Informatie Asset Inventaris

Voor een korte toelichting per categorie, zie hieronder

Relevante VIB
nr. Naam Beschrijving Eigenaar aspecten
Dashboard met wekelijkse rapporten voor
1 Dashboard1 afdeling financiën CFO VIB
SalesForce systeem met data over/van alle
2 CRM system klanten Sales VI
Dashboard1 Rapportage script om dashboard 1 op te
3 source code stellen CFO VIB

4 Confluence Documentatie op confluence CTO VI

5 Gebruikersdata Gebruikersupload .
6 Web App Web applicaties .
7 Websites Publieke websites .
8 Laptops Laptops van medewerkers .
Servers (allemaal in cloud, meetste in
9 Servers AWS/Azure/IBM) .
10 Telefoons Mobiele telefoons .
11 HR HR bestanden .
12 Financiën Financiën en accounting .
13 Rekening Bankrekening bedrijf .
14 Documentatie Slack / wiki / confluence .
15 Logs Logbestanden (access log, error log) .
16 Hoofdkantoor Ruimte hoofdkantoor .
17 Cloud opslag Dropbox/Drive/Onedrive .
18 .
19 .
20 .
21 .
22 .
23 .
24 .
25 .
26 .
27 .
28 .
29 .
30 .
31 .
32 .
33 .
34 .
35 .
36 .
37 .
38 .
39 .
40 .
41 .
42 .
43 .
44 .
45 .
46 .
47 .
48 .
49 .
50 .

Categorie Beschrijving
Mensen Informatie toegankelijk voor één persoon of gelinkt aan een unieke rol
Apparatuur Informatie in of gegenereerd op/door specifieke apparaten
Omgeving Informatie gelinkt aan factoren buiten het bedrijf, bijv. stad of regio
Software Informatie opgeslagen door enkele IT systemen
Data Gestructureerde informatie, niet gelinkt aan enkele systemen
Organisatie Alle informatie over de organisatie, bijv. org structuur, processen, etc.
Derde partijen Informatie van- of gemanaged door specifieke leveranciers, klanten of partners
Overig Bijv. eigen data
. to-do

Bovenstaande classificatie is bedoeld als een guideline en niet bindend. Gebruik het daarom alleen ter in
Persoonsgegevens? Wie mag er toegang? Categorie

nee Alle developers Data

ja Sales managers Derde partijen

nee Developers Software

ja Eigen toegangbeheer Organisatie

 Waarden VIB Waarden p-gegev.
n unieke rol VIB ja
VI nee
of regio BI .
geen
en . to-do
essen, etc.
klanten of partners

uik het daarom alleen ter inspiratie

 Risico's en maatregelen 2022
Risico-inventaris. Dient door management onderhouden- en minimaal jaarlijks herzien te worden.
Versie:
Datum:
Eigenaar:

Beschikbaarheid,
integriteit en
Nr. Gebeurtenis vertrouwelijkheid (BIV)
1 Data per ongeluk verwijderd
2 Technische problemen of bugs
3 Hosting problemen
4 Laptop verloren
5 Laptop verloren
6 Slecht vertrek technisch medewerker
7 Systeembug in de code
8 Hack van buiten

9 Zwakheden in ons software design

10 DDoS aanval
11 Virus of malware op computers
12 Brand op kantoor
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
n minimaal jaarlijks herzien te worden.

Consequenties bedrijf Reeds genomen maatregelen VvT maatregelen

Verlies van content
Verlies van content
Downtime
Datalek
Verlies van content
Verlies van configuratiedata
?
Diefstal van data
Gebruikers plegen fraude met
onze software
Website onbereikbaar
Diefstal van data
Kantoor niet beschikbaar
 Categorie Score
Hoog 3
Middel 2
Laag 1
. 0
Geen 0

