Wat is ISO 27005?
ISO/IEC 27005 is de internationale standaard met richtlijnen voor het managen van informatiebeveiligingsrisico's. De actuele versie, ISO/IEC 27005:2022, draagt de volledige titel "Information security, cybersecurity and privacy protection — Guidance on managing information security risks". De norm is ontwikkeld door ISO en IEC en maakt deel uit van de bekende ISO 27000-familie, dezelfde reeks waartoe ook ISO 27001 en ISO 27002 behoren.
De kern van ISO 27005 is dat informatiebeveiliging in essentie risicomanagement is. Je kunt onmogelijk alles tegelijk en even zwaar beveiligen; je moet keuzes maken op basis van welke risico's je organisatie écht raken. ISO 27005 geeft een gestructureerde, herhaalbare manier om die risico's in kaart te brengen, te beoordelen en te behandelen — zodat je beveiligingsbudget naar de plekken gaat waar het er het meest toe doet.
Belangrijk om meteen scherp te hebben: net als het NIST Cybersecurity Framework en COBIT is ISO 27005 een richtsnoer (guidance) en géén certificeerbare eisennorm. Je kunt je organisatie er niet tegen laten certificeren zoals bij ISO 27001. ISO 27005 vertelt vooral hoe je het risicowerk doet; het schrijft niet dwingend voor wat je per se moet hebben.
De relatie met ISO 27001: het ontbrekende handboek
Om ISO 27005 te begrijpen, helpt het om te zien welk gat het vult. ISO 27001 verplicht in clausule 6.1.2 dat een organisatie een proces voor informatiebeveiligingsrisicobeoordeling opzet en uitvoert, en in clausule 6.1.3 dat ze de risico's behandelt en daarbij beheersmaatregelen kiest. Maar ISO 27001 beschrijft die stappen op hoofdlijnen — het zegt dat je het moet doen, niet gedetailleerd hoe.
ISO 27005 is precies dat ontbrekende handboek. Het geeft praktische guidance bij het uitvoeren van de risicobeoordeling en -behandeling die ISO 27001 eist. In de praktijk gebruiken veel organisaties ISO 27005 dan ook als de methodische onderlegger onder hun ISMS: ISO 27001 stelt de eisen, ISO 27005 laat zien hoe je eraan voldoet, en ISO 27002 levert de catalogus met beheersmaatregelen waaruit je tijdens de behandeling kunt putten.
Korte geschiedenis: van 2008 tot 2022
ISO 27005 verscheen voor het eerst in 2008 en volgde daarmee kort op de eerste editie van ISO 27001. Sindsdien is de norm enkele keren herzien: een update in 2011, een herziening in 2018 en de meest recente, grondig vernieuwde versie in 2022.
De editie van 2022 is meer dan een cosmetische update. De norm werd flink herzien en heringedeeld: de twaalf clausules en zes annexen van de versie uit 2018 zijn samengebracht in tien clausules en één annex. Belangrijker zijn de inhoudelijke vernieuwingen: de tekst en terminologie zijn afgestemd op ISO/IEC 27001:2022 en op de algemene risicomanagementnorm ISO 31000:2018, er zijn twee expliciete benaderingen voor risico-identificatie geïntroduceerd (event-based en asset-based), en het concept risicoscenario kreeg een centrale plaats.
ISO 27005 en ISO 31000: specifiek versus generiek
Een veelgestelde vraag is hoe ISO 27005 zich verhoudt tot ISO 31000. Het onderscheid is eenvoudig maar belangrijk:
- ISO 31000 is de algemene, sectoroverstijgende norm voor risicomanagement. Ze geeft principes en een generiek raamwerk dat op élk type risico toepasbaar is — van financieel en operationeel tot strategisch.
- ISO 27005 vertaalt diezelfde risicofilosofie specifiek naar de wereld van informatiebeveiliging, en sluit naadloos aan op de eisen van ISO 27001.
Doordat ISO 27005:2022 bewust de terminologie van ISO 31000:2018 overneemt, passen informatiebeveiligingsrisico's logisch in het bredere enterprise risk management van de organisatie. Dat maakt het voor een GRC-manager of riskspecialist veel makkelijker om cyberrisico's in dezelfde taal aan de directie te rapporteren als de overige bedrijfsrisico's.
