ISMS Copilot
ISO 27001 met AI

Hoe ISO 27001-beleid en -procedures te creëren met AI

Overzicht

Je leert hoe je AI kunt gebruiken om uitgebreide ISO 27001-beleidsdocumenten en procedures te maken die klaar zijn voor audits, inclusief je Informatiebeveiligingsbeleid, Verklaring van Toepasselijkheid en alle benodigde operationele procedures.

Voor wie is dit

Deze handleiding is bedoeld voor:

  • Compliance officers die verantwoordelijk zijn voor ISMS-documentatie

  • Beveiligingsprofessionals die beleidskaders ontwikkelen

  • Consultants die beleid opstellen voor meerdere klanten

  • Organisaties die moeite hebben met het vanaf nul opstellen van beleid

Vereisten

Voordat je begint, zorg dat je:

  • Risicoanalyse en controleselectie hebt afgerond

  • Heb vastgesteld welke Annex A-controles voor jouw organisatie gelden

  • Rollen en verantwoordelijkheden voor ISMS-beheer hebt gedefinieerd

  • Toegang hebt tot bestaande beleidsdocumenten (indien aanwezig) voor gap-analyse

Inzicht hebt in de documentatievereisten van ISO 27001

Verplichte documentatie

ISO 27001 vereist expliciet deze gedocumenteerde onderdelen:

Type document

ISO-clausule

Doel

ISMS-omvang

4.3

Bepalen van grenzen en toepassingsgebied

Informatiebeveiligingsbeleid

5.2

Hoog-niveau beveiligingsdoelen en toezegging

Risicobeoordelingsmethodologie

6.1.2

Hoe risico's worden geïdentificeerd en geëvalueerd

Behandelingsplan voor risico's

6.1.3

Hoe geïdentificeerde risico's worden aangepakt

Verklaring van Toepasselijkheid

6.1.3d

Welke controles zijn geïmplementeerd en waarom

Bewijs van controle-implementatie

Diverse

Bewijs dat controles effectief werken

Bewijzen van competentie

7.2

Bewijs van training en bewustzijn

Resultaten interne audit

9.2

ISMS-prestaties en conformiteit

Resultaten management review

9.3

Leiderschapstoezicht en besluitvorming

Niet-conformiteit en corrigerende acties

10.1

Registratie en oplossing van problemen

Audit realiteit: Auditors vragen deze documenten als eerste op. Ontbrekende of onvolledige verplichte documentatie leidt tot directe grote niet-conformiteiten die certificering vertragen.

Veelvoorkomende ondersteunende beleidsdocumenten

Hoewel niet expliciet verplicht, ondersteunen deze beleidsstukken de Annex A-controles:

  • Toegangscontrolebeleid

  • Beleidsdocument voor activabeheer

  • Beleid informatieclassificatie en -verwerking

  • Beleid acceptabel gebruik

  • Procedure incidentbeheer

  • Business continuity-plan

  • Procedure back-up en herstel

  • Beleid wijzigingsbeheer

  • Beleid leveranciersrisicobeheer

  • Beleid gegevensbescherming en privacy

Stap 1: Creëer je Informatiebeveiligingsbeleid

Wat maakt een compliant beleid

ISO 27001 Clausule 5.2 vereist dat je Informatiebeveiligingsbeleid:

  • Passend is bij het doel van de organisatie

  • Beveiligingsdoelstellingen bevat of een kader biedt om doelstellingen te stellen

  • Toezegging bevat om aan toepasselijke eisen te voldoen

  • Toezegging bevat tot voortdurende verbetering

  • Beschikbaar is als gedocumenteerde informatie

  • Binnen de organisatie gecommuniceerd wordt

  • Beschikbaar is voor relevante belanghebbenden waar toepasselijk

Verschil beleid vs procedure: Beleid beschrijft wat en waarom (hoog-niveau doelstellingen en toezeggingen). Procedures beschrijven hoe (stapsgewijze operationele processen). Beide zijn nodig maar dienen verschillende doelen.

AI gebruiken voor het opstellen van je beleid

In je ISO 27001-werkruimte:

"Maak een ISO 27001:2022-conform Informatiebeveiligingsbeleid voor een [bedrijfsbeschrijving: sector, grootte, diensten]. Inclusief: doel en reikwijdte, beveiligingsdoelstellingen, managementtoezegging, wettelijke en regelgevende naleving, rollen en verantwoordelijkheden, beleidsherzieningsproces en goedkeuringssectie. Doelgroep: alle medewerkers en relevante externe partijen."