Kans (na reeds Impact (na reeds Risico score (na Besluit over actie in
genomen genomen reeds genomen 2022 (Accepteren,
maatregelen) maatregelen) maatregelen) verminderen)
Hoog Hoog 9 Verminderen
Hoog Middel 6 Verminderen
Hoog Laag 3 Accepteren
Middel Hoog 6 Verminderen
Laag Middel 2 Verminderen
Middel Laag 2 Accepteren
Laag Hoog 3 Accepteren
Laag Middel 2 Accepteren

Laag Laag 1 Accepteren

. . 0 Accepteren
. . 0 Accepteren
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
Toelichting
Meer dan 30% kans/jaar of meer dan 100k schade
Meer dan 10% kans/jaar, of meer dan 10k schade
Meer dan 0.1 en minder dan 10% kans/jaar, meer dan 0.5k en minder dan 10k schade

Minder dan 0.1% kans p/jaar of minder dan 500 euro schade

Behandelplan 2022 Deadline Verantwoordelijke Datum

(aanvullende acties in implementatie uitvoering Naam risico goedkeuring
2022) behandelplan behandelplan eigenaar risico eigenaar
Backup elk uur John Wick 1-Jan-22
Automatisch testen John Wick 2-Jan-22
- John Wick 3-Jan-22
Versleuteling John Cena 4-Jan-22
Versleuteling John Cena 5-Jan-22
- - 6-Jan-22
- - 7-Jan-22
- - 8-Jan-22

- - 9-Jan-22
- - 10-Jan-22
- - 11-Jan-22
 Impact na Risico score
Kans na behandel- na
behandelplan plan maatregelen
Hoog Laag 3
Middel Middel 4
Hoog Laag 3
Middel Laag 2
Laag Laag 1
Middel Laag 2
Laag Hoog 3
Laag Middel 2

Laag Laag 1
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
 Dit is een extra geheugensteun bij het invullen van het statement of applicability.
Kopieer en evaluaeer al deze risicos's als je voor ISO27001-certificatie gaat, en benoem bij elk risico
Voor Security verified is dit optioneel. Je mag deze risico's gebruiken in je register

Beschikbaarheid,
integriteit en Consequenties
Nr. Gebeurtenis vertrouwelijkheid (BIV) bedrijf

Managers nemen hun

verantwoordelijkheid voor
informatiebeveiliging niet en stuurt Afwijkingen en
1 niet op informatiebeveiliging. BIV incidenten

Fraude, hacking,
datalekken, data
verlies, data en
code verwijdeerd,
Uitbesteden van werk met te weinig service
2 aandacht voor beveiliging. V onbeschikbaar

Er wordt te weinig aandacht besteed

aan beveiliging bij
3 softwareontwikkeling. BIV bugs en vulnerabilit
4 Geblokkeerde toegang tot informatie. B informatie en servi

informatie en
services niet
beschikbaar, geld
Schade door toedoen van systemen die uitgegeven om
5 door andere partijen beheerd worden. B het te fixen

informatie en
services niet
beschikbaar, geld
Uitval van systemen door complicaties uitgegeven om
6 in hardware of network. B het te fixen
 informatie en
services niet
beschikbaar,
fraude,
Uitval van systemen door fouten in de datalekken, data
7 software of slechte configuratie. BI verlies

informatie en
services niet
beschikbaar,
fraude, hacking,
datalekken, data
Systemen die verkeerd gebruikt verlies, data
8 worden. BV verwijdeerd

informatie en
services niet
beschikbaar,
fraude, hacking,
datalekken, data
verlies, data
9 Verdwijnen van bedrijfsmiddelen. BV verwijdeerd
 Schade door toegang van derden in het Diefstal of schade,
10 pand of op het netwerk. V datalek

informatie en
services niet
beschikbaar,
fraude, hacking,
datalekken, data
Verlies van mobiele apparaten en verlies, data
11 opslagmedia. BV verwijdeerd

ongewenst
veranderingen,
toegang naar
12 Meer rechten hebben dan terecht is. IV sensitive data
 Fraude, hacking,
datalekken, data
Op een slechte manier wachtwoorden verlies, data en
13 gebruiken. IV code verwijdeerd

