26 mei 2026 • Cyber security
Risicoanalyse is geen optionele toevoeging in ISO 27001, het is het fundament waarop de gehele norm is gebouwd. Zonder een gestructureerd beeld van wat er mis kan gaan en hoe waarschijnlijk en impactvol dat zou zijn, zijn alle beveiligingsmaatregelen die je neemt gebaseerd op aannames in plaats van bewijs. Dit artikel legt uit wat een ISO 27001 risicoanalyse inhoudt, hoe je het stap voor stap aanpakt en hoe een praktisch voorbeeld eruitziet.
Wat is een ISO 27001 risicoanalyse?
Een ISO 27001 risicoanalyse is een gestructureerd proces waarbij een organisatie informatiebeveiligingsrisico's identificeert, de kans op en mogelijke impact van die risico's beoordeelt, en beslist hoe ze worden behandeld. Het resultaat is een risicoregister: een gedocumenteerd overzicht van alle geïdentificeerde risico's en de beslissingen die per risico zijn genomen.
ISO 27001 schrijft geen specifieke methode voor het uitvoeren van een risicoanalyse voor. De norm vereist dat de methode consistent, herhaalbaar is en vergelijkbare resultaten oplevert. In de praktijk gebruiken de meeste organisaties een kans-impactmatrix, een kwalitatief scoresysteem of een combinatie van beide.
De risicoanalyse is geen eenmalige exercitie. ISO 27001 vereist dat deze regelmatig wordt herzien, op geplande momenten en telkens wanneer er significante veranderingen optreden in de organisatie of haar omgeving. Dat maakt het een levend document, geen gearchiveerd rapport.
Waarom risicoanalyse centraal staat in ISO 27001
ISO 27001 is een risicogebaseerde norm. Dat betekent dat de maatregelen die een organisatie implementeert gestuurd moeten worden door risico, niet door gewoonte of door wat concurrenten doen. Clausule 6.1.2 van ISO 27001 vereist expliciet dat organisaties een risicobeoordelingsproces definiëren, dit consistent toepassen en gedocumenteerde informatie bewaren als bewijs.
Deze risicogebaseerde aanpak heeft een praktische consequentie: twee organisaties in dezelfde sector kunnen zeer verschillende sets maatregelen hebben, omdat hun risicoprofielen verschillen. Een zorgaanbieder die gevoelige patiëntgegevens verwerkt, staat bloot aan andere bedreigingen dan een logistiek bedrijf. De risicoanalyse zorgt ervoor dat het ISMS bij de organisatie past, en niet andersom.
ISO 27001 vertelt je niet welke risico's je moet prioriteren. Het vertelt je dat je een proces moet hebben dat rigoureus genoeg is om dat zelf te achterhalen, en dat je documenteert dat je dat hebt gedaan.
De vier stappen van een ISO 27001-risicoanalyse
Hoewel ISO 27001 flexibiliteit in methodologie toestaat, volgen effectieve risicoanalyses consequent vier kernstappen:
- Breng je bedrijfsmiddelen en bedreigingen in kaart. Begin met het inventariseren van de informatiebronnen die belangrijk zijn voor je organisatie: gegevens, systemen, processen, mensen. Bepaal voor elk bedrijfsmiddel welke bedreigingen er zijn – ongeoorloofde toegang, gegevensverlies, systeemstoringen, menselijke fouten – en welke kwetsbaarheden ervoor zorgen dat die bedreigingen kunnen worden uitgebuit.
- Beoordeel de waarschijnlijkheid en de impact. Geef voor elk geïdentificeerd risico een score voor de waarschijnlijkheid dat het zich voordoet en voor de impact die het zou hebben als het zich voordoet. Een eenvoudige schaal van 1 tot 3 of 1 tot 5 werkt voor de meeste organisaties. De combinatie van deze twee scores levert een risiconiveau op.
- Bepaal hoe je met het risico omgaat. Kies voor elk risico een aanpak: beperken (een beheersmaatregel invoeren om het risico te verminderen), accepteren (vastleggen dat het risiconiveau acceptabel is), overdragen (bijvoorbeeld via een verzekering of uitbesteding), of vermijden (de activiteit aanpassen die het risico veroorzaakt).
- Documenteer en evalueer. Leg alle bevindingen, behandelingsbeslissingen en resterende risico’s vast in een risicoregister. Koppel elke beslissing aan de toepasselijke beheersmaatregelen uit bijlage A van ISO 27001. Plan een evaluatiedatum in.
Voorbeeld van een risicoanalyse: hoe dat er in de praktijk uitziet
Hieronder een vereenvoudigd risico analyse voorbeeld voor een organisatie met een klein IT-team en een mix van kantoor- en thuiswerkers. Scores gebruiken een schaal van 1 tot 3 (1 = laag, 3 = hoog).
| Risico | Waarschijnlijkheid | Gevolgen | Risiconiveau | Behandeling |
|---|---|---|---|---|
| Medewerker klikt op phishinglink, inloggegevens gestolen | 3 | 3 | Hoog | Risico’s beperken — phishingsimulatie + bewustwordingstraining |
| Niet-gepatchte software die door malware wordt misbruikt | 2 | 3 | Hoog | Beperken — beleid voor patchbeheer |
| Laptop kwijtgeraakt of gestolen met onversleutelde gegevens | 2 | 2 | Medium | Beveiliging — volledige schijfversleuteling + MDM |
| Belangrijk personeelslid vertrekt, kennis gaat verloren | 2 | 2 | Medium | Risicobeperking — documentatie + kennisoverdracht |
| Kantoor onder water, serverruimte ontoegankelijk | 1 | 3 | Medium | Overdracht — bedrijfscontinuïteitsverzekering + cloudback-up |
| Socialemedia-account gehackt | 1 | 1 | Laag | Accepteren — controleren, geen extra maatregelen nodig |
Dit risicoanalysevoorbeeld illustreert hoe menselijk gedrag — met name de gevoeligheid voor phishing — consistent naar voren komt als een hoog-prioritair risico. Het is tevens een van de meest aanpakbare risico's door middel van gestructureerde Security Awareness Training.
Security awareness training als risicobehandelingsmaatregel
Bij bijna elke ISO 27001-risicoanalyse valt het menselijke risico in de categorie met hoge prioriteit. Phishing, social engineering, zwakke wachtwoorden en onbedoelde openbaarmaking van gegevens zijn voorspelbare, terugkerende risico’s — en die worden veroorzaakt door mensen, niet door systemen.
ISO 27001 Annex A control 6.3 vereist expliciet van organisaties om alle medewerkers te voorzien van information security awareness, opleiding en training. Het gaat hierbij niet alleen om het één keer per jaar afronden van een module. De control vereist doorlopende awareness die gelijke tred houdt met het dreigingslandschap.
Guardey's ISO 27001 Security Awareness Training is hier precies op gebouwd: korte, terugkerende trainingen gecombineerd met phishing simulaties die organisaties zowel de dekking als de documentatie bieden die nodig is om auditors tevreden te stellen. De vermelding in het risicoregister voor menselijke fouten verschuift van 'hoog risico, gedeeltelijk beperkt' naar 'hoog risico, actief beheerd' — een onderscheid dat telt bij een audit.
Elimineer menselijke risico’s om te voldoen aan ISO 27001
Bouw een security cultuur op voordat de auditors aankloppen.