Pas aan met details:

"Werk dit Informatiebeveiligingsbeleid bij zodat het aansluit bij onze specifieke organisatiecontext: wij zijn [details over bedrijfsmodel], onze belangrijkste assets zijn [lijst], we opereren in [geografische regio's] en moeten voldoen aan [regelgeving zoals AVG, HIPAA]. Benadruk onze inzet voor [bedrijfsdoelen zoals klantvertrouwen, innovatie, operationele veerkracht]."

Pro tip: Upload de missie, waarden en strategisch plan van je organisatie. Vraag AI om het Informatiebeveiligingsbeleid op deze documenten af te stemmen — zo zorg je voor consistentie en toon je aan dat beveiliging bedrijfsdoelstellingen ondersteunt.

Belangrijke beleidscomponenten

Je beleid moet bevatten:

  1. Inleiding en doel: Waarom informatiebeveiliging belangrijk is voor je organisatie

  2. Reikwijdte: Wie en wat onder dit beleid valt

  3. Beveiligingsdoelstellingen: Specifieke, meetbare doelen voor beveiliging

  4. Managementtoezegging: Rol en verantwoordelijkheden van leiderschap

  5. Naleving verplichtingen: Juridische, regelgevende, contractuele eisen

  6. Risicomanagement aanpak: Hoe risico's worden geïdentificeerd en aangepakt

  7. Rollen en verantwoordelijkheden: Wie verantwoordelijk is voor beveiliging

  8. Beleidsherziening en updates: Hoe vaak het beleid wordt herzien (meestal jaarlijks)

  9. Goedkeuring en autorisatie: Handtekeningenblok voor leidinggevenden

Stap 2: Stel je Verklaring van Toepasselijkheid op

Waarom de SoA cruciaal is

De Verklaring van Toepasselijkheid (SoA) vormt de brug tussen je risicoanalyse en de geïmplementeerde controles. Het moet:

  • Alle 93 Annex A-controles opsommen

  • Vermelden of elke controle van toepassing of uitgesloten is

  • Motivatie geven voor opname (welke risico's het aanspreekt)

  • Motivatie geven voor uitsluiting (waarom niet nodig)

  • Refereren naar waar bewijs van implementatie te vinden is

Veelgemaakte fout: De SoA is geen afvinklijst. Auditors controleren dat opgenomen controles daadwerkelijk geïdentificeerde risico's mitigeren en dat uitsluitingen terecht zijn — niet alleen om budgettaire redenen.

AI gebruiken voor je SoA

  1. Genereer SoA-structuur:

    "Maak een sjabloon voor de Verklaring van Toepasselijkheid voor ISO 27001:2022 met kolommen: Controle referentie, Controle titel, Toepassing (Inbegrepen/Uitsluitend), Motivatie, Gerelateerde risico's, Implementatiestatus, Locatie bewijs. Inclusief alle 93 Annex A-controles per thema geordend."

  2. Koppel controles aan risico's:

    "Voor elke controle in het Organisatorisch thema (A.5.1 t/m A.5.37), identificeer welke van onze geïdentificeerde risico's [upload of beschrijf risicoregister] deze controle vermindert. Voor controles die geen risico adresseren, stel uitsluitmotivaties voor."

  3. Schrijf motivaties:

    "Voor controle A.8.23 (Webfiltering), schrijf een opname-motivatie waarin wordt uitgelegd: welke risico's het adresseert (referentie naar onze risicocodes), hoe het risico vermindert, en welk bewijs de implementatie aantoont. Onze context: 50 medewerkers die op afstand werken via cloudservices."

  4. Motiveer uitsluitingen:

    "Voor controle A.7.4 (Fysieke beveiligingsmonitoring), schrijf een uitsluitingsmotivering. Onze context: volledig cloud-gebaseerde operaties zonder fysieke datacenters, gebruikmakend van AWS-infrastructuur. Leg uit waarom deze controle niet relevant is binnen onze ISMS-scope."

Best practices SoA met AI

Vraag ISMS Copilot je SoA te valideren:

"Controleer deze concept Verklaring van Toepasselijkheid op ISO 27001:2022-eisen. Let op: controles zonder risicomotivatie, uitsluitingen die twijfelachtig zijn gezien onze [sector/activiteiten], ontbrekende bewijsreferenties en overlappende controles. Doe verbeteringsvoorstellen."

Tijdbesparing: In plaats van 93 controles handmatig te analyseren, kan AI direct aangeven welke controles relevant zijn voor je risicoprofiel, bewijssoorten voorstellen en motivaties opstellen — waardoor de SoA creatie van weken naar dagen gaat.

