ISMS Copilot
Ondersteunde frameworks

ISO 27001 Informatiebeveiligingsbeheer

ISO 27001 is de internationale standaard voor Informatiebeveiligingsbeheersystemen (ISMS). Het biedt een systematische aanpak voor het beheren van gevoelige informatie, waarbij mensen, processen en technologie worden behandeld. ISO 27001-certificering laat aan klanten, toezichthouders en partners zien dat uw organisatie uitgebreide controles heeft geïmplementeerd om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te beschermen.

ISO 27001 is wereldwijd erkend en van toepassing op elke organisatie, ongeacht grootte of sector. Het wordt vaak vereist door zakelijke klanten, overheidscontracten en gereguleerde sectoren.

Wie heeft ISO 27001 nodig?

ISO 27001 is relevant voor organisaties in diverse sectoren:

  • Technologiebedrijven: SaaS-providers, cloudinfrastructuur, softwareleveranciers, leveranciers van beheerde diensten (MSP's)

  • Financiële diensten: Banken, betalingsverwerkers, fintech-platforms, verzekeringsmaatschappijen

  • Gezondheidszorg: Systemen voor elektronische patiëntendossiers, telegeneeskundeplatforms, fabrikanten van medische hulpmiddelen

  • Zakelijke dienstverlening: Adviesbureaus, advocatenkantoren, accountantskantoren die vertrouwelijke klantgegevens verwerken

  • Overheidsleveranciers: Organisaties die bieden op opdrachten in de publieke sector waarvoor certificering voor informatiebeveiliging vereist is

  • Toeleveringspartners: Leveranciers die zakelijke klanten of kritieke infrastructuur ondersteunen

Hoewel het in de meeste rechtsgebieden niet wettelijk verplicht is, is ISO 27001 een feitelijke vereiste voor het zakendoen met beveiligingsbewuste klanten, vooral in Europa.

ISO 27001 Structuur

De standaard is verdeeld in twee delen:

Hoofdclausules (4-10): Vereisten voor het vaststellen, implementeren, onderhouden en verbeteren van een ISMS

  • Clausule 4: Context van de organisatie (reikwijdte, belanghebbenden, wettelijke vereisten)

  • Clausule 5: Leiderschap (betrokkenheid van het hoger management, rollen, beleid)

  • Clausule 6: Planning (risicobeoordeling, risicobehandeling, doelstellingen)

  • Clausule 7: Ondersteuning (middelen, competentie, bewustzijn, communicatie, documentatie)

  • Clausule 8: Uitvoering (implementeren van risicobehandelingsplannen, beheersmaatregelen)

  • Clausule 9: Evaluatie van de prestaties (monitoring, interne audit, management review)

  • Clausule 10: Verbetering (omgaan met afwijkingen, corrigerende maatregelen, continue verbetering)

Annex A: 93 beveiligingsmaatregelen georganiseerd in 4 thema's en 14 categorieën

Organisaties selecteren toepasselijke Annex A-maatregelen op basis van hun risicobeoordeling en documenteren de rechtvaardiging voor uitsluitingen in een Verklaring van Toepasselijkheid (SoA).

Annex A Controle Thema's

De 93 beheersmaatregelen (ISO 27001:2022 versie) zijn gegroepeerd in:

Organisatorische maatregelen (37 maatregelen):

  • Beleid, rollen en verantwoordelijkheden, scheiding van taken

  • Activabeheer, acceptabel gebruik, teruggave van activa

  • Beveiliging van personeel (antecedentenonderzoek, beveiligingstraining, disciplinair proces)

  • Relaties met leveranciers (beveiligingsbeoordelingen van leveranciers, contracten, monitoring)

  • Compliance (wettelijke vereisten, privacy, intellectueel eigendom, audits)

Personeelsmaatregelen (8 maatregelen):

  • Screening, arbeidsvoorwaarden, bewustwordingstraining op het gebied van beveiliging

  • Disciplinair proces, verantwoordelijkheden na beëindiging dienstverband

  • Werken op afstand en beveiliging van mobiele apparaten

Fysieke maatregelen (14 maatregelen):

