📚 ISO Kennisbank / ISO 27001 Clausule 6: Planning en Risicobeoordeling

ISO 27001 Clausule 6: Planning en Risicobeoordeling

🔒 ISO 27001 ⏱ 8 min lezen 📅 3 juni 2026

Clausule 6 van ISO 27001 verplicht organisaties een systematische risicobeoordeling uit te voeren, een risicobehandelingsplan op te stellen en meetbare informatiebeveiligingsdoelstellingen te definiëren als basis voor alle beveiligingsmaatregelen.

Wat zegt clausule 6?

Clausule 6 van ISO 27001:2022 is de motorvan het ISMS: hier wordt bepaald welke risico’s de organisatie loopt, hoe die risico’s worden behandeld en welke doelstellingen worden nagestreefd. Zonder een solide risicobeoordeling zijn alle beveiligingsmaatregelen gebaseerd op onderbuikgevoel in plaats van onderbouwde analyse. Clausule 6 bestaat uit drie hoofdonderdelen.

6.1 — Maatregelen om risico’s en kansen aan te pakken

Sub-clausule 6.1 verplicht de organisatie om bij het plannen van het ISMS rekening te houden met de context (clausule 4) en de eisen van belanghebbenden. Op basis daarvan moeten risico’s en kansen worden bepaald die relevant zijn voor de informatiebeveiliging. De organisatie moet maatregelen plannen om deze risico’s en kansen aan te pakken, de maatregelen in de ISMS-processen integreren en de effectiviteit ervan evalueren.

6.1.2 — Informatiebeveiligingsrisicobeoordeling

Sub-clausule 6.1.2 schrijft voor dat de organisatie een risicobeoordeling uitvoert en daarvoor criteria vaststelt: risicocriteria (wat is acceptabel?) en criteria voor het uitvoeren van de risicobeoordeling (hoe consistent en reproduceerbaar is de methode?). De beoordeling identificeert risico’s, analyseert de kans en het effect van elk risico, en bepaalt het risiconiveau. Vervolgens worden de risico’s geprioriteerd op basis van de analyseresultaten. De uitkomsten worden als gedocumenteerde informatie bewaard.

6.1.3 — Informatiebeveiligingsrisicobehandeling

Sub-clausule 6.1.3 verplicht de organisatie passende risicobehandelingsopties te selecteren. De vier klassieke opties zijn: risico verminderen (mitigeren via maatregelen), risico vermijden (activiteit stoppen), risico overdragen (verzekering of uitbesteding), of risico accepteren (bewust dragen). Voor de geselecteerde behandelingsopties worden beheersmaatregelen bepaald — waarbij de bijlage A van ISO 27001 als referentie dient. Het resultaat is een Statement of Applicability (SoA) en een risicobehandelingsplan. Risicohouders moeten het restrisico goedkeuren.

6.2 — Informatiebeveiligingsdoelstellingen en planning om deze te bereiken

Sub-clausule 6.2 verplicht de organisatie meetbare informatiebeveiligingsdoelstellingen te stellen die consistent zijn met het beleid, meetbaar zijn, rekening houden met eisen en risico’s, worden gecommuniceerd en bijgewerkt. Per doelstelling moet zijn vastgelegd: wat er wordt gedaan, welke middelen nodig zijn, wie verantwoordelijk is, wanneer het klaar moet zijn en hoe de voortgang wordt gemeten.

6.3 — Planning van wijzigingen

Sub-clausule 6.3 (nieuw in de 2022-versie) verplicht organisaties om wijzigingen in het ISMS op een beheerste manier door te voeren. Dit betekent dat wijzigingen worden gepland, de gevolgen worden beoordeeld en de integriteit van het ISMS wordt geborgd. In de praktijk betekent dit een change management procedure voor het ISMS zelf.

Hoe voer je een risicobeoordeling uit?

Een risicobeoordeling is geen eenmalige exercitie — het is een herhaald proces. Hieronder een stap-voor-stap methodiek die voldoet aan de eisen van ISO 27001.

Stap 1 — Definieer de risicobeoordeling methodiek

Kies een methode die consistent en reproduceerbaar is. ISO 27001 schrijft geen specifieke methode voor. De meest gebruikte aanpak is een kwalitatieve of semi-kwantitatieve matrix waarbij kans en impact worden gescoord op een schaal van 1 tot 5 (of 1 tot 3). Definieer vooraf wat elk getal betekent: wat is een “hoge kans”? Wat is een “groot impact”? Leg dit vast in een risicobeoordeling procedure.

Stap 2 — Stel risico-acceptatiecriteria vast

Bepaal welk risiconiveau acceptabel is voor de organisatie. Bijvoorbeeld: risico’s met een score lager dan 6 (op een schaal van 25) worden geaccepteerd; risico’s met een score van 6 of hoger vereisen behandeling. Dit is een managementbeslissing, niet een IT-beslissing. Leg de criteria vast en laat ze goedkeuren door de directie.