Stap 3: Ontwikkel operationele procedures

Procedure vs beleid

Terwijl beleid richting geeft, bieden procedures stapsgewijze instructies voor het implementeren van controles. Veel voorkomende procedures zijn:

Procedure

Ondersteunt controles

Belangrijkste inhoud

Procedure toegangscontrole

A.5.15-5.18, A.8.2-8.5

Gebruikersprovisioning, toegangsbeoordeling, beëindiging

Procedure incidentrespons

A.5.24-5.28

Detectie, rapportage, indamming, herstel

Procedure wijzigingsbeheer

A.8.32

Goedkeuring, testen, rollback van wijzigingen

Procedure back-up

A.8.13

Back-up schema, tests, herstel

Vulnerability management

A.8.8

Scannen, prioritering, patchen

Procedures maken met AI

Voor elke vereiste procedure:

"Maak een [procedure naam] voor ISO 27001 controle [controle referentie]. Inclusief: doel en reikwijdte, rollen en verantwoordelijkheden, stapsgewijs proces met beslispunten, benodigde tools/systemen, frequentie/triggers, documentatie-eisen, en escalatieprocedures. Context: [beschrijf je omgeving, tools, teamstructuur]."

Voorbeeld:

"Maak een Procedure Toegangscontrole voor ISO 27001 controles A.5.15, A.5.16 en A.8.2. We gebruiken Okta voor identiteitsbeheer, hebben 50 medewerkers verdeeld over 5 afdelingen en gebruiken op rollen gebaseerde toegang. Inclusief: onboardingproces nieuwe medewerkers, kwartaalbeoordelingen van toegang, direct beëindigingsproces en workflow voor privilegie-toegang."

Pro tip: Vraag AI om procedures in flowchart-formaat te maken: "Zet deze Procedure Toegangscontrole om in een visueel stroomdiagram met beslispunten, goedkeurders en systeeminteracties." Visuele procedures zijn makkelijker te volgen voor medewerkers en te begrijpen voor auditors.

Generieke procedures aanpassen

Algemene sjablonen falen bij audits. Pas aan door te vragen:

"Pas deze Procedure Incidentrespons aan onze specifieke context aan: we gebruiken [beveiligingstools], incidenten worden gerapporteerd via [kanaal], onze dienstdoende rotatie is [structuur] en we moeten [belanghebbenden] binnen [tijdframe] op de hoogte stellen. Vervang alle algemene placeholders met onze eigen tools, rollen en processen."

Stap 4: Maak controlespecifiek beleid

Veelvoorkomend ondersteunend beleid

Voor grote controlegebieden maak je gerichte beleidsdocumenten:

Toegangscontrolebeleid

"Maak een Toegangscontrolebeleid voor ISO 27001 met: principe van minste privileges, op rollen gebaseerde toegang, provisioning en de-provisioning van gebruikers, frequentie van toegangsbeoordelingen, beheer van bevoegdheden, vereisten voor externe toegang en wachtwoordstandaarden. Context: [jouw omgeving]."

Activabeheerbeleid

"Maak een Activabeheerbeleid met: vereisten voor assetinventaris, classificatieniveaus, eigenaarschap, acceptabel gebruik, assetverwijdering en beleid voor mobiele apparaten. Inclusief tabellen met classificatiecriteria en verwerkingsregels per niveau."

Beleid informatieclassificatie

"Maak een Beleid Informatieclassificatie en -verwerking met vier classificatieniveaus: Openbaar, Intern, Vertrouwelijk, Beperkt. Voor elk niveau: voorbeelden, opslagvereisten, verzendregels, deelbeperkingen, bewaartermijnen en verwijdermethoden. Context: [jouw datatypes]."

Incidentbeheerbeleid

"Maak een Beleidsdocument voor Informatiebeveiligingsincidentbeheer met: definitie en categorieën van incidenten, rapportagekanalen, structuur van respons-team, ernstniveaus, escalatiecriteria, communicatieprotocollen en leerproces. Inclusief matrix voor incidentclassificatie."

Kritieke vereiste: Elk beleid moet goedgekeurd worden door de juiste autoriteit (meestal management), versiebeheer bevatten en gedocumenteerde herzieningsdata hebben. Ontbrekende governance metadata is een veelvoorkomende auditconstatering.

Stap 5: Zorg voor consistentie en koppeling in je beleid

Waarom consistentie belangrijk is

Auditors zoeken naar tegenstrijdigheden in documenten. Inconsistente terminologie, conflicterende eisen of niet op elkaar afgestemde rollen veroorzaken niet-conformiteiten.

