Professional Documents
Culture Documents
Gratis Template ISO 27001 Risicoregister Assetregister
Gratis Template ISO 27001 Risicoregister Assetregister
Categorie Beschrijving
Mensen Informatie toegankelijk voor één persoon of gelinkt aan een unieke rol
Apparatuur Informatie in of gegenereerd op/door specifieke apparaten
Omgeving Informatie gelinkt aan factoren buiten het bedrijf, bijv. stad of regio
Software Informatie opgeslagen door enkele IT systemen
Data Gestructureerde informatie, niet gelinkt aan enkele systemen
Organisatie Alle informatie over de organisatie, bijv. org structuur, processen, etc.
Derde partijen Informatie van- of gemanaged door specifieke leveranciers, klanten of partners
Overig Bijv. eigen data
. to-do
Bovenstaande classificatie is bedoeld als een guideline en niet bindend. Gebruik het daarom alleen ter in
Persoonsgegevens? Wie mag er toegang? Categorie
Beschikbaarheid,
integriteit en
Nr. Gebeurtenis vertrouwelijkheid (BIV)
1 Data per ongeluk verwijderd
2 Technische problemen of bugs
3 Hosting problemen
4 Laptop verloren
5 Laptop verloren
6 Slecht vertrek technisch medewerker
7 Systeembug in de code
8 Hack van buiten
Kans (na reeds Impact (na reeds Risico score (na Besluit over actie in
genomen genomen reeds genomen 2022 (Accepteren,
maatregelen) maatregelen) maatregelen) verminderen)
Hoog Hoog 9 Verminderen
Hoog Middel 6 Verminderen
Hoog Laag 3 Accepteren
Middel Hoog 6 Verminderen
Laag Middel 2 Verminderen
Middel Laag 2 Accepteren
Laag Hoog 3 Accepteren
Laag Middel 2 Accepteren
Minder dan 0.1% kans p/jaar of minder dan 500 euro schade
- - 9-Jan-22
- - 10-Jan-22
- - 11-Jan-22
Impact na Risico score
Kans na behandel- na
behandelplan plan maatregelen
Hoog Laag 3
Middel Middel 4
Hoog Laag 3
Middel Laag 2
Laag Laag 1
Middel Laag 2
Laag Hoog 3
Laag Middel 2
Laag Laag 1
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
. . 0
Dit is een extra geheugensteun bij het invullen van het statement of applicability.
Kopieer en evaluaeer al deze risicos's als je voor ISO27001-certificatie gaat, en benoem bij elk risico
Voor Security verified is dit optioneel. Je mag deze risico's gebruiken in je register
Beschikbaarheid,
integriteit en Consequenties
Nr. Gebeurtenis vertrouwelijkheid (BIV) bedrijf
Fraude, hacking,
datalekken, data
verlies, data en
code verwijdeerd,
Uitbesteden van werk met te weinig service
2 aandacht voor beveiliging. V onbeschikbaar
informatie en
services niet
beschikbaar, geld
Schade door toedoen van systemen die uitgegeven om
5 door andere partijen beheerd worden. B het te fixen
informatie en
services niet
beschikbaar, geld
Uitval van systemen door complicaties uitgegeven om