Stap 3 — Identificeer informatiemiddelen en risico’s

Breng de informatiemiddelen (assets) in kaart die binnen de scope vallen: databases, applicaties, netwerken, fysieke locaties, medewerkers. Identificeer per asset of categorie welke dreigingen en kwetsbaarheden relevant zijn. Denk aan: ransomware op de fileserver, ongeautoriseerde toegang tot klantdata, menselijke fouten bij gegevensverwerking, uitval van kritieke systemen, diefstal van laptops. ISO 27001 vereist minimaal dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden meegewogen.

Stap 4 — Analyseer kans en impact

Voor elk geïdentificeerd risico scoor je de kans dat het risico optreedt (rekening houdend met bestaande maatregelen) en de impact als het optreedt (voor de organisatie in termen van financiële schade, reputatieschade, operationele verstoring en wettelijke consequenties). Vermenigvuldig kans x impact om het risiconiveau te bepalen.

Stap 5 — Prioriteer risico’s

Zet alle risico’s op volgorde van risiconiveau. Risico’s met het hoogste niveau krijgen als eerste aandacht. Gebruik een risicoregister om alle risico’s bij te houden — dit is de levende hartslag van je ISMS.

Stap 6 — Documenteer en laat goedkeuren

Leg de risicobeoordeling vast als gedocumenteerde informatie inclusief de gebruikte methode, alle geïdentificeerde risico’s met scores, en de prioritering. Laat het risicoregister goedkeuren door het management.

Risicobehandelingsplan opstellen

Het risicobehandelingsplan (RTP) is de directe opvolger van de risicobeoordeling. Voor elk risico dat boven de acceptatiegrens scoort, beschrijft het RTP:

  • Welke behandelingsoptie is gekozen: mitigeren, vermijden, overdragen of accepteren.
  • Welke specifieke maatregelen worden getroffen (referentie naar bijlage A van ISO 27001 of andere maatregelen).
  • Wie verantwoordelijk is voor de implementatie van de maatregel.
  • Wanneer de maatregel klaar is: een concrete deadline.
  • Wat het verwachte restrisico is na implementatie van de maatregel.
  • Wie het restrisico accepteert: de risicohouder, doorgaans een manager of directielid.

Het RTP is een levend document dat regelmatig wordt bijgewerkt naarmate maatregelen worden geïmplementeerd en nieuwe risico’s worden geïdentificeerd.

Informatiebeveiligingsdoelstellingen SMART maken

Een doelstelling als “we willen de informatiebeveiliging verbeteren” is geen doelstelling — het is een intentie. ISO 27001 vereist meetbare doelstellingen. Gebruik het SMART-principe:

  • Specifiek: “Het percentage medewerkers dat de jaarlijkse cybersecurity-bewustzijnstraining heeft voltooid.”
  • Meetbaar: “Minimaal 95% van alle medewerkers voltooit de training.”
  • Acceptabel: realistisch gegeven beschikbare middelen en tijdspad.
  • Relevant: gekoppeld aan een geïdentificeerd risico of beleiddoelstelling.
  • Tijdgebonden: “Voor 31 december van elk kalenderjaar.”

Concrete voorbeelden van SMART informatiebeveiligingsdoelstellingen:

  • Uiterlijk 1 juni 2025 is op alle werkstations multi-factor authenticatie geactiveerd (100% dekking).
  • Het gemiddelde aantal dagen om een kritiek beveiligingsincident te detecteren daalt van 14 naar maximaal 3 dagen vóór einde Q3 2025.
  • Minimaal 90% van de leveranciers in de toeleveringsketen heeft vóór 31 december 2025 een ingevulde beveiligingsvragenlijst aangeleverd.
  • Jaarlijks wordt minimaal één penetratietest uitgevoerd op de productieomgeving, met rapportage aan de directie binnen 30 dagen na afronding.

Statement of Applicability kort uitgelegd

Het Statement of Applicability (SoA) is een verplicht document dat voortvloeit uit clausule 6.1.3. Het SoA bevat alle 93 beheersmaatregelen uit bijlage A van ISO 27001:2022 en per maatregel:

  • Of de maatregel van toepassing is (ja of nee).
  • De reden voor opname of uitsluiting.
  • De implementatiestatus van de maatregel.

Het SoA is het centrale verantwoordingsdocument van het ISMS — auditors besteden hier significant aandacht aan. Uitsluitingen moeten altijd worden onderbouwd. Een aparte, uitgebreide uitleg van het SoA is beschikbaar op onze pagina over het Statement of Applicability.