Het risicomanagementproces stap voor stap
Het hart van ISO 27005 is een doorlopend, cyclisch risicomanagementproces. De grote stappen sluiten aan op die van ISO 31000 en verlopen als volgt:
| Fase | Waar het over gaat |
|---|---|
| 1. Context vaststellen | De scope, de organisatorische omgeving en de risicocriteria bepalen: wanneer noem je een risico aanvaardbaar, en welke schaal gebruik je voor kans en impact? |
| 2. Risicobeoordeling | Het zwaartepunt van het proces, opgebouwd uit drie onderdelen: risico's identificeren, analyseren en evalueren. |
| 3. Risicobehandeling | Voor elk relevant risico een keuze maken uit de behandelopties en een behandelplan opstellen met maatregelen, eigenaren en planning. |
| 4. Communicatie & consultatie | Een doorlopende activiteit: belanghebbenden betrekken en informeren over de risico's en de gemaakte keuzes. |
| 5. Monitoring & review | Eveneens doorlopend: risico's, criteria en maatregelen bewaken en periodiek herzien, want het dreigingslandschap verandert continu. |
Cruciaal is dat dit géén eenmalige exercitie is. Risicomanagement is een iteratieve cyclus die je herhaalt, bijvoorbeeld jaarlijks en bij belangrijke wijzigingen. Dat past precies bij de plan-do-check-act-gedachte achter ISO 27001.
Context vaststellen: de spelregels bepalen
Voordat je ook maar één risico opschrijft, leg je de spelregels vast. In deze fase bepaal je de scope (welke processen, systemen en informatie vallen binnen de beoordeling?), de relevante interne en externe context, en — heel belangrijk — de risicocriteria. Die criteria beschrijven hoe je kans en impact gaat scoren en, vooral, waar de grens ligt tussen een risico dat je aanvaardbaar vindt en een risico dat behandeld moet worden.
Zonder heldere criteria wordt elke risicobeoordeling subjectief en onvergelijkbaar. Juist daarom is deze stap, hoe saai hij soms lijkt, bepalend voor de kwaliteit van alles wat erna komt.
Risicobeoordeling: identificeren, analyseren, evalueren
De risicobeoordeling (risk assessment) is het zwaartepunt van ISO 27005 en bestaat uit drie samenhangende stappen:
- Risico-identificatie. Welke risico's bestaan er? Hier breng je risicoscenario's in kaart: combinaties van een bron, een gebeurtenis en de mogelijke gevolgen voor de vertrouwelijkheid, integriteit of beschikbaarheid van informatie.
- Risicoanalyse. Hoe ernstig is elk risico? Je schat de waarschijnlijkheid dat een scenario optreedt en de impact als het gebeurt, en combineert die tot een risiconiveau (kwalitatief, kwantitatief of een mix).
- Risico-evaluatie. Wat doen we ermee? Je legt de risiconiveaus naast de vooraf vastgestelde criteria en bepaalt welke risico's prioriteit krijgen en in welke volgorde ze behandeld worden.
Twee benaderingen: event-based en asset-based
Een van de belangrijkste vernieuwingen van ISO 27005:2022 is dat de norm twee expliciete benaderingen voor risico-identificatie beschrijft. Je mag ze afzonderlijk gebruiken of — wat vaak het sterkst is — combineren.
| Event-based benadering | Asset-based benadering | |
|---|---|---|
| Invalshoek | Top-down, strategisch | Bottom-up, operationeel |
| Centrale vraag | Welke gebeurtenissen en risicobronnen kunnen ons raken? | Welke dreigingen en kwetsbaarheden horen bij dit specifieke bedrijfsmiddel? |
| Detailniveau | Hoog over: strategische risicoscenario's | Gedetailleerd: operationele scenario's per asset |
| Sterk in | Snel zicht op het dreigingslandschap en de grote lijnen | Concrete, herleidbare maatregelen per systeem of dataset |
De event-based benadering begint bij de risicobronnen en de gebeurtenissen die de organisatie zouden kunnen schaden, en redeneert vandaaruit naar de gevolgen. De asset-based benadering begint juist bij de bedrijfsmiddelen — servers, applicaties, datasets, processen — en zoekt per middel naar dreigingen en kwetsbaarheden. In de praktijk geeft de event-based aanpak snel overzicht voor het management, terwijl de asset-based aanpak de diepgang levert die je nodig hebt om concrete beheersmaatregelen te onderbouwen.
Op zoek naar een baan in risk, IT-audit of compliance?
Professionals die informatiebeveiligingsrisico's kunnen vertalen naar aantoonbare beheersing met ISO 27005, ISO 27001 en NIST CSF zijn schaars en zeer gewild. Bekijk de nieuwste vacatures voor risk managers, IT-auditors en compliancespecialisten in Nederland.
Bekijk Risk & Compliance VacaturesRisicobehandeling: de vier opties
Na de beoordeling volgt de risicobehandeling. Voor elk risico dat boven de aanvaardbare grens uitkomt, maak je een bewuste keuze uit vier opties:
- Wijzigen (modify). Je verlaagt het risico door beheersmaatregelen te implementeren — de meest voorkomende keuze. Denk aan toegangsbeheer, encryptie, monitoring of awareness-training.
- Behouden (retain). Je accepteert het risico bewust, omdat het al binnen de aanvaardbare grens valt of omdat behandelen onevenredig duur zou zijn.
- Vermijden (avoid). Je stopt met de activiteit die het risico veroorzaakt, bijvoorbeeld door een risicovolle dienst niet langer aan te bieden of een bepaalde technologie niet te gebruiken.
