6.1.2 - Risicobeoordeling methodiek

Geimplementeerd IB-coördinator

Deze methodiek is overgenomen uit het vorige ISMS en gevalideerd voor ISO 27001:2022. De risicobeoordeling-methodiek zelf (BIA, kans/impact, behandelzones) is normonafhankelijk. De Annex A controlstructuur is reeds geactualiseerd naar de 93 controls van ISO 27001:2022.

Doel

Dit document beschrijft de methodiek voor het identificeren, analyseren en evalueren van informatiebeveiligingsrisico’s conform ISO 27001 clausule 6.1.2. De methodiek is gebaseerd op de YipYip-procedure voor risicoanalyse en beoordeling en omvat een Business Impact Analyse (BIA), dreigingsanalyse per component en een risicoberekening op basis van kans en impact per BIV-aspect.

Scope

Deze methodiek is van toepassing op alle informatie-assets, processen en ontsluitingen binnen de ISMS scope.

Proces Overzicht

┌──────────────────────────────┐
│ 1. Inventarisatie & BIA      │ → Informatiegroepen, waardebepaling per BIV-aspect
└─────────────┬────────────────┘
              ↓
┌──────────────────────────────┐
│ 2. Ontsluitingen             │ → Systemen, netwerken, fysiek
└─────────────┬────────────────┘
              ↓
┌──────────────────────────────┐
│ 3. Componentanalyse          │ → Mensen, middelen, programmatuur, data, etc.
└─────────────┬────────────────┘
              ↓
┌──────────────────────────────┐
│ 4. Dreigingsanalyse          │ → Dreigingen en oorzaken per component
└─────────────┬────────────────┘
              ↓
┌──────────────────────────────┐
│ 5. Risicobeoordeling         │ → R = K * (B, I, V)
└─────────────┬────────────────┘
              ↓
┌──────────────────────────────┐
│ 6. Risicobehandeling         │ → Accepteren, vermijden, mitigeren, overdragen
└──────────────────────────────┘

1. Inventarisatie en Business Impact Analyse (BIA)

Informatiegroepen

Informatie wordt geïnventariseerd per bedrijfsproces. Per proces worden informatiegroepen gedefinieerd: logisch samenhangende verzamelingen van informatie die binnen dat proces worden verwerkt.

Waardebepaling (BIA)

De BIA bepaalt de waarde van elke informatiegroep. Per informatiegroep wordt per BIV-categorie een klasse aangegeven:

Klasse	Beschikbaarheid (B)	Integriteit (I)	Vertrouwelijkheid (V)
1	Verwaarloosbaar - uitval tot enkele dagen acceptabel	Geringe impact bij onjuistheid	Openbare informatie
2	Beperkt - uitval tot enkele uren acceptabel	Beheersbare impact bij onjuistheid	Intern gebruik
3	Matig - uitval tot 1 uur acceptabel	Significante impact bij onjuistheid	Vertrouwelijke informatie
4	Ernstig - nagenoeg geen uitval acceptabel	Grote impact bij onjuistheid	Geheim / zeer vertrouwelijk
5	Catastrofaal - geen uitval acceptabel	Kritieke impact bij onjuistheid	Strikt geheim / patiëntgegevens

De hoogste klasse per informatiegroep bepaalt de maximale impactwaarde.

2. Ontsluitingen van Informatie

Informatie kan op drie manieren ontsloten worden. Per ontsluiting worden de relevante componenten en dreigingen geanalyseerd.

Type 1: Informatiesystemen

Informatie die wordt verwerkt, opgeslagen of getransporteerd via informatiesystemen (applicaties, databases, clouddiensten, etc.).

Type 2: Digitale netwerken en schijven

Informatie die wordt ontsloten via digitale netwerken, gedeelde schijven, fileservers en vergelijkbare infrastructuur.

Type 3: Papier binnen fysieke systemen

Informatie die wordt vastgelegd op papier en/of wordt bewaard in fysieke systemen (archieven, dossiers, etc.).