Fraude, hacking,
datalekken, data
Werkplekken die onbeheerd worden verlies, data en
14 achtergelaten. IV code verwijdeerd

datalekken,
verneitiging van
Onduidelijkheid over classificatie en genodigd
15 bevoegdheden. IV documenten

Informatie op systemen bij reparatie of

16 verwijdering. V datalekken
 Fraude, hacking,
Misbruik van kwetsbaarheden in datalekken, data
applicaties, netwerkbeveiliging of verlies, data en
17 hardware. IV code verwijdeerd

Onveilig versturen van gevoelige datalek, AVG

18 informatie. IV boete

Versturen van gevoelige informatie datalek, AVG

19 naar de verkeerde persoon. V boete

Verliezen van informatie door

20 verouderen van opslagmedium. B verlies van data
 Misbruik van cryptografische sleutels
21 en/of gebruik van zwakke algoritmen. IV data verlies, hacke

Buitenlandse wetgeving bij het

22 bezoeken van een land. V juridische actie

Terugkeren van
incidenten,
Te weinig informatie om incidenten op boetes van AP
23 te kunnen pakken. BIV over datalekken

onbeschikbaar
Verlies van informatie door service, verlies
24 brand,overstroming of wateroverlast. B van broncode

Uitval van (kantoor)voorzieningen Kantoor en

zoals gas, water, elektriciteit en informatie daarin
25 airconditioning. B niet gebruikbaar
 verlies van
Opzettelijk vernietigen of verwijderen klanten data of
26 van informatie. B broncode

Klik systeem
werkt niet, geen
togang naar data,
Software die niet meer ondersteund security
wordt door de ontwikkelaar of vulnerabilities
27 leverancier. B niet patched
en benoem bij elk risico dan ook de beheersmaatregelen als reeds genomen maatregelen

Beheersmaatregelen bijlage A van ISO27001 /

VvT

A.5.1.1
A.5.1.2
A.6.1.1
A.6.1.3
A.7.2.1
A.7.2.2
A.8.1.1
A.8.1.3
A.8.2.1
A.17.1.1
A.18.2.1
A.18.2.2

A.6.1.5
A.9.4.5
A.12.1.4
A.12.7.1
A.14.2.1
A.14.2.6
A.15.1.1
A.15.1.2
A.15.1.3
A.15.2.1
A.15.2.2
A.18.1.2

A.9.4.5
A.12.1.4
A.14.2.1
A.14.2.6
A.14.2.7
A.14.2.8
A.14.2.9
A.14.3.1
A.7.2.2
A.9.1.1
A.9.1.2
A.9.2.4
A.9.3.1
A.12.2.1
A.12.3.1
A.12.6.1
A.12.6.2
A.13.1.3
A.15.1.3
A.18.2.3

A.6.1.5
A.6.2.1
A.6.2.2
A.8.1.2
A.12.2.1
A.12.5.1
A.12.6.1
A.13.1.1
A.13.1.2
A.13.1.3
A.14.1.1
A.14.2.2
A.14.2.4
A.14.2.7
A.15.1.1
A.15.1.2
A.15.2.2

A.11.2.1
A.11.2.4
A.12.1.3
A.12.3.1
A.15.1.2
A.15.1.3
A.17.2.1
A.12.1.1
A.12.1.2
A.12.1.4
A.12.5.1
A.12.7.1
A.14.1.1
A.14.2.2
A.14.2.3
A.14.2.4
A.14.2.5
A.14.2.8
A.14.2.9
A.15.1.3

A.6.1.5
A.7.1.2
A.7.2.2
A.7.2.3
A.8.1.3
A.9.2.3
A.12.3.1
A.12.4.1
A.12.4.2
A.12.5.1
A.12.6.2
A.18.2.2

A.6.2.1
A.7.1.1
A.8.1.1
A.8.1.4
A.11.1.2
A.11.1.3
A.11.1.4
A.11.1.6
A.11.2.1
A.11.2.5
A.11.2.6
A.12.3.1
A.7.1.1
A.11.1.1
A.11.1.2
A.11.1.3
A.11.1.4
A.11.1.5
A.11.1.6
A.11.2.1
A.11.2.9
A.13.2.4
A.15.1.1
A.15.1.2

