Risicobehandeling
Dit document beschrijft het proces voor het behandelen van risico’s conform ISO 27001 clausule 6.1.3. De risicobeoordeling-methodiek staat in methodiek.md.
Behandelopties
| Optie | Wanneer | Voorbeeld |
|---|---|---|
| Accepteren | Risico valt in zone 1-2, of kosten behandeling disproportioneel | Beperkt risico op stroomuitval kantoor (geen servers on-prem) |
| Vermijden | Risico te hoog, geen effectieve mitigatie mogelijk | Dienst niet aanbieden, technologie niet inzetten |
| Mitigeren | Maatregelen beschikbaar die risico tot acceptabel niveau brengen | EDR implementeren, MFA afdwingen, backup testen |
| Overdragen | Risico verzekerbaar of beter beheersbaar door derde partij | Cyberverzekering, uitbesteding aan specialist |
Acceptatie van risico’s wordt altijd formeel vastgelegd. Bij hoog en kritiek risico (zone 4-5) beslist de directie.
Selectie van maatregelen
Maatregelen worden geselecteerd uit:
- ISO 27001:2022 Annex A (93 controls, beschreven in
controls/) - NEN7510:2024 aanvullingen (beschreven in
nen7510/) - Best practices en leveranciersaanbevelingen
De Statement of Applicability (controls/_index.yaml) documenteert welke controls zijn geselecteerd, geïmplementeerd of uitgesloten.
Behandelplan per risico
Voor elk te behandelen risico legt de IB-coördinator vast:
- Risico-ID en beschrijving
- Gekozen behandelstrategie
- Concrete maatregelen met verwijzing naar Annex A controls
- Verantwoordelijke en deadline
- Verwacht residueel risico
- Monitoring-indicatoren
Tracking vindt plaats in Jira. Resultaten worden vastgelegd in het risico register (Google Sheets).
Goedkeuring
| Risiconiveau | Goedkeuring door |
|---|---|
| Laag (zone 1-2) | IB-coördinator |
| Gemiddeld (zone 3) | IB-coördinator + directie |
| Hoog/kritiek (zone 4-5) | Directie |
Restrisico
Na behandeling wordt het residueel risico herbeoordeeld. Als het restrisico binnen de risicobereidheid valt, wordt het formeel geaccepteerd. Geaccepteerde risico’s worden periodiek gereviewed:
- Laag: jaarlijks
- Gemiddeld: halfjaarlijks
- Hoog: per kwartaal
Huidige status
Er zijn nog geen formele behandelplannen — de eerste volledige risicobeoordeling wordt gepland in 2026. Bestaande maatregelen zijn vastgelegd in de 93 control-beschrijvingen.
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-29