6 in hardware of network. B het te fixen
informatie en
services niet
beschikbaar,
fraude,
Uitval van systemen door fouten in de datalekken, data
7 software of slechte configuratie. BI verlies
informatie en
services niet
beschikbaar,
fraude, hacking,
datalekken, data
Systemen die verkeerd gebruikt verlies, data
8 worden. BV verwijdeerd
informatie en
services niet
beschikbaar,
fraude, hacking,
datalekken, data
verlies, data
9 Verdwijnen van bedrijfsmiddelen. BV verwijdeerd
Schade door toegang van derden in het Diefstal of schade,
10 pand of op het netwerk. V datalek
informatie en
services niet
beschikbaar,
fraude, hacking,
datalekken, data
Verlies van mobiele apparaten en verlies, data
11 opslagmedia. BV verwijdeerd
ongewenst
veranderingen,
toegang naar
12 Meer rechten hebben dan terecht is. IV sensitive data
Fraude, hacking,
datalekken, data
Op een slechte manier wachtwoorden verlies, data en
13 gebruiken. IV code verwijdeerd
Fraude, hacking,
datalekken, data
Werkplekken die onbeheerd worden verlies, data en
14 achtergelaten. IV code verwijdeerd
datalekken,
verneitiging van
Onduidelijkheid over classificatie en genodigd
15 bevoegdheden. IV documenten
Terugkeren van
incidenten,
Te weinig informatie om incidenten op boetes van AP
23 te kunnen pakken. BIV over datalekken
onbeschikbaar
Verlies van informatie door service, verlies
24 brand,overstroming of wateroverlast. B van broncode
Klik systeem
werkt niet, geen
togang naar data,
Software die niet meer ondersteund security
wordt door de ontwikkelaar of vulnerabilities
27 leverancier. B niet patched
en benoem bij elk risico dan ook de beheersmaatregelen als reeds genomen maatregelen
A.5.1.1
A.5.1.2
A.6.1.1
A.6.1.3
A.7.2.1
A.7.2.2
A.8.1.1
A.8.1.3
A.8.2.1
A.17.1.1
A.18.2.1
A.18.2.2
A.6.1.5
A.9.4.5
A.12.1.4
A.12.7.1
A.14.2.1
A.14.2.6
A.15.1.1
A.15.1.2
A.15.1.3
A.15.2.1
A.15.2.2
A.18.1.2
A.9.4.5
A.12.1.4
A.14.2.1
A.14.2.6
A.14.2.7
A.14.2.8
A.14.2.9
A.14.3.1
A.7.2.2
A.9.1.1
A.9.1.2
A.9.2.4
A.9.3.1
A.12.2.1
A.12.3.1
A.12.6.1
A.12.6.2
A.13.1.3
A.15.1.3
A.18.2.3
A.6.1.5
A.6.2.1
A.6.2.2
A.8.1.2
A.12.2.1
A.12.5.1
A.12.6.1
A.13.1.1
A.13.1.2
A.13.1.3
A.14.1.1
A.14.2.2
A.14.2.4
A.14.2.7
A.15.1.1
A.15.1.2
A.15.2.2
A.11.2.1
A.11.2.4
A.12.1.3
A.12.3.1
A.15.1.2
A.15.1.3
A.17.2.1
A.12.1.1
A.12.1.2
A.12.1.4
A.12.5.1
A.12.7.1
A.14.1.1
A.14.2.2
A.14.2.3
A.14.2.4
A.14.2.5
A.14.2.8
A.14.2.9
A.15.1.3
A.6.1.5
A.7.1.2
A.7.2.2
A.7.2.3
A.8.1.3
A.9.2.3
A.12.3.1
A.12.4.1
A.12.4.2
A.12.5.1
A.12.6.2
A.18.2.2
A.6.2.1
A.7.1.1
A.8.1.1
A.8.1.4
A.11.1.2
A.11.1.3
A.11.1.4
A.11.1.6
A.11.2.1
A.11.2.5
A.11.2.6
A.12.3.1
A.7.1.1
A.11.1.1
A.11.1.2
A.11.1.3
A.11.1.4
A.11.1.5
A.11.1.6
A.11.2.1
A.11.2.9
A.13.2.4
A.15.1.1
A.15.1.2