AI gebruiken voor consistentiecontrole

  1. Controleer terminologie:

    "Controleer deze beleidsdocumenten [upload meerdere] en identificeer inconsistent gebruik van termen. Bijvoorbeeld: gebruiken we 'informatieasset' op de ene plek en 'data-asset' op een andere? Stel standaardtermen voor en markeer alle inconsistenties."

  2. Controleer rolafstemming:

    "Vergelijk rollen en verantwoordelijkheden in deze documenten: Informatiebeveiligingsbeleid, Toegangscontrolebeleid, Procedure incidentbeheer. Zorg dat dezelfde functietitels consistent worden gebruikt en dat verantwoordelijkheden niet conflicteren of ongepast overlappen."

  3. Valideer kruisverwijzingen:

    "Vind alle kruisverwijzingen in deze beleidsdocumenten (bv. ‘Zie Toegangscontrole beleid Sectie 3.2’). Controleer of de genoemde secties bestaan en of er documenten zijn die elkaar moeten verwijzen maar dat niet doen."

  4. Zorg voor risicokoppeling:

    "Controleer per beleid of wordt aangegeven welke ISO 27001-controles het uitvoert en welke risico's het adresseert. Markeer beleid dat niet terugverwijst naar risicobeoordeling of Verklaring van Toepasselijkheid."

Stap 6: Pas AI-gegenereerde inhoud aan

Waarom aanpassing verplicht is

Generieke, ongewijzigde AI-inhoud is een rode vlag bij audits. Auditors kunnen twijfelen of beleid daadwerkelijk praktijk weerspiegelt als het:

  • Placeholder-tekst bevat zoals "[Bedrijfsnaam]" of "[Vul details in]"

  • Generieke functietitels gebruikt die niet bij jouw organisatie passen

  • Referenties naar tools of systemen die je niet gebruikt

  • Onrealistische processen bevat die niet overeenkomen met de praktijk

Scenario auditfalen: AI-gegenereerd beleid met placeholders of generieke inhoud toont oppervlakkige compliance. Auditors kunnen dan je hele ISMS grondiger inspecteren en problemen vinden die anders onopgemerkt blijven.

Checklist voor aanpassing

Voor elk AI-gegenereerd document:

  1. Vervang generieke termen: Specifieke functietitels, systemennamen, afdelingsnamen

  2. Voeg bewijslocaties toe: Waar logs bewaard worden, welke systemen bewijs genereren

  3. Voeg echte processen in: Werkelijke goedkeuringsflows, ticketsystemen, communicatiekanalen

  4. Voeg kwantitatieve details toe: Specifieke tijdframes, drempels, frequenties

  5. Verwijs naar daadwerkelijke tools: Jouw SIEM, IAM-systeem, back-upoplossing, kwetsbaarheidsscanner

  6. Voeg organisatiecontext toe: Sector-specifieke overwegingen, regelgevende vereisten

Vraag AI om te helpen:

"Beoordeel dit Toegangscontrolebeleid en identificeer alle generieke placeholders, vage formuleringen of onderdelen die voor een [bedrijfsbeschrijving] aangepast moeten worden. Geef per onderdeel specifieke suggesties gebaseerd op gangbare praktijk in de [sector]."

Stap 7: Implementeer documentbeheer

Eisen voor documentbeheer

ISO 27001 Clausule 7.5 vereist beheersing van gedocumenteerde informatie:

  • Identificatie: Unieke document-ID's, titels, datums, versies

  • Formaat en medium: Consistente sjablonen en opslag

  • Herziening en goedkeuring: Gedocumenteerd goedkeuringsproces

  • Distributie: Toegang voor juiste personen verzekeren

  • Versiebeheer: Het bijhouden van wijzigingen door de tijd

  • Bewaring en vernietiging: Hoe lang bewaren, wanneer vernietigen

Documentbeheer maken met AI

"Maak een Procedure Documentbeheer voor ISO 27001 inclusief: naamgevingsconventies, versienummering, goedkeuringsworkflow, beheer distributielijst, wijzigingstracking, bewaarschema's en vernietigingsproces. Inclusief sjabloon voor documentregister."

Genereer sjablonen:

"Maak sjablonen voor documentkop- en voetteksten voor ISO 27001-beleid met velden: Document-ID, Titel, Versie, Goedgekeurddatum, Goedgekeurd door, Herzieningsdatum, Classificatie en Eigenaar. Ontwerp professioneel voor auditindiening."

Stap 8: Plan communicatie en training van beleid

Eisen voor communicatie

ISO 27001 Clausule 7.4 vereist dat ISMS-informatie wordt gecommuniceerd. Beleid is zinloos als medewerkers niet weten dat het bestaat of het niet begrijpen.