A.6.2.1
A.8.3.1
A.8.3.3
A.10.1.1
A.11.2.6
A.13.2.4

A.6.1.2
A7.1.1
A.7.2.3
A.7.3.1
A.8.1.2
A.8.1.3
A.8.1.4
A.9.1.1
A.9.1.2
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.5
A.9.2.6
A.9.4.1
A.9.4.4
A.9.4.5
A.12.1.4
A.12.4.3
A.13.2.4
A.15.1.1
A.15.1.2
A.7.2.2
A.9.2.4
A.9.3.1
A.9.4.2
A.9.4.3

A.7.2.2
A.11.2.6
A.11.2.8
A.11.2.9
A.13.1.2

A.8.1.2
A.8.1.3
A.8.2.1
A.8.2.2
A.8.2.3
A.9.1.1
A.9.1.2
A.13.2.1
A.14.1.2
A.14.3.1
A.18.1.3

A.8.1.2
A.8.3.1
A.8.3.2
A.8.3.3
A.11.2.5
A.11.2.7
A.6.1.4
A.9.4.2
A.11.2.3
A.12.2.1
A.12.4.2
A.12.6.1
A.13.1.3
A.14.1.1
A.14.2.2
A.14.2.3
A.14.2.4
A.14.2.5
A.14.2.8
A.14.2.9
A.15.1.3
A.15.2.1
A.18.2.3

A.7.2.3
A.8.2.1
A.8.2.2
A.8.3.1
A.8.3.3
A.10.1.1
A.13.2.1
A.13.2.2
A.13.2.3
A.13.2.4
A.14.1.2
A.14.1.3
A.15.1.3
A.18.1.4

A.8.3.3
A.10.1.1
A.13.2.1
A.13.2.3
A.13.2.4
A.14.1.2
A.18.1.4

A.8.3.1
A.12.3.1
A.12.6.2
A.18.1.3
A.10.1.1
A.10.1.2
A.18.1.5

A.6.2.1
A.6.2.2
A.7.2.2
A.18.1.1
A.18.1.5

A.7.2.3
A.8.1.1
A.12.4.1
A.12.4.2
A.12.4.3
A.12.4.4
A.16.1.1
A.16.1.2
A.16.1.3
A.16.1.4
A.16.1.5
A.16.1.6
A.16.1.7
A.17.1.1
A.17.1.2
A.18.2.2

A.11.1.1
A.11.1.2
A.11.1.3
A.11.1.4
A.11.2.1
A.11.2.2
A.11.2.9
A.12.3.1
A.17.1.1
A.17.1.2
A.17.1.3
A.17.2.1

A.11.2.2
A.11.2.3
A.17.2.1
A.11.1.4
A.11.2.1
A.11.2.2
A.11.2.3

A.6.1.5
A.12.1.1
A.14.1.1
A.14.2.7
A.15.2.2
Dit template is gemaakt door de mensen van ICT Institute.
Het template mag gratis worden gebruikt, onder een creative commons licentie
https://creativecommons.org/licenses/by/4.0/

De nieuwste versie staat op:

https://softwarezaken.nl/2022/01/gratis-27001-avg-templates/

Je mag het template uitbreiden, aanpassen en bewerken zoveel je wilt

Je mag het template en documenten gemaakt met het template doorgeven en delen zoveel je wilt

Als je het template doorgeeft, dan moet je "gemaakt door de mensen van ICT Institute" laten staan

Als je een document maakt met dit template en je bent geen opdrachtgever van ons, zet dat "gemaakt met tem
Als je een opdrachtgever bent van ICT Institute, dan mag je alles doen met dit template wat je wilt

Let op dat je de ISO 27001 norm moet kopen bij NEN of een andere organisatie voordat je de norm gaat gebruik

