ISO 27001 Eis 8.3 – Behandeling van informatiebeveiligingsrisico's

Wat houdt artikel 8.3 in?

Volgens artikel 8.3 is de eis dat de organisatie het behandelplan voor informatiebeveiligingsrisico's implementeert en gedocumenteerde informatie over de resultaten van die risicobehandeling bewaart. Deze vereiste heeft daarom betrekking op het waarborgen dat de risicobehandelingsprocessen die worden beschreven in artikel 6.1, Acties om risico's en kansen aan te pakken, daadwerkelijk plaatsvinden. Dit moet bewijsmateriaal en duidelijke audittrajecten van beoordelingen en acties omvatten, die de bewegingen van het risico in de loop van de tijd laten zien naarmate de resultaten van investeringen zich voordoen (niet in de laatste plaats ook de organisatie en de auditor het vertrouwen geven dat de risicobehandelingen hun doelen bereiken). Net als andere delen van artikel 8 wordt dit al bereikt als de organisatie het algehele ISMS heeft aangepakt met de aanpak die is beschreven in artikel 7.5.

Voldoen aan de eisen van 8.3

Om aan de eisen van 8.3 te voldoen, moet u kunnen aantonen dat het in artikel 6.1 beschreven risicobehandelingsplan wordt geïmplementeerd.

Zoals uitgebreider beschreven in 6.1 moet dit ook het bewijsmateriaal achter de behandeling omvatten. In eenvoudige bewoordingen kan 'behandeling' het werk zijn dat u intern doet om het risico te beheersen en te tolereren, of het kan stappen betekenen die u onderneemt om het risico over te dragen (bijvoorbeeld aan een leverancier), of het kan het geheel beëindigen van een risico zijn. De controles die worden geselecteerd om de risico's te beheersen, moeten rekening houden met, maar zijn niet beperkt tot, de maatregelen die zijn beschreven in bijlage A van de norm. Deze controles in bijlage A vormen de verklaring van toepasbaarheid (SoA) waarin alle controles worden beschreven en waarom deze wel of niet door de organisatie zijn geïmplementeerd.

Hoe u een risicobehandeling kunt creëren en uw risicobehandelingsproces kunt beheren

Risicobehandeling moet naast de risicobeoordeling worden overwogen en uiteindelijk ook in de SoA worden meegenomen.

Organisaties vinden doorgaans dat het beheren en aantonen van risico's het meest complexe onderdeel van ISO 27001 is. Lees ons recente artikel Information Security Risk Management uitgelegd om risicobeheer uitgebreider te verkennen. Het kan dagen, weken of maanden duren om een ​​volledig operationele risicooplossing op te zetten.

Die inspanning betekent het opzetten van een conforme risicobeoordelingsmethodologie, een manier om het bewijsmateriaal van het hele beveiligingsrisicobeheerproces te documenteren en vast te leggen, en dit ook te doorlopen voor de eerste volledige reeks risico's en behandelingen.

De softwareoplossing ISMS.online kan die tijd verkorten en een enorme hoeveelheid werk aan het proces besparen met de meegeleverde risicobeheertools en -methoden. ISMS.online biedt ook:

• Een sjabloonbeleid voor artikel 8 van ISO 27001:2013
• Een modelbeleid en -methodologie voor clausule 6.1, dat een alomvattende maar pragmatische benadering van risico-identificatie, -analyse en -behandeling omvat, evenals voortdurende monitoring en evaluatie
• Eenvoudig te gebruiken instrumenten voor risicobeheer, zoals beschreven in het bovenstaande beleid en de bovenstaande methodologie, die het behandelplan opstellen en onderhouden
• Een hele reeks populaire risico's, samen met voorgestelde Annex A-controles om het risico te koppelen en er omheen te behandelen
• Werkruimten om al het verrichte werk vast te leggen, waardoor de gedocumenteerde informatie binnen de tools kan worden bewaard en er koppelingen zijn naar de controles en het beleid dat wordt gebruikt om de risico's en problemen aan te pakken
• Dynamisch gecreëerde Verklaring van Toepasselijkheid, die teruglinkt naar de Controles in Bijlage A
• Eén gezamenlijke plek om het hele ISMS veilig te beheren

Word tot 5x sneller gecertificeerd met ISMS.online

Compliance hoeft niet ingewikkeld te zijn – ISMS.online is ontworpen om u te helpen de ISO 27001-certificering snel en betaalbaar te behalen zonder dat er training nodig is.
We hebben het ISO 27001-proces gestroomlijnd met onze Assured Results-methode, een voorsprong van 80%, uw eigen 24/7 virtuele coach, eenvoudige onboarding en deskundige ondersteuning.

Boek een platformdemo om te zien hoe ISMS.online uw bedrijf kan helpen