Autotask
Home
KennisbankGRCWat is ISO 27001?
Wat is ISO 27001?
Het is een internationale norm voor informatiebeveiligingsbeheer. Hij biedt een kader dat bedrijven kunnen volgen om ervoor te zorgen dat hun informatiebeveiligingssystemen effectief zijn. Bovendien is het een vrijwillige norm, maar veel bedrijven kiezen ervoor om hem aan te nemen om hun betrokkenheid bij informatiebeveiliging aan te tonen.
Wanneer krijgen bedrijven deze certificering?
Er is geen definitief antwoord op deze vraag, omdat het afhangt van de specifieke eisen van het bedrijf in kwestie. Maar in het algemeen kunnen bedrijven de certificering nodig hebben als ze een beheersysteem voor informatiebeveiliging (ISMS) willen invoeren of als hun klanten of andere belanghebbenden dat eisen.
Waarom ISO 27001 implementeren?
Er zijn veel redenen om het te implementeren, maar de meest voorkomende is om de beveiliging te verbeteren en de risico’s te verminderen (lees ook: ISO 27001 risicoanalyse). De invoering ervan kan een organisatie helpen om haar gegevens en activa beter te beschermen, en om haar algemene veiligheidspositie te verbeteren. Daarnaast kan ISO 27001 een organisatie helpen om te voldoen aan compliance-eisen, zoals die van de Algemene Verordening Gegevensbescherming (GDPR).
Is ISO 27001 het duur?
Over het algemeen is het niet duur om te implementeren. De gemiddelde kosten van de implementatie van een ISO 27001-conform systeem zullen variëren, afhankelijk van de grootte en complexiteit van je organisatie. Lees meer over de kosten van de implementatie in ons andere artikel.
Wat zijn de voordelen van de ISO 27001-norm?
Er zijn vele voordelen, waaronder: -Betere beveiliging van informatie en systemen.
- Grotere bescherming van informatiemiddelen
- Minder risico op inbreuken op informatie
- Grotere efficiëntie en effectiviteit van het beveiligingsbeheer
- Betere naleving van wet- en regelgeving
- Meer vertrouwen van klanten, partners en aandeelhouders in de beveiliging van informatie.
Wat zijn de eisen van ISO 27001?
De vereisten voor de certificering zijn:
- Implementeer een beveiligingsbeheersysteem (ISMS)
- Een risicobeoordeling uitvoeren
- Beveiligingsbeleid en -procedures ontwikkelen
- Controles uitvoeren om vastgestelde risico’s te beperken
- De effectiviteit van het ISMS bewaken en evalueren
- Het ISMS bijhouden
- Het ISMS communiceren aan alle werknemers
- Medewerkers opleiden in het ISMS
Security Officer Training
Nu de wereld steeds meer vertrouwt op digitale informatie, is de behoefte aan gekwalificeerde informatiebeveiligers (Security Officer) nog nooit zo groot geweest. Bij Dxfferent bieden we uitgebreide training die je voorbereidt om een Security Officer te worden.
Onze training behandelt alle essentiële onderwerpen, waaronder risicobeheer, gegevensbeveiliging, reactie op incidenten en naleving. Je krijgt de vaardigheden en kennis die je nodig hebt om het informatievermogen van je organisatie te beschermen en de gegevens veilig te houden. Lees hier meer!
Veelgestelde vragen
Wat houdt de ISO 27001 in?
ISO 27001 is de internationale norm voor het opzetten en onderhouden van een Information Security Management System (ISMS). De norm beschrijft hoe je informatiebeveiligingsrisico’s identificeert, behandelt en monitort via een risicogebaseerde aanpak. Kern is het PDCA-cyclus principe: plan, do, check, act. Een ISO 27001-certificaat toont externe stakeholders aan dat jouw organisatie informatiebeveiliging structureel en aantoonbaar borgt. De huidige versie is ISO/IEC 27001:2022.
Is ISO 27001 verplicht?
ISO 27001 is in Nederland niet wettelijk verplicht, in tegenstelling tot NEN 7510 voor de zorg. Wel wordt het certificaat steeds vaker contractueel verplicht: opdrachtgevers, overheden en grote bedrijven eisen vaak ISO 27001 van leveranciers. Daarnaast verplichten regelgeving zoals NIS2, DORA en AVG vergelijkbare maatregelen, waardoor ISO 27001 een praktische manier is om compliance aantoonbaar te maken. De facto dus vaak verplicht zonder dat de wet het oplegt.