  • Fysieke beveiligingsperimeter, toegangscontrole, beveiliging van kantoren en faciliteiten

  • Beveiliging van apparatuur (plaatsing, bescherming, onderhoud, verwijdering)

  • Clean desk- en clean screen-beleid

Technologische maatregelen (34 maatregelen):

  • Toegangscontrole (gebruikersregistratie, wachtwoordbeheer, herziening van toegangsrechten)

  • Cryptografie (versleutelingsbeleid, sleutelbeheer)

  • Netwerkbeveiliging (segmentatie, inbraakdetectie, firewallregels)

  • Systeembeveiliging (hardening, patchbeheer, logging, monitoring)

  • Applicatiebeveiliging (veilig ontwikkelen, testen, wijzigingsbeheer)

  • Back-up, bedrijfscontinuïteit, herstel na calamiteiten

  • Incidentmanagement (detectie, respons, forensisch onderzoek, geleerde lessen)

Niet alle maatregelen zijn van toepassing op elke organisatie. Een SaaS-startup kan fysieke perimetercontroles uitsluiten als ze colocation-datacenters gebruiken, maar moet deze uitsluiting wel motiveren.

De herziening van ISO 27001 uit 2022 heeft het aantal maatregelen teruggebracht van 114 naar 93 en deze gereorganiseerd in 4 thema's. Als u gecertificeerd was onder de 2013-versie, moet u uiterlijk in oktober 2025 zijn overgestapt op de 2022-structuur.

Risicobeoordeling en -behandeling

ISO 27001 vereist een gestructureerd risicomanagementproces:

  1. Identificeer activa: Gegevens, systemen, personeel, faciliteiten, reputatie

  2. Identificeer bedreigingen en kwetsbaarheden: Cyberaanvallen, insider threats, natuurrampen, menselijke fouten, fouten van derden

  3. Beoordeel waarschijnlijkheid en impact: Kwantificeer of kwalificeer risiconiveaus

  4. Bepaal risico-appetijt: Definieer welk risiconiveau acceptabel is

  5. Selecteer risicobehandeling: Mitigeren (maatregelen toepassen), accepteren (rechtvaardiging documenteren), overdragen (verzekering, outsourcing) of vermijden (stoppen met risicovolle activiteiten)

  6. Documenteer in Risicobehandelplan: Lijst met geselecteerde maatregelen, verantwoordelijkheden, tijdlijnen, middelen

De risicobeoordeling bepaalt welke Annex A-maatregelen u implementeert. Risico's met een hoge prioriteit vereisen sterkere maatregelen; risico's met een lage prioriteit kunnen worden geaccepteerd of met lichtere maatregelen worden aangepakt.

Verklaring van Toepasselijkheid (SoA)

De SoA is een cruciaal document dat uw risicobeoordeling koppelt aan Annex A-maatregelen:

  • Maak een lijst van alle 93 Annex A-maatregelen

  • Geef voor elke maatregel aan: Wel of niet van toepassing

  • Indien van toepassing: Beschrijf hoe het is geïmplementeerd, verwijs naar beleid/procedures

  • Indien niet van toepassing: Rechtvaardig de uitsluiting op basis van de risicobeoordeling

Auditoren bestuderen de SoA nauwkeurig om te verifiëren of de maatregelen passend zijn en uitsluitingen gerechtvaardigd. Slechte rechtvaardigingen (bijv. "niet relevant" zonder uitleg) zullen leiden tot tekortkomingen (non-conformities).

Het uitsluiten van maatregelen zonder de juiste rechtvaardiging is een veelvoorkomende reden voor het falen van een audit. Documenteer waarom elke uitsluiting acceptabel is op basis van de context, activa en het risicoprofiel van uw organisatie.