A.6.2.1
A.8.3.1
A.8.3.3
A.10.1.1
A.11.2.6
A.13.2.4
A.6.1.2
A7.1.1
A.7.2.3
A.7.3.1
A.8.1.2
A.8.1.3
A.8.1.4
A.9.1.1
A.9.1.2
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.5
A.9.2.6
A.9.4.1
A.9.4.4
A.9.4.5
A.12.1.4
A.12.4.3
A.13.2.4
A.15.1.1
A.15.1.2
A.7.2.2
A.9.2.4
A.9.3.1
A.9.4.2
A.9.4.3
A.7.2.2
A.11.2.6
A.11.2.8
A.11.2.9
A.13.1.2
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2.2
A.8.2.3
A.9.1.1
A.9.1.2
A.13.2.1
A.14.1.2
A.14.3.1
A.18.1.3
A.8.1.2
A.8.3.1
A.8.3.2
A.8.3.3
A.11.2.5
A.11.2.7
A.6.1.4
A.9.4.2
A.11.2.3
A.12.2.1
A.12.4.2
A.12.6.1
A.13.1.3
A.14.1.1
A.14.2.2
A.14.2.3
A.14.2.4
A.14.2.5
A.14.2.8
A.14.2.9
A.15.1.3
A.15.2.1
A.18.2.3
A.7.2.3
A.8.2.1
A.8.2.2
A.8.3.1
A.8.3.3
A.10.1.1
A.13.2.1
A.13.2.2
A.13.2.3
A.13.2.4
A.14.1.2
A.14.1.3
A.15.1.3
A.18.1.4
A.8.3.3
A.10.1.1
A.13.2.1
A.13.2.3
A.13.2.4
A.14.1.2
A.18.1.4
A.8.3.1
A.12.3.1
A.12.6.2
A.18.1.3
A.10.1.1
A.10.1.2
A.18.1.5
A.6.2.1
A.6.2.2
A.7.2.2
A.18.1.1
A.18.1.5
A.7.2.3
A.8.1.1
A.12.4.1
A.12.4.2
A.12.4.3
A.12.4.4
A.16.1.1
A.16.1.2
A.16.1.3
A.16.1.4
A.16.1.5
A.16.1.6
A.16.1.7
A.17.1.1
A.17.1.2
A.18.2.2
A.11.1.1
A.11.1.2
A.11.1.3
A.11.1.4
A.11.2.1
A.11.2.2
A.11.2.9
A.12.3.1
A.17.1.1
A.17.1.2
A.17.1.3
A.17.2.1
A.11.2.2
A.11.2.3
A.17.2.1
A.11.1.4
A.11.2.1
A.11.2.2
A.11.2.3
A.6.1.5
A.12.1.1
A.14.1.1
A.14.2.7
A.15.2.2
Dit template is gemaakt door de mensen van ICT Institute.
Het template mag gratis worden gebruikt, onder een creative commons licentie
https://creativecommons.org/licenses/by/4.0/
Als je het template doorgeeft, dan moet je "gemaakt door de mensen van ICT Institute" laten staan
Als je een document maakt met dit template en je bent geen opdrachtgever van ons, zet dat "gemaakt met tem
Als je een opdrachtgever bent van ICT Institute, dan mag je alles doen met dit template wat je wilt
Let op dat je de ISO 27001 norm moet kopen bij NEN of een andere organisatie voordat je de norm gaat gebruik
r van ons, zet dat "gemaakt met template van ICT Institute" ergens in het document
dit template wat je wilt
e-beveiliging/
Lijst met
bijlage A Aantal keer
controls van
(numerieke toepassing Standaard
volgorde) verklaard risico's
A.5.1.1 0 1
A.5.1.2 0 1
A.6.1.1 0 1
A.6.1.2 0 1
A.6.1.3 0 1
A.6.1.4 0 1
A.6.1.5 0 4
A.6.2.1 0 4
A.6.2.2 0 2
A.7.1.1 0 2
A.7.1.2 0 1
A.7.2.2 0 6
A.7.2.3 0 4
A.7.3.1 0 1
A.8.1.1 0 3
A.8.1.2 0 4
A.8.1.3 0 4
A.8.1.4 0 2
A.8.2.1 0 3
A.8.2.2 0 2
A.8.2.3 0 1
A.8.3.1 0 4
A.8.3.2 0 1
A.8.3.3 0 4
A.9.1.1 0 3
A.9.1.2 0 3
A.9.2.1 0 1
A.9.2.2 0 1
A.9.2.3 0 2
A.9.2.4 0 3
A.9.2.5 0 1
A.9.2.6 0 1
A.9.3.1 0 2
A.9.4.1 0 1
A.9.4.2 0 2
A.9.4.3 0 1
A.9.4.4 0 1
A.9.4.5 0 3
A.10.1.1 0 4
A.10.1.2 0 1
A.11.1.1 0 2
A.11.1.2 0 3
A.11.1.3 0 3
A.11.1.4 0 4
A.11.1.5 0 1
