring and Review)
Risico’s en hun factoren (d.w.z. waarde van assets, impact, bedreiging, kwetsbaarheden, waarschijnlijkheid van voorkomen) moeten frequent worden gemonitord en geëvalueerd om eventuele veranderingen in de context van de organisatie in een vroeg stadium te identificeren en een overzicht van het volledige risicobeeld te behouden.
Tot slot
De ISO 27005:2018 schetst zowel het ‘wat’ als het ‘hoe’ van een risicomanagementproces maar vermijdt dit op een enge en prescriptieve manier te doen. Als bedrijf heeft men voldoende vrijheid om de norm toe te passen zodat de meest toegevoegde waarde wordt verkregen.