Certificeringsproces

Het behalen van een ISO 27001-certificering volgt doorgaans deze tijdlijn:

  1. Gap-analyse (1-2 maanden): Beoordeel de huidige status van de beveiliging ten opzichte van de ISO 27001-vereisten

  2. ISMS-ontwerp (2-4 maanden): Definieer de reikwijdte, voer een risicobeoordeling uit, maak de SoA, stel beleid op

  3. Implementatie (4-12 maanden): Voer maatregelen in, train personeel, documenteer procedures, verzamel bewijsmateriaal

  4. Interne audit (1 maand): Test de effectiviteit van het ISMS, identificeer afwijkingen, herstel deze

  5. Management review: Leidinggevenden evalueren de ISMS-prestaties en verbetermogelijkheden

  6. Fase 1-audit (documentatieonderzoek): Externe auditor beoordeelt ISMS-documentatie, identificeert hiaten

  7. Remediëring: Pak de bevindingen uit Fase 1 aan voorafgaand aan Fase 2

  8. Fase 2-audit (implementatie-audit): Externe auditor test maatregelen, interviewt personeel, beoordeelt bewijsmateriaal

  9. Certificering: Certificaat afgegeven voor 3 jaar met jaarlijkse surveillance-audits

Een eerste certificering kan 6 tot 18 maanden duren, afhankelijk van de omvang en volwassenheid van de organisatie.

Toezicht en Hercertificering

Een ISO 27001-certificering is 3 jaar geldig, met doorlopende verplichtingen:

  • Jaarlijkse surveillance-audits: Een externe auditor test elk jaar een subset van de maatregelen om voortdurende naleving te garanderen

  • Interne audits: Voer deze ten minste jaarlijks uit om problemen op te sporen vóór externe audits

  • Management review: De directie beoordeelt de prestaties van het ISMS ten minste jaarlijks

  • Continue verbetering: Afwijkingen aanpakken, risicobeoordelingen bijwerken, aanpassen aan nieuwe bedreigingen

  • Hercertificeringsaudit (jaar 3): Uitgebreide audit om het certificaat voor nog eens 3 jaar te verlengen

Het zakken voor een surveillance-audit kan leiden tot schorsing of intrekking van het certificaat, dus continue monitoring is essentieel.

Belangrijkste Documentatie

ISO 27001 vereist gedocumenteerde informatie, waaronder:

  • Scope van het ISMS: Grenzen van het ISMS (welke afdelingen, locaties en systemen vallen eronder)

  • Informatiebeveiligingsbeleid: Commitment op hoog niveau aan beveiliging, ondertekend door de directie

  • Methodologie voor risicobeoordeling: Hoe u risico's identificeert en evalueert

  • Resultaten van de risicobeoordeling: Inventarisatie van activa, analyse van bedreigingen/kwetsbaarheden, risicoscores

  • Risicobehandelplan: Geselecteerde maatregelen, eigenaren, tijdlijnen

  • Verklaring van Toepasselijkheid: Alle 93 Annex A-maatregelen met details over toepasbaarheid en implementatie

  • Ondersteunend beleid en procedures: Toegangscontrolebeleid, beleid voor acceptabel gebruik, incidentresponsplan, back-upbeleid, wijzigingsbeheer, etc.

  • Bewijs van werking van maatregelen: Logs, audit trails, trainingsgegevens, toegangsbeoordelingen, incidentrapporten, gegevens over patchbeheer

  • Interne auditrapporten: Bevindingen, afwijkingen, corrigerende maatregelen

  • Notulen van de management review: Besluiten van de directie, actiepunten

Een Certificeringsinstantie Kiezen

Selecteer een geaccrediteerde certificeringsinstantie (CB) met ervaring in ISO 27001:

  • Verifieer de accreditatie door een erkende instantie (RvA, UKAS, ANAB, DAkkS, etc.)

  • Controleer of de scope van de CB uw sector en geografie omvat

  • Vraag om referenties van organisaties van vergelijkbare grootte

  • Vergelijk prijzen (certificeringskosten variëren doorgaans van $15.000 tot $100.000+, afhankelijk van de reikwijdte en omvang van de organisatie)

  • Evalueer de expertise van de auditor (technische diepgang, sectorkennis)

Bekende certificeringsinstanties zijn onder meer BSI, SGS, TÜV, DNV, Bureau Veritas en A-LIGN.

