ISMS Copilot
ISO 27001 met AI

Hoe u ISO 27001 risicobeoordeling uitvoert met behulp van AI

Overzicht

U leert hoe u AI kunt inzetten om een uitgebreide ISO 27001-risicobeoordeling uit te voeren, van het identificeren van informatiebronnen tot het berekenen van risicoscores en het ontwikkelen van behandelplannen die direct gekoppeld zijn aan de Annex A-beheersmaatregelen.

Voor wie dit bedoeld is

Deze gids is voor:

  • Security professionals die hun eerste ISO 27001-risicobeoordeling uitvoeren

  • Risicomanagers die de overstap maken van andere kaders naar ISO 27001

  • Consultants die risicobeoordelingen beheren voor meerdere klanten

  • Organisaties die worstelen met de complexiteit van traditionele risicobeoordelingen

Voorwaarden

Zorg ervoor dat u, voordat u begint, beschikt over:

  • De handleiding Aan de slag met ISO 27001-implementatie met behulp van AI voltooid

  • Gedefinieerde ISMS-scope en risicomethodologie

  • Uw ISO 27001-werkruimte aangemaakt in ISMS Copilot

  • Identificatie van de belangrijkste belanghebbenden en risico-eigenaren over de verschillende afdelingen heen

  • Toegang tot systeemdocumentatie, netwerkdiagrammen en datastroomkaarten

Voordat u begint

Trek voldoende tijd uit voor de risicobeoordeling:

  • Kleine organisaties (20-50 werknemers): 2-3 weken

  • Middelgrote organisaties (100-500 werknemers): 4-6 weken

  • Grote organisaties (500+ werknemers): 8-12 weken

Cruciale vereiste: ISO 27001 Clausule 6.1.2 verplicht een risicobeoordeling vóór de selectie van beheersmaatregelen. Auditoren zullen verifiëren of uw risicobeoordelingsmethodologie eerst gedocumenteerd was en consequent is toegepast om herhaalbare, vergelijkbare resultaten te produceren.

De vereisten voor ISO 27001-risicobeoordeling begrijpen

Wat de ISO 27001-risicobeoordeling uniek maakt

In tegenstelling tot andere beveiligingskaders vereist ISO 27001 een risicogebaseerde benadering waarbij:

  • Beheersmaatregelen worden gerechtvaardigd door risico's: U kunt niet zomaar alle 93 Annex A-maatregelen implementeren — elke maatregel moet een geïdentificeerd risico aanpakken

  • Risk appetite drijft beslissingen: Uw organisatie bepaalt welk risiconiveau acceptabel is

  • Asset-centrische focus: Risico's worden beoordeeld op basis van dreigingen voor specifieke informatiebronnen (assets)

  • Continu proces: Risicobeoordeling moet regelmatig worden herhaald, niet alleen voor certificering

De vijf kerncomponenten

Component

Doel

Belangrijkste output

Asset-identificatie

Catalogiseren wat bescherming nodig heeft

Inventaris van informatiebronnen

Dreigingsanalyse

Identificeren wat er mis kan gaan

Dreigingscatalogus

Kwetsbaarheidsbeoordeling

Zwakke plekken vinden die dreigingen kunnen misbruiken

Kwetsbaarhedenregister

Risicoberekening

Waarschijnlijkheid en impact bepalen

Risicoregister met scores

Risicobehandeling

Beslissen hoe elk risico aan te pakken

Risicobehandelplan

AI-voordeel: Traditionele risicobeoordelingen vereisen weken aan interviews met belanghebbenden en handmatige documentatie. Met ISMS Copilot kunt u binnen enkele uren uitgebreide risicoscenario's, dreigingscatalogi en beoordelingssjablonen genereren — en deze vervolgens aanpassen aan uw specifieke omgeving.