A.11.1.6 0 2
A.11.2.1 0 5
A.11.2.2 0 3
A.11.2.3 0 3
A.11.2.4 0 1
A.11.2.5 0 2
A.11.2.6 0 3
A.11.2.7 0 1
A.11.2.8 0 1
A.11.2.9 0 3
A.12.1.1 0 2
A.12.1.2 0 1
A.12.1.3 0 1
A.12.1.4 0 4
A.12.2.1 0 3
A.12.3.1 0 6
A.12.4.1 0 2
A.12.4.2 0 3
A.12.4.3 0 2
A.12.4.4 0 1
A.12.5.1 0 3
A.12.6.1 0 3
A.12.6.2 0 3
A.12.7.1 0 2
A.13.1.1 0 1
A.13.1.2 0 2
A.13.1.3 0 3
A.13.2.1 0 3
A.13.2.2 0 1
A.13.2.3 0 2
A.13.2.4 0 5
A.14.1.1 0 4
A.14.1.2 0 3
A.14.1.3 0 1
A.14.2.1 0 2
A.14.2.2 0 3
A.14.2.3 0 2
A.14.2.5 0 2
A.14.2.6 0 2
A.14.2.7 0 3
A.14.2.8 0 3
A.14.2.9 0 3
A.14.3.1 0 2
A.15.1.1 0 4
A.15.1.2 0 5
A.15.1.3 0 6
A.15.2.1 0 2
A.15.2.2 0 3
A.16.1.1 0 1
A.16.1.2 0 1
A.16.1.3 0 1
A.16.1.4 0 1
A.16.1.5 0 1
A.16.1.6 0 1
A.16.1.7 0 1
A.17.1.1 0 3
A.17.1.2 0 2
A.17.1.3 0 1
A.17.2.1 0 3
A.18.1.1 0 1
A.18.1.2 0 1
A.18.1.3 0 2
A.18.1.4 0 2
A.18.1.5 0 2
A.18.2.1 0 1
A.18.2.2 0 3
A.18.2.3 0 2
Organisatie
Deze tabel documenteert welke rollen mensen binnen de organisatie hebben. Deze tabel is niet ve
Het is handig om de toegang to assets en verdeling van maatregelen toe te wijzen
1. Jaarlijks in kwartaal [X] worden afspraken met alle risico-eigenaren uit het risicoregister ingepland voor af
2. Het risicoregister bestaat uit verschillende Excel-bladen. Bij de start van een nieuwe jaarcyclus (bijv. 2024
3. Er worden nieuwe risico's toegevoegd, bijvoorbeeld op basis van nieuwe interne of externe issues, of uit b
4. Er wordt bijgewerkt welke beheersmaatregelen uit Bijlage A van toepassing zijn op dit risico.
5. Daarna weegt de risico-eigenaar de kans en impact van een dreiging, op basis van de huidige status.
6. Als de bijgewerkte risicoscore boven de drempelwaarde voor acceptatie uitkomt, wordt een nieuw behan
7. Als de bijgewerkte risicoscore onder de drempelwaarde voor acceptatie uitkomt, kan de risico-eigenaar k
8. Indien de risico-eigenaar het restrisico niet wenst te accepteren, worden aanvullende plannen opgenome
9. Het security team en risico-eigenaar spreken een datum af wanneer deze verbeteringen worden afgerond
11. Risico-eigenaren zijn zelf verantwoordelijk voor de behandeling van risico’s, tenzij een andere verantwoo
12. Het security team monitort de voortgang op de behandelplannen door bespreking in het security overleg
13. Beoordelingen van verschillende jaren worden in aparte tabbladen opgeslagen. Op basis van dit overzicht
De risico eigenaar is verantwoordelijk voor het accorderen van het behandelplan. Dit behandelplan (of een verwijzin
3 3 6 9
Kans 2 2 4 6
1 1 2 3
1 2 3
Impact
Voor alle risico's met kans hoger dan de drempelwaarde moet er een aanvullend behandelplan komen
roces loopt als volgt:
ehandelplan komen
nde jaar (bijv. 2020).