Wat kost een ISO 27001 certificering?
De totale investering voor ISO 27001-certificering ligt voor MKB tussen € 25.000 en € 75.000 over drie jaar. Dit omvat externe auditkosten (€ 6.000–€ 25.000), consultancy, tooling en interne uren. Kleine organisaties kunnen het traject in 4–6 maanden afronden, grotere organisaties hebben 9–12 maanden nodig. De grootste variabele is de organisatiegrootte: het aantal medewerkers bepaalt direct het aantal verplichte auditdagen.
Wat is het verschil tussen ISO 9001 en ISO 27001?
ISO 9001 is de norm voor kwaliteitsmanagement: klanttevredenheid, procesoptimalisatie en continue verbetering. ISO 27001 richt zich specifiek op informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid van data. Beide normen volgen dezelfde High-Level Structure (HLS), waardoor ze prima te combineren zijn in één geïntegreerd managementsysteem. Veel organisaties starten met ISO 9001 en breiden later uit naar ISO 27001 als security-eisen toenemen door klanten of regelgeving.
De volledige structuur van ISO 27001:2023
ISO 27001 volgt sinds 2023 de Annex SL High Level Structure – dezelfde opzet als ISO 9001, ISO 14001 en ISO 42001. Dit maakt geintegreerde managementsystemen veel eenvoudiger. De norm bestaat uit 7 hoofdstukken (clausules 4 t/m 10) plus de Annex A met 93 controls.
Hoofdstukken 4-10: de mandatory clausules
| Clausule | Titel |
|---|---|
| 4.1 | Strategische context organisatie |
| 4.2 | Eisen van belanghebbenden |
| 4.3 | Scope van het ISMS |
| 4.4 | ISMS-inrichting |
| 5.1 | Leiderschap en commitment |
| 5.2 | Beleid informatiebeveiliging |
| 5.3 | Rollen, taken en bevoegdheden |
| 6.1.1 | Algemene aanpak risico’s |
| 6.1.2 | Risicobeoordelings-methodiek |
| 6.1.3 | Risicobehandelplan + SoA’s |
| 6.2 | Doelstellingen en planning |
| 6.3 | Planning van wijzigingen |
| 7.1 | Middelen en resources |
| 7.2 | Vaardigheden en kennis |
| 7.3 | Awareness en bewustzijn |
| 7.4 | Communicatie |
| 7.5.1 | Documentatie algemeen |
| 8.1 | Operationele planning |
| 8.2 | Risico’s praktisch beoordelen |
| 8.3 | Informatiebeveiligingsrisico’s behandelen |
| 9.1 | Monitoren, meten, analyseren en evalueren |
| 9.2 | Interne audit |
| 9.2.2 | Intern auditprogramma |
| 9.3.1 | Algemeen |
| 9.3.2 | Input voor de management review |
| 9.3.3 | Resultaten van de management review |
| 10.1 | Continue verbetering |
| 10.2 | Omgaan met afwijkingen |
Annex A: 93 controls in 4 thema’s
De controls zijn in 2022/2023 herzien van 114 naar 93 controls, gegroepeerd in vier thema’s:
- A.5 Organizational controls – 37 controls over governance, beleid en processen
- A.6 People controls – 8 controls over personeel, training en awareness
- A.7 Physical controls – 14 controls over fysieke beveiliging
- A.8 Technological controls – 34 controls over techniek, cryptografie en netwerk
11 controls zijn helemaal nieuw ten opzichte van de 2013-versie: threat intelligence, ICT readiness for business continuity, physical security monitoring, configuration management, information deletion, data masking, data leakage prevention, monitoring activities, web filtering, secure coding en cloud services.
In de praktijk merken we dat clausules 4-6 (context, leiderschap, planning) bij een eerste implementatie het meeste werk kosten. De Annex A controls zijn meestal makkelijker — veel organisaties doen al iets aan beveiliging, het is vooral een kwestie van vastleggen en aantoonbaar maken.
Wat is ISO 27001?
Gerelateerde artikelen
Klaar voor het volgende niveau?
Uw MSP verdient het beste. Dxfferent kan u helpen naar het volgende niveau te gaan, gaat u de uitdaging aan?