Stap 1: Bouw uw inventaris van informatiebronnen op

Waarom asset-identificatie op de eerste plaats komt

U kunt geen risico's beoordelen zonder te weten wat u beschermt. ISO 27001 vereist de identificatie en documentatie van alle informatiebronnen binnen de scope van uw ISMS, inclusief:

  • Informatiebronnen: Klantgegevens, werknemersdossiers, intellectueel eigendom, financiële gegevens, contracten

  • Software-assets: Applicaties, databases, besturingssystemen, beveiligingstools, clouddiensten

  • Fysieke assets: Servers, werkstations, netwerkapparatuur, opslagapparaten, mobiele apparaten

  • Diensten: Cloudinfrastructuur, managed services, internetverbindingen, platforms van derden

  • Mensen: Werknemers, aannemers, beheerders met geprivilegieerde toegang

AI gebruiken om asset-discovery te versnellen

In uw ISO 27001-werkruimte:

  1. Genereer asset-categorieën voor uw branche:

    "Maak een sjabloon voor een inventaris van informatiebronnen voor een [branche] bedrijf met [beschrijving]. Voeg categorieën toe voor: gegevensbronnen, applicatiesystemen, infrastructuur, diensten van derden en personeel. Geef voor elke categorie relevante voorbeelden."

  2. Upload bestaande documentatie: Als u netwerkdiagrammen, systeemarchitectuurdocumenten of datastroomkaarten heeft, upload deze dan en vraag:

    "Analyseer dit architectuurdiagram en identificeer alle informatiebronnen die moeten worden opgenomen in onze ISO 27001-inventaris. Stel voor elke asset een eigenaar en classificatieniveau voor."

  3. Identificeer asset-eigenaren:

    "Wie zou de asset-eigenaar moeten zijn voor elk type asset in een [bedrijfsbeschrijving]? Definieer criteria voor het toewijzen van eigendom op basis van bedrijfsfunctie, technische verantwoordelijkheid en verantwoording voor beveiliging."

  4. Maak classificatiecriteria aan:

    "Definieer informatieclassificatieniveaus (Openbaar, Intern, Vertrouwelijk, Strikt Vertrouwelijk) voor ISO 27001. Geef per niveau: definitie, voorbeelden, vereisten voor behandeling en gevolgen van ongeoorloofde openbaarmaking."

Pro tip: Begin bij kritieke bedrijfsprocessen (bijv. onboarding van klanten, betalingsverwerking, productontwikkeling) en werk terug om de ondersteunende assets te identificeren. Dit zorgt ervoor dat u vastlegt wat werkelijk van belang is voor de bedrijfscontinuïteit.

Structuur van de asset-inventaris

Vraag ISMS Copilot om een uitgebreid sjabloon te maken:

"Genereer een spreadsheetstructuur voor een asset-inventaris met kolommen voor: Asset-ID, Asset-naam, Asset-type, Beschrijving, Eigenaar, Locatie, Classificatie, Afhankelijkheden, Criticaliteitsbeoordeling. Voeg 10 voorbeelditems toe voor een SaaS-platform."

Verwachte structuur:

Asset-ID

Asset-naam

Type

Eigenaar

Classificatie

Criticaliteit

DATA-001

Datastand van klanten

Gegevens

CTO

Beperkt

Kritiek

APP-001

Productie web-app

Software

Engineering Lead

Vertrouwelijk

Kritiek

INFRA-001

AWS-productieomgeving

Infrastructuur

DevOps Manager

Vertrouwelijk

Kritiek

SVC-001

E-maildienst (Google Workspace)

Derde partij

IT Manager

Intern

Hoog

Stap 2: Identificeer dreigingen en kwetsbaarheden

Het dreigingslandschap begrijpen

Voor elke asset moet u realistische dreigingen en exploiteerbare kwetsbaarheden identificeren. Veelvoorkomende dreigingscategorieën zijn:

  • Cyberdreigingen: Malware, ransomware, phishing, DDoS-aanvallen, SQL-injectie

  • Menselijke fouten: Per ongeluk verwijderen, verkeerde configuratie, onjuist verleende toegang

  • Interne dreigingen: Kwaadwillende werknemers, misbruik van privileges, diefstal van gegevens

  • Systeemstoringen: Hardwarestoringen, softwarefouten, netwerkuitval

  • Risico's van derden: Inbreuken bij leveranciers, supply chain-aanvallen, verstoringen van de dienstverlening

  • Fysieke dreigingen: Diefstal, natuurrampen, ongeoorloofde toegang tot faciliteiten

Veelgemaakte fout: Generieke dreigingslijsten uit sjablonen weerspiegelen niet uw specifieke omgeving. Auditoren verwachten een dreigingsanalyse die is afgestemd op uw technologiestack, branche en geografische locatie.