AI gebruiken voor communicatieplannen

  1. Maak communicatieplan:

    "Stel een uitrolcommunicatieplan voor ISO 27001-beleid op met: mapping van belanghebbenden, communicatiekanalen, boodschapinhoud voor verschillende doelgroepen (leiding, medewerkers, aannemers), tijdlijn en tracking bevestiging. Context: [organisatiegrootte en -structuur]."

  2. Genereer trainingsmateriaal:

    "Maak een trainingpresentatie voor medewerkers over ons Informatiebeveiligingsbeleid met uitleg waarom het belangrijk is, belangrijkste eisen die het dagelijks werk raken, voorbeelden van compliant en niet-compliant gedrag, meldprocedures en gevolgen van overtredingen. Doelgroep: niet-technisch, 15 minuten."

  3. Maak bewustwordingsmateriaal:

    "Maak een één-pagina Quick Reference Guide voor ons Toegangscontrolebeleid met hoe toegang aan te vragen, wachtwoordeisen, melden van verdachte toegang en procedure bij vertrek uit organisatie. Gebruik iconen en simpele taal."

  4. Ontwerp erkenningstracking:

    "Maak een sjabloon voor beleidserkenning waarin medewerkers bevestigen het beleid gelezen, begrepen en geaccepteerd te hebben. Voeg datum, handtekening en optionele vragen over begrip toe."

Pro tip: Upload je conceptbeleid en vraag: "Noem de top 5 eisen uit dit beleid die de dagelijkse werkzaamheden van medewerkers het meest beïnvloeden. Maak per eis een eenvoudig 'doen/niet doen' voorbeeld dat makkelijk te onthouden is." Dit maakt beleid uitvoerbaar.

Stap 9: Stel herzieningscycli vast

Waarom regelmatige herziening belangrijk is

Beleidsdocumenten raken verouderd door technologische, risicotechnische en bedrijfswijzigingen. ISO 27001 vereist geplande herziening (meestal jaarlijks) en bij grote veranderingen.

Herzieningsprocessen maken met AI

"Maak een Procedure Beleidshertziening voor ISO 27001 met: triggers voor herziening (jaarlijks, na incidenten, na grote veranderingen), checklist voor herziening (juistheid, volledigheid, afstemming met controles), goedkeuringsworkflow, wijzigingstracking en communicatie van updates. Inclusief sjabloon voor herzieningsschema."

Genereer checklist voor herziening:

"Maak een checklist voor beleidshertziening die controleert op: juistheid van huidige processen, samenhang met geïmplementeerde controles, consistentie met ander beleid, volledigheid van eisen, helderheid voor doelgroep, naleving van ISO 27001:2022 updates en verwerking van lessen uit incidenten of audits."

Veelvoorkomende documentatievalkuilen en AI-oplossingen

Valkuil 1: Documentatieoverload Veel dubbele beleidsdocumenten die meer verwarring brengen dan duidelijkheid. AI-oplossing: Vraag "Moeten [Beleid A] en [Beleid B] samengevoegd worden? Identificeer overlap en stel samenvoeging voor om eenvoud te bereiken."

Valkuil 2: Onrealistische procedures Documenteren van ideale processen die niet passen bij de praktijk. AI-oplossing: Beschrijf je werkelijke processen en vraag "Sluit deze procedure aan bij onze werkelijke praktijk? Identificeer verschillen tussen beleid en werkelijkheid."

Valkuil 3: Zwakke bewijsverwijzingen Beleid dat niet specificeert waar bewijs wordt verzameld of opgeslagen. AI-oplossing: "Voor elke eis in dit beleid, identificeer welk bewijs naleving aantoont en waar dat bewijs bewaard wordt."

Volgende stappen in je implementatie

Je hebt nu de fundamenten voor ISMS-documentatie opgesteld:

  • ✓ Informatiebeveiligingsbeleid goedgekeurd

  • ✓ Verklaring van Toepasselijkheid afgerond

  • ✓ Operationele procedures gedocumenteerd

  • ✓ Ondersteunend beleid aangepast aan organisatie

  • ✓ Documentbeheer ingericht

Ga verder met: Hoe ISO 27001 Annex A-controles te implementeren met AI (volgende in serie)

In de volgende handleiding leer je:

  • Technische controles efficiënt implementeren

  • Organisatorische controles afstemmen over afdelingen

  • Bewijs voor controles verzamelen en organiseren

  • Effectiviteit van controles aantonen

  • Voorbereiden op interne audit

Hulp krijgen

Begin vandaag met het maken van je beleid: Open je ISO 27001-werkruimte op chat.ismscopilot.com en stel je Informatiebeveiligingsbeleid binnen een uur op.

Was dit nuttig?