3. Componenten

Per ontsluiting worden de volgende componenten geïdentificeerd en geanalyseerd:

Component	Beschrijving	Voorbeelden
Mensen	Personen die betrokken zijn bij de verwerking van informatie	Medewerkers, beheerders, eindgebruikers
Middelen	Fysieke middelen en hardware	Servers, werkstations, mobiele apparaten, netwerkapparatuur
Programmatuur	Software en applicaties	Besturingssystemen, applicaties, tooling
Data	De informatie zelf en de dragers	Databases, bestanden, back-ups
Leveranciers	Externe partijen die diensten leveren	Hosting, SaaS-leveranciers, onderhoudsbedrijven
Organisatie	Organisatorische aspecten	Processen, procedures, beleid
Techniek	Technische infrastructuur	Netwerken, bekabeling, stroomvoorziening

4. Dreigingsanalyse per Component

Werkwijze

Per component wordt een dreigingsanalyse uitgevoerd op basis van een standaardlijst van bedreigingen en oorzaken. Voor elke combinatie van component en dreiging wordt bepaald:

Welke dreigingen zijn relevant voor dit component?
Welke oorzaken kunnen deze dreiging veroorzaken?
Wat is de kans dat de oorzaak leidt tot een incident, gegeven de bestaande situatie met reeds geïmplementeerde maatregelen?

Kans Schaal

De kansbepaling houdt rekening met reeds bestaande maatregelen:

Score	Niveau	Frequentie	Beschrijving
1	Zeer onwaarschijnlijk	< 1x per 10 jaar	Uitzonderlijk, nog nooit voorgekomen
2	Onwaarschijnlijk	1x per 5-10 jaar	Zelden, enkele keren in verleden
3	Mogelijk	1x per 1-5 jaar	Komt voor, periodiek incident
4	Waarschijnlijk	1x per jaar	Regelmatig, jaarlijks incident
5	Zeer waarschijnlijk	> 1x per jaar	Frequente incidenten

Belangrijk: De kans wordt bepaald op basis van de bestaande situatie, dus inclusief reeds geïmplementeerde maatregelen. Dit geeft een realistischer beeld van het actuele risico.

5. Risicobeoordeling

Risico Formule

Het risico wordt berekend per scenario met de volgende formule:

R = K * (B, I, V)

Waarbij:

Variabele	Betekenis
R	Risicoscenario (uitkomst)
K	Kans dat de oorzaak leidt tot een incident
B	Waarde beschikbaarheid (uit BIA)
I	Waarde integriteit (uit BIA)
V	Waarde vertrouwelijkheid (uit BIA)

Het risico wordt per BIV-aspect afzonderlijk berekend. De hoogste uitkomst bepaalt het risiconiveau van het scenario.

Risico Matrix

	B/I/V = 1	B/I/V = 2	B/I/V = 3	B/I/V = 4	B/I/V = 5
K = 5	5 (M)	10 (M)	15 (H)	20 (K)	25 (K)
K = 4	4 (L)	8 (M)	12 (M)	16 (H)	20 (K)
K = 3	3 (L)	6 (M)	9 (M)	12 (M)	15 (H)
K = 2	2 (L)	4 (L)	6 (M)	8 (M)	10 (M)
K = 1	1 (L)	2 (L)	3 (L)	4 (L)	5 (M)

L = Laag, M = Gemiddeld, H = Hoog, K = Kritiek

Behandelzones

Op basis van de risicoscore worden vijf behandelzones onderscheiden:

Zone	Score	Kleur	Behandeling	Besluitvorming
Zone 1	1-3	Groen	Accepteren is standaard mogelijk	Risico-eigenaar
Zone 2	4-6	Geel	Behandeling overwegen	Risico-eigenaar / Directie
Zone 3	7-12	Oranje	Behandeling vereist	Directie
Zone 4	13-19	Rood	Behandeling noodzakelijk, prioriteit	Directie
Zone 5	20-25	Donkerrood	Onmiddellijke actie vereist	Directie

6. Risicobehandeling

Behandelopties

Na de risicobeoordeling wordt per risicoscenario een behandeloptie gekozen:

Optie	Beschrijving	Wanneer toepassen
Accepteren	Het risico wordt bewust geaccepteerd. Het risico valt binnen de risicobereidheid van de organisatie, of de kosten van behandeling wegen niet op tegen het risico. Acceptatie wordt formeel vastgelegd en door de directie geaccordeerd.	Risico valt in zone 1-2, of kosten behandeling disproportioneel
Vermijden	Het component of de oorzaak wordt geheel vermeden. De activiteit, het proces of de technologie die het risico veroorzaakt wordt stopgezet of niet ingevoerd.	Risico te hoog en geen effectieve mitigatie mogelijk
Mitigeren	Het risico wordt verminderd door het implementeren van maatregelen (controls). Maatregelen kunnen de kans verlagen, de impact beperken, of beide.	Risico kan door maatregelen tot acceptabel niveau worden teruggebracht
Overdragen	Het risico wordt overgedragen aan een derde partij, bijvoorbeeld door verzekering, uitbesteding of contractuele afspraken. Let op: de verantwoordelijkheid voor het risico kan niet worden overgedragen.	Risico is verzekerbaar of beter beheersbaar door een derde partij

Restrisico

Na behandeling wordt het restrisico (residueel risico) opnieuw beoordeeld met dezelfde formule. Het restrisico moet binnen de risicobereidheid van de organisatie vallen. Restrisico’s worden formeel geaccepteerd door de directie.

7. Documentatie

Risico Register

Het risico register wordt bijgehouden in Google Sheets (zie tools/sheets/risico-analyse.md) en het lokale register (03-planning/6.1-risicobeoordeling/risico-register.yaml) met:

Risico ID
Informatiegroep / Asset
Ontsluiting (type 1/2/3)
Component
Dreiging en oorzaak
Kans (K)
Impact scores (B, I, V)
Risicoscore per BIV-aspect
Hoogste risicoscore (R)
Behandelzone
Behandeloptie
Maatregelen / controls
Restrisico
Risico-eigenaar
Status
Review datum

Behandelplan

Gekozen maatregelen worden vastgelegd in het behandelplan (03-planning/6.1-risicobeoordeling/behandelplan.md) met koppeling naar de betreffende Annex A controls.

Rapportage

Kwartaal: Risico-overzicht aan directie
Jaarlijks: Volledige risicobeoordeling
Ad hoc: Bij significante wijzigingen of incidenten

8. Frequentie

Activiteit	Frequentie
Volledige risicobeoordeling	Jaarlijks
Review hoge risico’s (zone 4-5)	Kwartaal
Na significant incident	Direct
Bij grote wijzigingen	Voor implementatie
NEN 7510 specifieke risico’s	Jaarlijks extra aandacht
Actualisatie dreigingslijst	Jaarlijks

9. Verantwoordelijkheden

Rol	Verantwoordelijkheid
Directie	Opstellen en vaststellen van de risicobeoordeling; accorderen van te nemen maatregelen; formeel accepteren van restrisico’s; besluitvorming bij hoge en kritieke risico’s
Adviseur	Faciliteren van het risicobeoordelingsproces; begeleiden van dreigingsanalyse; ondersteunen bij selectie van maatregelen
Risico-eigenaren	Monitoren en behandelen van toegewezen risico’s; signaleren van wijzigingen in risicoprofiel
Asset-eigenaren	Aanleveren van input over hun informatiegroepen; bijdragen aan de BIA

Relatie met NEN 7510

Voor de zorgsector worden aanvullend beoordeeld:

Risico’s voor patiëntveiligheid
Risico’s voor continuïteit van zorg
Privacy-risico’s medische gegevens
Risico’s door medische apparatuur
Risico’s gerelateerd aan noodtoegang tot patiëntinformatie

Vastgesteld door: Directie Oorspronkelijke datum: overgenomen uit vorig ISMS Gemigreerd naar ISMS 2.0: 2026-01-28 Status: Methodiek operationeel, actualisatie naar ISO 27001:2022 nog vereist