Veelgemaakte fouten bij clausule 6

  • Risico’s te abstract formuleren. “Hackers kunnen inbreken” is geen bruikbaar risico. Een goed geformuleerd risico beschrijft de dreiging, de kwetsbaarheid en de mogelijke impact specifiek: “Ongeautoriseerde toegang tot het CRM-systeem via zwakke wachtwoorden, met als gevolg blootstelling van persoonsgegevens van 15.000 klanten en een potentiële AVG-boete van €500.000.”
  • Risicobeoordeling uitvoeren zonder vastgestelde methode. Als de scoringsmethode niet is gedocumenteerd, kan een andere persoon of een volgend jaar tot andere resultaten komen. De norm vereist een consistente en reproduceerbare methode.
  • Risicobehandelingsplan niet koppelen aan bijlage A. De maatregelen in het RTP moeten worden vergeleken met de 93 beheersmaatregelen uit bijlage A. Dit is de basis van het SoA. Organisaties die dit niet doen, missen maatregelen of kunnen het SoA niet correct invullen.
  • Doelstellingen niet meetbaar maken. Doelstellingen als “we willen minder incidenten” zijn onbruikbaar. Zonder meetbare doelstellingen kun je niet aantonen of het ISMS verbetert (clausule 10).
  • Risicobeoordeling nooit updaten. Een risicobeoordeling uit 2021 die nooit is herzien is voor een auditor een rode vlag. Risico’s veranderen — nieuwe technologieën, nieuwe dreigingen (zoals AI-gedreven phishing), nieuwe wetgeving. Minimaal jaarlijks herbeoordelen is een harde eis.
  • Restrisico niet formeel accepteren. De risicohouder moet het restrisico formeel accepteren. Dit moet gedocumenteerd zijn. Impliciet accepteren (“we doen niets, dus accepteren we het blijkbaar”) volstaat niet.

Veelgestelde vragen over clausule 6

Hoe doe je een risicobeoordeling voor ISO 27001?

Een ISO 27001-conforme risicobeoordeling volgt vier stappen: 1) stel criteria vast voor kans, impact en acceptatie; 2) identificeer alle relevante informatiemiddelen en de bijbehorende dreigingen en kwetsbaarheden; 3) analyseer elk risico door kans en impact te scoren en het risiconiveau te berekenen; 4) prioriteer de risico’s op basis van hun score. Leg alles vast in een risicoregister. De methode moet consistent zijn — dezelfde aanpak bij elke herbeoordeling.

Wat is een risicobehandelingsplan?

Een risicobehandelingsplan (ook wel risico treatment plan of RTP) is het document waarin per risico staat beschreven welke maatregel wordt genomen, door wie, wanneer en wat het verwachte restrisico is. Het RTP is de vertaling van de risicoanalyse naar concrete acties. Het is een verplicht document onder clausule 6.1.3 en wordt door auditors altijd opgevraagd.

Hoeveel risico’s moet je identificeren voor ISO 27001?

ISO 27001 schrijft geen minimum of maximum aantal risico’s voor. In de praktijk zien we bij kleine organisaties (20-50 medewerkers) risicoregisters met 20 tot 50 risico’s; middelgrote organisaties (100-500 medewerkers) hanteren doorgaans 50 tot 150 risico’s. Wat telt is volledigheid en relevantie: alle significante dreigingen voor de informatie binnen de scope moeten zijn gedekt. Een te klein register roept argwaan op bij auditors.

Wat is acceptable risk bij ISO 27001?

Acceptable risk (aanvaardbaar risico) is het risiconiveau dat de organisatie bereid is te accepteren zonder aanvullende maatregelen te treffen. Dit wordt vastgesteld in de risicoacceptatiecriteria (clausule 6.1.2) en is een bewuste managementbeslissing. Risico’s onder de acceptatiedrempel worden geaccepteerd; risico’s daarboven worden behandeld. Er is geen universele drempelwaarde — dit hangt af van de sector, de aard van de informatie en de risicotolerantie van de organisatie.

Hoe vaak moet je risico’s herbeoordelen bij ISO 27001?

ISO 27001 vereist dat de risicobeoordeling op geplande intervallen of bij significante wijzigingen wordt herhaald. In de praktijk betekent dit minimaal één keer per jaar een volledige herbeoordeling, aangevuld met ad hoc beoordelingen bij: grote organisatorische veranderingen (fusie, overname, verhuizing), introductie van nieuwe systemen of diensten, significante beveiligingsincidenten, en nieuwe relevante wet- en regelgeving.

Wat is het verschil tussen risicobeoordeling en risicobehandeling?

De risicobeoordeling is het analyseproces: identificeer risico’s, scoor ze op kans en impact, en prioriteer. De uitkomst is een risicoregister met alle risico’s en hun scores. De risicobehandeling is wat je daarna doet: voor elk risico boven de acceptatiedrempel kies je een behandelingsoptie (mitigeren, vermijden, overdragen of accepteren) en definieer je concrete maatregelen. De uitkomst is het risicobehandelingsplan en het Statement of Applicability. Beoordeling komt altijd eerst; behandeling volgt op basis van de beoordelingsresultaten.

Direct aan de slag met ISO?

Vooraf ingevulde templates — 80% klaar, in Word, Office 365, Confluence of Google Docs.

Bekijk templates →