Lees vooral ook deze artikelen als je aan de slag gaat:

https://softwarezaken.nl/2017/03/samenvatting-iso-27001-informatie-beveiliging/
https://softwarezaken.nl/2021/12/iso-27001-certificatie-aanvraag/
https://softwarezaken.nl/2018/01/gdpr-avg-in-10-stappen/
https://softwarezaken.nl/security-verified/
https://ictinstitute.nl/risk-management-method/
n en delen zoveel je wilt

ICT Institute" laten staan

r van ons, zet dat "gemaakt met template van ICT Institute" ergens in het document
dit template wat je wilt

atie voordat je de norm gaat gebruiken. De norm is auteursrechtelijk beschermd

e-beveiliging/
Lijst met
bijlage A Aantal keer
controls van
(numerieke toepassing Standaard
volgorde) verklaard risico's
A.5.1.1 0 1
A.5.1.2 0 1
A.6.1.1 0 1
A.6.1.2 0 1
A.6.1.3 0 1
A.6.1.4 0 1
A.6.1.5 0 4
A.6.2.1 0 4
A.6.2.2 0 2
A.7.1.1 0 2
A.7.1.2 0 1
A.7.2.2 0 6
A.7.2.3 0 4
A.7.3.1 0 1
A.8.1.1 0 3
A.8.1.2 0 4
A.8.1.3 0 4
A.8.1.4 0 2
A.8.2.1 0 3
A.8.2.2 0 2
A.8.2.3 0 1
A.8.3.1 0 4
A.8.3.2 0 1
A.8.3.3 0 4
A.9.1.1 0 3
A.9.1.2 0 3
A.9.2.1 0 1
A.9.2.2 0 1
A.9.2.3 0 2
A.9.2.4 0 3
A.9.2.5 0 1
A.9.2.6 0 1
A.9.3.1 0 2
A.9.4.1 0 1
A.9.4.2 0 2
A.9.4.3 0 1
A.9.4.4 0 1
A.9.4.5 0 3
A.10.1.1 0 4
A.10.1.2 0 1
A.11.1.1 0 2
A.11.1.2 0 3
A.11.1.3 0 3
A.11.1.4 0 4
A.11.1.5 0 1
A.11.1.6 0 2
A.11.2.1 0 5
A.11.2.2 0 3
A.11.2.3 0 3
A.11.2.4 0 1
A.11.2.5 0 2
A.11.2.6 0 3
A.11.2.7 0 1
A.11.2.8 0 1
A.11.2.9 0 3
A.12.1.1 0 2
A.12.1.2 0 1
A.12.1.3 0 1
A.12.1.4 0 4
A.12.2.1 0 3
A.12.3.1 0 6
A.12.4.1 0 2
A.12.4.2 0 3
A.12.4.3 0 2
A.12.4.4 0 1
A.12.5.1 0 3
A.12.6.1 0 3
A.12.6.2 0 3
A.12.7.1 0 2
A.13.1.1 0 1
A.13.1.2 0 2
A.13.1.3 0 3
A.13.2.1 0 3
A.13.2.2 0 1
A.13.2.3 0 2
A.13.2.4 0 5
A.14.1.1 0 4
A.14.1.2 0 3
A.14.1.3 0 1
A.14.2.1 0 2
A.14.2.2 0 3
A.14.2.3 0 2
A.14.2.5 0 2
A.14.2.6 0 2
A.14.2.7 0 3
A.14.2.8 0 3
A.14.2.9 0 3
A.14.3.1 0 2
A.15.1.1 0 4
A.15.1.2 0 5
A.15.1.3 0 6
A.15.2.1 0 2
A.15.2.2 0 3
A.16.1.1 0 1
A.16.1.2 0 1
A.16.1.3 0 1
A.16.1.4 0 1
A.16.1.5 0 1
A.16.1.6 0 1
A.16.1.7 0 1
A.17.1.1 0 3
A.17.1.2 0 2
A.17.1.3 0 1
A.17.2.1 0 3
A.18.1.1 0 1
A.18.1.2 0 1
A.18.1.3 0 2
A.18.1.4 0 2
A.18.1.5 0 2
A.18.2.1 0 1
A.18.2.2 0 3
A.18.2.3 0 2
Organisatie
Deze tabel documenteert welke rollen mensen binnen de organisatie hebben. Deze tabel is niet ve
Het is handig om de toegang to assets en verdeling van maatregelen toe te wijzen