AI gebruiken voor dreigings- en kwetsbaarheidsanalyse

  1. Genereer dreigingsscenario's per asset:

    "Identificeer realistische dreigingen voor een klantendatabase met PII in een cloud-gehoste SaaS-applicatie, rekening houdend met: cyberaanvallen, interne dreigingen, systeemstoringen, risico's van derden en naleving van regelgeving. Beschrijf voor elke dreiging het scenario en de potentiële impact."

  2. Identificeer technologiespecifieke kwetsbaarheden:

    "Wat zijn veelvoorkomende kwetsbaarheden in [uw tech-stack, bijv. 'AWS-gehoste PostgreSQL-databases met webapplicatie-frontend']? Inclusief: zwakke configuraties, hiaten in toegangsbeheer, encryptieproblemen en uitdagingen bij patchmanagement."

  3. Analyseer branchespecifieke dreigingen:

    "Welke informatiebeveiligingsdreigingen zijn het meest relevant voor [uw branche, bijv. 'fintechbedrijven die betalingsgegevens verwerken']? Inclusief regelgevingsrisico's, vergaren van concurrentie-informatie en sectorspecifieke aanvalspatronen."

  4. Beoordeel risico's van derden:

    "Maak een risicobeoordeling van derden voor onze belangrijkste leveranciers: [lijst leveranciers en diensten]. Identificeer voor elk risico's met betrekking tot: toegang tot gegevens, beschikbaarheid van diensten, beveiligingsincidenten en tekortkomingen in de naleving."

Stap 3: Risicoscores berekenen

Toepassen van uw risicomethodologie

Met behulp van de methodologie die u in de Startersgids heeft gedefinieerd, berekent u nu risicoscores voor elk paar van dreiging en kwetsbaarheid.

De standaardformule:

Risicoscore = Waarschijnlijkheid × Impact

Waarbij beide factoren worden beoordeeld op uw gedefinieerde schaal (meestal 1-5 of 1-10).

Waarschijnlijkheid definiëren met AI

Vraag ISMS Copilot om de waarschijnlijkheid te evalueren:

"Beoordeel voor de dreiging '[specifieke dreiging]' die '[specifieke kwetsbaarheid]' misbruikt in onze [asset-beschrijving], de waarschijnlijkheid op een schaal van 1-5, rekening houdend met: onze bestaande beheersmaatregelen (lijst ze op), capaciteiten van dreigingsactoren, historische incidenten in onze branche en de huidige beveiligingsstatus."

Voorbeeld prompt:

"Beoordeel de waarschijnlijkheid (1-5) voor de dreiging 'ransomware-aanval via phishing-e-mail' die 'onvoldoende beveiligingsbewustzijn van werknemers' misbruikt in ons SaaS-bedrijf met 50 personen, rekening houdend met: we hebben basis e-mailfiltering, geen beveiligingstraining en werknemers die thuiswerken. De gezondheidszorgsector heeft een toename van 40% in ransomware-aanvallen gezien."

Impact beoordelen met AI

Vraag ISMS Copilot om de gevolgen te evalueren:

"Beoordeel voor het risico '[dreiging] voor [asset]', de impact op een schaal van 1-5 rekening houdend met: financieel verlies (omzet, boetes, herstelkosten), operationele verstoring (downtime, kwaliteitsvermindering dienstverlening), wettelijke gevolgen (AVG-boetes) en reputatieschade (klantvertrouwen, marktpositie)."

Pro tip: Vraag de AI bij elke risicoberekening om "je redenering te tonen", zodat u de argumentatie kunt opnemen in uw risicobeoordelingsrapport. Auditoren waarderen transparante, goed onderbouwde risico-evaluaties boven willekeurige scores.

Risiconiveaus categoriseren

Genereer uw risicomatrix:

"Maak een 5x5 risicomatrix voor ISO 27001 waarbij Waarschijnlijkheid en Impact beide gewaardeerd worden op 1-5. Kleur de cellen als volgt: Laag (groen, scores 1-6), Medium (geel, scores 8-12), Hoog (oranje, scores 15-20), Kritiek (rood, scores 25). Geef aan welke risico's onmiddellijke behandeling vereisen versus monitoring."