- Delen (share). Je brengt het risico geheel of gedeeltelijk onder bij een derde partij, bijvoorbeeld via een cyberverzekering of contractuele afspraken met een leverancier.
Het resultaat leg je vast in een risicobehandelplan: per risico de gekozen optie, de bijbehorende maatregelen, een verantwoordelijke en een planning. Elke keuze wordt onderbouwd, zodat altijd herleidbaar is waaróm voor een bepaalde aanpak is gekozen.
De Statement of Applicability en ISO 27001 Annex A
Hier ontmoeten ISO 27005 en ISO 27001 elkaar concreet. Wanneer je kiest voor het wijzigen van een risico via beheersmaatregelen, vergelijk je de gekozen maatregelen met de referentielijst uit Annex A van ISO 27001 (verder uitgewerkt in ISO 27002). Zo controleer je of je geen noodzakelijke maatregel over het hoofd hebt gezien.
Het resultaat van die vergelijking landt in de Statement of Applicability (SoA) — de verklaring van toepasselijkheid. Daarin staan de geselecteerde beheersmaatregelen, de onderbouwing waarom ze nodig zijn, de implementatiestatus en de motivatie voor eventuele uitsluitingen. De SoA is een kerndocument bij elke ISO 27001-certificering, en ISO 27005:2022 benoemt deze koppeling nu expliciet.
Risico-eigenaren en restrisico
ISO 27005 legt veel nadruk op risico-eigenaarschap. Elk risico krijgt een risico-eigenaar: degene die verantwoordelijk en aanspreekbaar is voor dat risico. Deze persoon moet het risico goed begrijpen, want hij of zij keurt het risicobehandelplan goed en accepteert formeel het restrisico — het risico dat overblijft nadat de maatregelen zijn getroffen.
Die expliciete acceptatie van restrisico is meer dan een formaliteit. Ze zorgt ervoor dat het nemen van risico een bewuste, gedragen beslissing is op het juiste niveau in de organisatie, en niet iets dat impliciet en onzichtbaar bij de IT-afdeling blijft hangen. Voor auditors en toezichthouders is een goed gedocumenteerde restrisico-acceptatie bovendien een belangrijk bewijs dat de governance op orde is.
ISO 27005 in de bredere compliancecontext
Gestructureerd risicomanagement is allang geen vrijblijvende best practice meer. Wetgeving als de NIS2-richtlijn en de DORA-verordening verplicht organisaties expliciet tot een risicogebaseerde aanpak van informatiebeveiliging, met aantoonbare betrokkenheid van het bestuur. Ook bij de DPIA onder de AVG en bij assurancetrajecten als ISAE 3402 en SOC 2 vormt een degelijke risicobeoordeling het fundament.
ISO 27005 biedt precies de methode om aan die eisen invulling te geven. Wie de risicoaanpak op orde heeft volgens ISO 27005, beschikt over een herkenbaar, herleidbaar verhaal dat in al deze trajecten herbruikbaar is — van het ISMS tot de in-control statement richting klanten en toezichthouders.
ISO 27005 en je carrière
Kennis van risicomanagement is een van de meest gevraagde competenties in het hele vakgebied van informatiebeveiliging en compliance. Wie het ISO 27005-proces beheerst — van context en scenario's tot behandelplan en restrisico — is waardevol in uiteenlopende rollen:
- Information security risk manager en GRC-manager: richten het risicoproces in en verbinden cyberrisico's met het bredere governancekader;
- IT-compliance auditor en IT-security auditor: toetsen of de risicobeoordeling en -behandeling deugdelijk en herleidbaar zijn;
- CISO en security officer: sturen op basis van risico's en verantwoorden de gemaakte keuzes richting het bestuur;
- ISO 27001-implementer en consultant: gebruiken ISO 27005 als methodische ruggengraat onder het managementsysteem.
Wil je je hierin specialiseren, dan zijn er gerichte certificeringen. ISACA's CRISC (Certified in Risk and Information Systems Control) richt zich volledig op IT-risicomanagement en sluit uitstekend aan op ISO 27005. Daarnaast bestaat de persoonscertificering ISO 27005 Risk Manager (onder meer aangeboden door PECB), die specifiek de methodiek van deze norm behandelt. In combinatie met een bredere certificering als CISA of CISM maakt dit je tot een gewild profiel.
De onderliggende trend is duidelijk: door toenemende wetgeving en een groeiend dreigingslandschap verschuift de aandacht van losse beveiligingsmaatregelen naar aantoonbaar, risicogebaseerd sturen. Dat is precies het terrein van ISO 27005, en het verklaart waarom de vraag naar professionals die risico en beheersing kunnen verbinden onverminderd hoog blijft. Bekijk de actuele risk- en compliancevacatures om te zien welke werkgevers zoeken, of verken het bredere aanbod aan IT-compliancevacatures in Nederland.