Rol Geschat aantal mederwerkers Namen/voorbeelden

Management john, ….
Sysadmins john, ….
Developers john, ….
Marketing en sales john, ….
CFO john, ….
CTO john, ….
CIO john, ….
Alle medewerkers john, ….
bben. Deze tabel is niet verplicht maar helpt bij gebruik van dit document

Hebben toegang tot

Procesbeschrijving risicomanagementproces
Na het doorlopen van deze eerste cyclus, is een jaarlijkse risicocyclus gestart. Dit proces loopt als volgt:

1.     Jaarlijks in kwartaal [X] worden afspraken met alle risico-eigenaren uit het risicoregister ingepland voor af
2.     Het risicoregister bestaat uit verschillende Excel-bladen. Bij de start van een nieuwe jaarcyclus (bijv. 2024
3.   Er worden nieuwe risico's toegevoegd, bijvoorbeeld op basis van nieuwe interne of externe issues, of uit b
4.     Er wordt bijgewerkt welke beheersmaatregelen uit Bijlage A van toepassing zijn op dit risico.
5.     Daarna weegt de risico-eigenaar de kans en impact van een dreiging, op basis van de huidige status.
6.     Als de bijgewerkte risicoscore boven de drempelwaarde voor acceptatie uitkomt, wordt een nieuw behan
7.     Als de bijgewerkte risicoscore onder de drempelwaarde voor acceptatie uitkomt, kan de risico-eigenaar k
8.     Indien de risico-eigenaar het restrisico niet wenst te accepteren, worden aanvullende plannen opgenome
9.     Het security team en risico-eigenaar spreken een datum af wanneer deze verbeteringen worden afgerond
11.  Risico-eigenaren zijn zelf verantwoordelijk voor de behandeling van risico’s, tenzij een andere verantwoo
12.  Het security team monitort de voortgang op de behandelplannen door bespreking in het security overleg
13.  Beoordelingen van verschillende jaren worden in aparte tabbladen opgeslagen. Op basis van dit overzicht
De risico eigenaar is verantwoordelijk voor het accorderen van het behandelplan. Dit behandelplan (of een verwijzin

Drempelwaarde acceptatie: 5.5

3 3 6 9
Kans 2 2 4 6
1 1 2 3
1 2 3
Impact
Voor alle risico's met kans hoger dan de drempelwaarde moet er een aanvullend behandelplan komen
roces loopt als volgt:

et risicoregister ingepland voor afstemmen en goedkeuren van risicobehandelingen.

een nieuwe jaarcyclus (bijv. 2024), kopieert het security team het Excel-blad van het voorgaande jaar (bijv. 2020).
interne of externe issues, of uit belanghebbendenanalyse
ing zijn op dit risico.
basis van de huidige status.
uitkomt, wordt een nieuw behandelplan vastgesteld.
uitkomt, kan de risico-eigenaar kiezen om (1) het restrisico te accepteren of (2) een nieuw behandelplan op te stellen om het r
n aanvullende plannen opgenomen in de kolom ‘Verbeterplan’ of er staat een verwijzing naar een document waar dit plan verd
e verbeteringen worden afgerond.
o’s, tenzij een andere verantwoordelijke voor een behandelplan is aangewezen in het risicoregister.
bespreking in het security overleg. Indien nodig rapporteert het security team over beperkte voortgang van risicobehandeling a
slagen. Op basis van dit overzicht kan het verloop van risico’s in de gaten worden gehouden.
Dit behandelplan (of een verwijzing ernaar) wordt opgenomen in het risicoregister.

ehandelplan komen
nde jaar (bijv. 2020).

handelplan op te stellen om het risico nog verder te verminderen.

een document waar dit plan verder uitgewerkt wordt.

oortgang van risicobehandeling aan de directie.