Typische drempelwaarden:

  • Kritiek (20-25): Onmiddellijke behandeling vereist, escalatie naar directie

  • Hoog (15-19): Behandelplan binnen 30 dagen

  • Medium (8-14): Behandelplan binnen 90 dagen of accepteren met rechtvaardiging

  • Laag (1-7): Accepteren of monitoren, besluit documenteren

Stap 4: Risicobehandelplannen ontwikkelen

De vier behandelingsopties

Voor elk risico vereist ISO 27001 het selecteren van een van de vier behandelingsopties:

  1. Mitigeren: Beheersmaatregelen implementeren om waarschijnlijkheid of impact te verminderen (meest voorkomend)

  2. Vermijden: De activiteit die het risico veroorzaakt beëindigen

  3. Overdragen: Risico delen via verzekering of uitbesteding

  4. Accepteren: Erkennen en monitoren (vereist goedkeuring door management)

Compliance-vereiste: Risicoacceptatie moet expliciet worden goedgekeurd door risico-eigenaren en gedocumenteerd zijn. Auditoren zullen verifiëren of geaccepteerde risico's binnen uw vastgestelde risk appetite vallen en of de directie hiervoor heeft getekend.

AI gebruiken om behandelingsstrategieën te ontwerpen

  1. Genereer mitigatie-opties:

    "Stel voor het risico '[risicobeschrijving]' met score [X], ISO 27001 Annex A-beheersmaatregelen voor die dit risico effectief zouden mitigeren. Leg voor elke maatregel uit: hoe het de waarschijnlijkheid of impact vermindert, de implementatieaanpak, geschatte kosten/inspanning en het verwachte restrisico."

  2. Evalueer de kosteneffectiviteit van maatregelen:

    "Vergelijk behandelingsopties voor '[risico]': Optie A - implementeer MFA en SIEM ($50k), Optie B - verbeterde training voor werknemers ($10k), Optie C - cyberverzekering ($20k per jaar). Beveel de meest kosteneffectieve aanpak aan, rekening houdend met onze risk appetite en budgetbeperkingen."

  3. Maak behandelplannen:

    "Genereer een sjabloon voor een risicobehandelplan voor ISO 27001 met kolommen voor: Risico-ID, Risicobeschrijving, Huidige score, Behandeloptie, Geselecteerde beheersmaatregelen, Implementatieverantwoordelijke, Streefdatum, Verwacht restrisico, Goedkeuringsstatus. Voeg 5 voorbeelditems toe."

Stap 5: Koppel risico's aan Annex A-beheersmaatregelen

Waarom het koppelen van beheersmaatregelen belangrijk is

Uw Verklaring van Toepasselijkheid (SoA) moet aantonen dat geselecteerde beheersmaatregelen gerechtvaardigd zijn door geïdentificeerde risico's. Dit creëert het audittraject:

Asset → Dreiging → Kwetsbaarheid → Risico → Behandeling → Beheersmaatregel(en)

AI gebruiken voor het koppelen van maatregelen

Voor elk hoog of kritiek risico:

"Welke ISO 27001:2022 Annex A-beheersmaatregelen pakken het risico '[risicobeschrijving]' aan? Leg voor elke relevante maatregel uit: het specifieke doel van de maatregel, hoe het het risico mitigeert, implementatievereisten en welk bewijsmateriaal nodig is om compliance aan te tonen."

Voorbeeld:

Risico: Ongeautoriseerde toegang tot de klantendatabase (Score: 20 - Kritiek)

De AI-reactie zal koppelen aan maatregelen zoals:

  • A.5.15 Toegangsbereheer: Implementeer op rollen gebaseerde toegang met minimale privileges

  • A.5.16 Identiteitsbeheer: Gecentraliseerde authenticatie en gebruikersbeheer

  • A.5.17 Authenticatie-informatie: Sterk wachtwoordbeleid en MFA

  • A.8.2 Geprivilegieerde toegangsrechten: Beperkte beheerderstoegang met monitoring

  • A.8.5 Veilige authenticatie: Multi-factor authenticatie voor alle toegang tot de database

AI-voordeel: In plaats van handmatig 93 Annex A-maatregelen te kruisverwijzen, identificeert ISMS Copilot direct relevante maatregelen en legt uit waarom ze van toepassing zijn op uw specifieke risicoscenario.

