ISO 27001 stappenplan: wat is het en waarom?
ISO 27001 is de internationaal erkende standaard voor het inrichten van een Information Security Management System (ISMS). De standaard is ontwikkeld door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC) en wordt wereldwijd toegepast door organisaties die informatiebeveiliging serieus nemen. De meest recente versie is ISO/IEC 27001:2022, gepubliceerd in oktober 2022.
Waar veel beveiligingsmaatregelen technisch van aard zijn — firewalls, encryptie, patchbeheer — gaat ISO 27001 over het beheerproces erachter. Wie is verantwoordelijk voor welke informatie? Hoe worden risico's geïdentificeerd en afgewogen? Welke maatregelen worden getroffen en hoe wordt de effectiviteit ervan bewaakt? ISO 27001 geeft antwoord op al deze vragen in de vorm van een beheersysteem dat continu verbetert.
De structuur van ISO 27001:2022
De standaard is opgebouwd rond twee kerncomponenten. Het managementsysteem (clausules 4 tot en met 10) beschrijft de governance-eisen: leiderschap en betrokkenheid van het management, risicobeoordeling en -behandeling, doelstellingen, ondersteuning, operationele planning, prestatiebeoordeling en continue verbetering.
De Bijlage A bevat 93 beveiligingsmaatregelen (controls) verdeeld over vier thema's:
- Organisatorisch (37 controls): beleid, rollen, verantwoordelijkheden, incidentbeheer, informatieclassificatie
- Personeel (8 controls): screening, arbeidsovereenkomsten, bewustwordingstraining, disciplinaire procedures
- Fysiek (14 controls): toegangsbeveiliging van gebouwen, apparatuurbeveiliging, clean desk
- Technologisch (34 controls): toegangsbeheer, cryptografie, kwetsbaarheidsbeheer, logging, back-up
Nieuw in de 2022-versie zijn elf controls die inspelen op actuele ontwikkelingen, waaronder threat intelligence, cloud security, data masking en information security for cloud services.
Voor wie is ISO 27001 relevant?
ISO 27001 is toepasbaar op organisaties van iedere omvang en sector. Formeel is certificering vrijwillig, maar in de praktijk is het steeds vaker een harde eis vanuit klanten, aanbestedingen en ketenpartners. Sectoren waar dit bijzonder sterk speelt:
- IT-dienstverleners en software-ontwikkelaars: Enterprise-klanten eisen certificering als kwaliteitsgarantie
- Financiële sector: Banken en verzekeraars stellen het aan toeleveranciers, en DORA verwijst er indirect naar
- Gezondheidszorg: Gecombineerd met NEN 7510 (de Nederlandse invulling voor de zorgsector)
- Overheid en semi-overheid: Rijksoverheid en gemeenten hanteren het als eis bij inkoop
- Verwerkingsverantwoordelijken en -verwerkers: ISO 27001-certificering vereenvoudigt aantonen van AVG-naleving aanzienlijk
De vier fasen van het certificeringstraject
Fase 1 — Gap-analyse (4–8 weken): De eerste stap is het in kaart brengen van de huidige situatie ten opzichte van de ISO 27001-eisen. Welke controls zijn al geïmplementeerd? Welke ontbreken of zijn onvolledig? De gap-analyse levert een prioriteitenlijst en een realistisch implementatieplan op. Een ervaren ISO 27001 Lead Auditor kan in deze fase al aangeven welke bevindingen een certificeringsauditor als kritiek zal beschouwen.
Fase 2 — ISMS-implementatie (2–6 maanden): Op basis van de gap-analyse wordt het ISMS opgebouwd. Dit omvat het opstellen van beleidsdocumenten (informatiebeveiligingsbeleid, risicobeoordelingsprocedure, verklaring van toepasselijkheid), het uitvoeren van een formele risicobeoordeling en -behandeling, het implementeren van ontbrekende technische en organisatorische maatregelen, en het inrichten van processen voor incidentbeheer, interne audits en managementreview.
Fase 3 — Interne audit en managementreview (2–4 weken): Voordat de externe auditor langskomt, voert de organisatie zelf een interne audit uit om te verifiëren dat het ISMS voldoet aan de eigen eisen. De directie houdt een formele managementreview waarbij de prestaties van het ISMS worden beoordeeld en doelstellingen worden bijgesteld waar nodig. Dit geeft zowel een kwaliteitscheck als de documentatie die de externe auditor verwacht te zien.
Fase 4 — Externe certificeringsaudit: Een geaccrediteerde certificerende instelling (zoals Bureau Veritas, DNV, Lloyd's Register of TÜV) voert een tweedelige audit uit. Stage 1 is een documentatiereview: de auditor beoordeelt of het ISMS volledig en logisch is opgebouwd. Stage 2 is de implementatieaudit: de auditor verifieert ter plaatse of de maatregelen daadwerkelijk worden toegepast. Bij een positief oordeel ontvangt de organisatie een ISO 27001-certificaat dat drie jaar geldig is, mits jaarlijkse surveillanceaudits slagen.
Doorlooptijd en kosten
Een realistisch traject voor een MKB-organisatie van 50–200 medewerkers duurt 6 tot 12 maanden. Organisaties die al beschikken over formele processen, beleidsdocumentatie en een volwassen IT-omgeving kunnen dat soms terugbrengen naar 4–6 maanden.
De kosten bestaan uit drie componenten:
- Externe auditkosten: €8.000–€20.000 voor Stage 1 en 2 bij een MKB-organisatie, afhankelijk van de certificerende instelling en het aantal vestigingen
- Implementatiekosten: €15.000–€40.000 voor externe begeleiding, afhankelijk van de startpositie en complexiteit van de organisatie
- Interne uren: Niet te onderschatten — een interne projectleider is noodzakelijk en kost doorgaans 20–40% van zijn of haar tijd gedurende het traject
Jaarlijkse surveillanceaudits kosten circa 30–50% van de initiële auditprijs. Na drie jaar volgt een hercertificeringsaudit.
ISO 27001 als basis voor NIS2 en AVG
Een goed geïmplementeerd ISMS is niet alleen waardevol voor de certificering zelf. Het vormt ook een uitstekende basis voor NIS2-compliance en AVG-naleving. De technische en organisatorische maatregelen (TOMs) die de AVG vereist, overlappen in hoge mate met ISO 27001-controls. NIS2 schrijft een risicogebaseerde aanpak voor die nauw aansluit bij het ISO 27001-risicomanagementsysteem. Organisaties die al gecertificeerd zijn, hebben bij NIS2-implementatie een meetbare voorsprong.
GRC-platform als versneller
Een veelgemaakte fout is het bijhouden van het ISMS in losse Word-documenten en Excel-sheets. Dit werkt in de opbouwfase, maar wordt onbeheersbaar zodra het systeem moet functioneren. Een GRC-platform zoals het iso2700x.nl platform centraliseert de risicobeoordeling, het beheer van controls, de audit trail en de rapportage. Compli, onze ingebouwde AI-assistent, helpt bij het opstellen en beoordelen van beleidsdocumenten en signaleert afwijkingen vroegtijdig.
Hoe helpt iso2700x.nl?
Onze CISSP en ISO 27001 Lead Auditor gecertificeerde consultants begeleiden uw organisatie van gap-analyse tot certificeringsaudit. Wij kennen de meest voorkomende valkuilen — onderschatte documentatielast, te brede scope, onvoldoende managementbetrokkenheid — en zorgen dat u die vermijdt. Het resultaat: een realistisch traject, geen verrassingen tijdens de externe audit, en een ISMS dat ook na certificering daadwerkelijk werkt.