ISO 27001 vs. SOC 2

Organisaties vergelijken ISO 27001 en SOC 2 vaak:

Aspect

ISO 27001

SOC 2

Geografie

Internationaal (ISO-standaard)

Gericht op de VS (AICPA-standaard)

Toepasbaarheid

Elke organisatie

Alleen serviceproviders

Output

Openbaar certificaat

Vertrouwelijk auditrapport

Beheersmaatregelen

Voorgeschreven (93 Annex A-maatregelen)

Flexibel (bepaald door de auditor)

Kosten

$15.000-$100.000+/jaar

$20.000-$75.000+/jaar

Tijdlijn

6-12 maanden

9-18 maanden (Type II)

Veel organisaties streven naar beide: ISO 27001 voor Europese klanten en publieke geloofwaardigheid, SOC 2 voor Amerikaanse klanten en beoordelingen van SaaS-leveranciers.

Hoe ISMS Copilot Helpt

ISMS Copilot is speciaal gebouwd voor ISO 27001-compliance:

  • Beleid genereren: Maak beleid dat aansluit bij ISO 27001 (informatiebeveiliging, toegangscontrole, incidentrespons, acceptabel gebruik, back-up, wijzigingsbeheer)

  • Risicobeoordeling: Bouw frameworks voor risicobeoordeling, inventarisaties van activa, matrices voor bedreigingen/kwetsbaarheden

  • Gap-analyse: Upload bestaand beleid om hiaten ten opzichte van ISO 27001-vereisten te identificeren

  • Verklaring van Toepasselijkheid: Genereer SoA-sjablonen met alle 93 Annex A-maatregelen

  • Begeleiding bij implementatie van maatregelen: Stel vragen over specifieke maatregelen (bijv. "Hoe implementeer ik A.8.1 Gebruikerseindapparatuur?")

  • Documentatiesjablonen: Playbooks voor incidentrespons, checklists voor toegangsbeoordeling, handleidingen voor het verzamelen van auditbewijsmateriaal

  • Auditvoorbereiding: Genereer interne auditplannen, rapporten over corrigerende maatregelen

De kennisbank van ISMS Copilot is gebouwd op basis van echte ISO 27001-consultingervaring, waardoor het de verwachtingen van auditoren en veelvoorkomende valkuilen begrijpt.

Probeer eens te vragen: "Genereer een ISO 27001 informatiebeveiligingsbeleid" of "Welk bewijs heb ik nodig voor maatregel A.5.23 (informatiebeveiliging voor clouddiensten)?"

Aan de Slag

Om u voor te bereiden op ISO 27001 met ISMS Copilot:

  1. Maak een specifieke werkruimte voor uw ISO 27001-project

  2. Definieer de scope van uw ISMS (welke delen van de organisatie worden gecertificeerd)

  3. Voer een gap-analyse uit om de huidige volwassenheid te beoordelen

  4. Gebruik de AI om kernbeleid te genereren (informatiebeveiligingsbeleid, acceptabel gebruik, toegangscontrole, incidentrespons, back-up)

  5. Voer een risicobeoordeling uit (identificeer activa, bedreigingen, kwetsbaarheden, impacts)

  6. Maak een Verklaring van Toepasselijkheid op basis van uw risicobeoordeling

  7. Ontwikkel procedures en bewijsvoering voor maatregelen met een hoge prioriteit

  8. Voer een interne audit uit om de effectiviteit van het ISMS te testen voordat u een certificeringsinstantie inschakelt

Gerelateerde Bronnen

  • Officiële ISO 27001:2022-standaard (te koop bij ISO of nationale normalisatie-instituten)

  • ISO 27002:2022 (implementatierichtlijnen voor Annex A-maatregelen)

  • Registers van certificeringsinstanties (RvA, UKAS, ANAB, IAF voor geaccrediteerde auditoren)

  • ISO 27001-transitiegids (van de 2013- naar de 2022-versie)

Was dit nuttig?