Uw selectiematrix voor beheersmaatregelen aanmaken

"Genereer een selectiematrix voor beheersmaatregelen die laat zien welke Annex A-maatregelen welke risico's aanpakken. Structureer als: Risico-ID, Risicobeschrijving, Risicoscore, Geselecteerde maatregelen (met nummers), Rechtvaardiging. Toon de relaties voor onze top 10 risico's."

Stap 6: Documenteer uw risicobeoordeling

Vereiste documentatie

ISO 27001-auditoren zullen vragen naar:

  • Risicobeoordelingsmethodologie: Hoe u risico's identificeert en evalueert

  • Asset-inventaris: Alle informatiebronnen binnen de scope

  • Risicoregister: Volledige lijst van geïdentificeerde risico's met scores

  • Risicobehandelplan: Hoe elk risico zal worden aangepakt

  • Koppeling van beheersmaatregelen: Welke maatregelen welke risico's mitigeren

  • Goedkeuringen van risicoacceptatie: Getekende goedkeuringen voor geaccepteerde risico's

AI gebruiken om uitgebreide documentatie te creëren

  1. Genereer een management samenvatting:

    "Maak een management samenvatting van onze ISO 27001-risicobeoordeling voor presentatie aan de directie. Inclusief: totaal aantal beoordeelde assets, aantal geïdentificeerde risico's per categorie, verdeling van risicoscores, belangrijkste bevindingen, aanbevolen prioriteitsacties en budgetvereisten. Doelgroep: niet-technische directieleden."

  2. Documenteer methodologie:

    "Schrijf een uitgebreid document voor de risicobeoordelingsmethodologie voor ISO 27001, inclusief: scope en doelstellingen, proces voor asset-identificatie, aanpak voor dreigings- en kwetsbaarheidsanalyse, schalen voor waarschijnlijkheid en impact met voorbeelden, formule voor risicoberekening, criteria voor risicoacceptatie, rollen en verantwoordelijkheden, en frequentie van beoordeling. Formatteer voor indiening bij een audit."

  3. Maak audit-ready rapporten:

    "Genereer een structuur voor een risicobeoordelingsrapport dat voldoet aan de eisen van ISO 27001 Clausule 6.1.2. Voeg secties toe voor: methodologie, samenvatting asset-inventaris, geïdentificeerde risico's per categorie, beslissingen over risicobehandeling, rechtvaardiging voor selectie van beheersmaatregelen en handtekeningen voor goedkeuring."

Pro tip: Upload uw concept-risicobeoordeling naar ISMS Copilot en vraag: "Beoordeel deze risicobeoordeling tegen de ISO 27001:2022 vereisten. Identificeer hiaten, ontbrekende elementen of gebieden die versterkt moeten worden voor audit-paraatheid." Dit dient als kwaliteitscontrole vóór de formele beoordeling.

Stap 7: Valideer met belanghebbenden

Waarom beoordeling door belanghebbenden essentieel is

Risicobeoordeling is geen solo-activiteit. ISO 27001 vereist input van risico-eigenaren, asset-eigenaren en het management om te garanderen dat:

  • Risicobeoordelingen de operationele realiteit weerspiegelen

  • Beslissingen over behandeling in lijn zijn met bedrijfsprioriteiten

  • Inzet van middelen realistisch is

  • Risicoacceptatie door de juiste autoriteit gebeurt

AI-geassisteerde beoordelingssessies uitvoeren

Bereid beoordelingsmateriaal voor:

"Maak een presentatie voor een beoordelingsvergadering van de risicobeoordeling met afdelingshoofden. Inclusief: overzicht van de methodologie, samenvatting van risico's op hun afdeling, voorgestelde behandelplannen, vereiste acties van hun team en budgettaire implicaties. Richt op een presentatie van 30 minuten."

Genereer gesprekspunten:

"Maak een lijst met vragen om aan afdelingshoofden te stellen bij het valideren van risicobeoordelingen: volledigheid van assets, realisme van dreigingen, haalbaarheid van beheersmaatregelen, beschikbaarheid van middelen en nauwkeurigheid van de business impact."

