Wat is ISO/IEC 27005?
ISO/IEC 27005 is een internationale norm die richtlijnen biedt voor het uitvoeren van informatiebeveiligingsrisicobeheer. De norm ondersteunt de implementatie van een Information Security Management System (ISMS) volgens ISO 27001, door een gestructureerde aanpak te bieden voor het identificeren, analyseren, evalueren en behandelen van risico’s.
ISO 27005 is toepasbaar in zowel IT- als OT-omgevingen, mits aangepast aan industriële risico’s en processen.
🧠 Wat beschrijft ISO 27005?
De norm biedt een methodologische aanpak voor risicobeheer, zonder vast te leggen hoe je risico’s moet berekenen. Je mag dus kiezen voor kwalitatieve of kwantitatieve methodes (bijv. scoremodellen, heatmaps, of OCTAVE, FAIR).
Belangrijkste onderdelen:
- Context bepalen
- Risico-identificatie
- Bepalen van bedreigingen, kwetsbaarheden, bedreigde assets, en potentiële impact
- Risicoanalyse
- Kans × Impact → risico-inschatting (kwalitatief, semi-kwantitatief of kwantitatief)
- Risico-evaluatie
- Vergelijken van risico’s met risicocriteria → prioriteiten stellen
- Risicobehandeling
- Mitigerende Maatregelen, acceptatie, overdracht (verzekering) of vermijden
- Risicocommunicatie en -monitoring
- Stakeholdercommunicatie, continue verbetering, PDCA-cyclus
🔄 Relatie met ISO 27001
| ISO 27001 | ISO 27005 |
|---|---|
| Bepaalt dat risicobeheer vereist is | Beschrijft hoe je risicobeheer uitvoert |
| Richt zich op ISMS-structuur | Richt zich op de inhoudelijke analyse |
| Vereist risicobeoordeling als input voor controls | Biedt methoden om risico’s te identificeren en behandelen |
ISO 27005 helpt bij het invullen van Annex A controls van ISO 27001, zoals Access Control, Logging, Backup, enz.
🏭 ISO 27005 in OT-context
| Toepassing | Voorbeeld in OT |
|---|---|
| Asset inventarisatie | PLC, HMI, Historian, Engineering Station |
| Risico: Verouderde firmware | Dreiging: Exploiteerbare kwetsbaarheid |
| Impact: Stilstand of procesverstoring | Kans: Gemiddeld zonder patchbeleid |
| Maatregel: Patchmanagement, Firewall-regels, Netwerkmonitoring |
Combineer met IEC 62443-3-2 voor zone-/SL-gebaseerde benadering in OT-netwerken.
✅ Voordelen van ISO 27005
- Gestructureerde aanpak voor risicobeoordeling
- Flexibel in methodekeuze
- Ondersteunt Defense in Depth en Security by Design
- Compatibel met NIST CSF, IEC 62443, COBIT, NIS2
📌 Samengevat
ISO/IEC 27005 biedt richtlijnen voor het uitvoeren van informatiebeveiligingsrisicobeheer als onderdeel van een ISMS. Het is toepasbaar in zowel IT- als OT-omgevingen en helpt bij het onderbouwen van cybersecuritymaatregelen.