Stap 8: Plan voor doorlopend risicomanagement

Vereisten voor continue risicobeoordeling

ISO 27001 Clausule 6.1.3 vereist het opnieuw beoordelen van risico's wanneer:

  • Er significante wijzigingen optreden (nieuwe systemen, bedrijfsprocessen, dreigingen)

  • Beveiligingsincidenten worden gedetecteerd

  • De effectiviteit van beheersmaatregelen verandert

  • Op geplande intervallen (meestal jaarlijks of tijdens de management review)

Monitoring instellen met AI

  1. Maak triggers voor herbeoordeling aan:

    "Definieer specifieke triggers die een herbeoordeling van informatiebeveiligingsrisico's vereisen volgens ISO 27001. Inclusief: technologische wijzigingen, bedrijfsuitbreiding, updates in regelgeving, beveiligingsincidenten, falen van beheersmaatregelen en M&A-activiteit. Specificeer voor elke trigger wie de herbeoordeling initieert en de tijdlijn."

  2. Ontwerp monitoringprocessen:

    "Maak een driemaandelijks risicobeoordelingsproces voor ISO 27001, inclusief: te volgen statistieken, belangrijke risico-indicatoren (KRI's), agenda voor de voortgangsvergadering, rapportagesjablonen en criteria voor het escaleren van risico's die zijn toegenomen."

  3. Bouw workflows voor herbeoordeling:

    "Ontwerp een workflow voor het bijwerken van de ISO 27001-risicobeoordeling wanneer [specifieke wijziging optreedt, bijv. 'lancering van een nieuwe clouddienst']. Inclusief: wie de beoordeling uitvoert, welke assets/risico's herzien moeten worden, goedkeuringsvereisten en documentatie-updates."

Veelvoorkomende valkuilen en hoe AI helpt deze te vermijden

Valkuil 1: Generieke risicobeoordelingen Het gebruik van standaardrisico's uit sjablonen zonder aanpassing is een rode vlag voor auditoren. AI-oplossing: Vraag ISMS Copilot om uw specifieke technologiestack, bedrijfsmodel en branche te analyseren om contextuele risico's te genereren.

Valkuil 2: Inconsistente risicoscores Verschillende beoordelaars die verschillende criteria toepassen, zorgen voor onvergelijkbare resultaten. AI-oplossing: Gebruik AI om uw methodologie consequent toe te passen door te vragen "dezelfde waarschijnlijkheids- en impactcriteria te gebruiken" voor alle beoordelingen.

Valkuil 3: Zwakke koppeling tussen risico en beheersmaatregel Selecteren van maatregelen zonder duidelijke rechtvaardiging uit de risicobeoordeling. AI-oplossing: Vraag voor elke maatregel aan de AI: "Welke specifieke risico's mitigeert deze maatregel en wat is de verwachte risicoreductie?"

Valkuil 4: Onrealistische behandelplannen Voorstellen van beheersmaatregelen zonder rekening te houden met de haalbaarheid van implementatie of kosten. AI-oplossing: Vraag: "Evalueer de haalbaarheid van het implementeren van [maatregel] rekening houdend met onze [beperkingen]. Stel een gefaseerde implementatie of alternatieve benaderingen voor."

Volgende stappen in uw implementatietraject

U heeft nu het fundament voor de risicobeoordeling voltooid:

  • ✓ Informatiebronnen geïdentificeerd en geclassificeerd

  • ✓ Dreigingen en kwetsbaarheden geanalyseerd

  • ✓ Risicoscores berekend met een consistente methodologie

  • ✓ Behandelplannen ontwikkeld en gekoppeld aan beheersmaatregelen

  • ✓ Documentatie voorbereid voor de audit

Vervolg uw traject met de volgende gids: Hoe u ISO 27001-beleid en -procedures maakt met behulp van AI (binnenkort beschikbaar)

In de volgende gids leert u het volgende:

  • Genereer audit-ready beveiligingsbeleid

  • Maak operationele procedures voor Annex A-beheersmaatregelen

  • Bouw uw Verklaring van Toepasselijkheid (SoA)

  • Pas sjablonen aan voor uw organisatie

  • Zorg voor consistentie in het beleid over het gehele ISMS

Hulp krijgen

Voor voortdurende ondersteuning bij de risicobeoordeling:

Klaar om met uw risicobeoordeling te beginnen? Open uw ISO 27001-werkruimte op chat.ismscopilot.com en begin vandaag nog met het identificeren van uw eerste informatiebronnen.

Was dit nuttig?