Ga naar inhoud

ISO 27001-certificering

ISO 27001-certificering is het formele bewijs dat je organisatie een werkend managementsysteem voor informatiebeveiliging (ISMS) hanteert en continu verbetert. Deze gids vertaalt de norm naar een praktische route voor directie, security en lijnorganisatie: heldere scope, risico’s die kloppen met je werkelijkheid, en bewijs dat auditors en klanten kunnen volgen.

Plan een vrijblijvend gesprek

ISO Ready helpt je om beleid, risico’s en bewijslast samen te brengen — zonder eindeloze documentstromen.

Doe de ISO 27001 readiness scan

ISO 27001-certificering is het formele bewijs dat je organisatie een managementsysteem voor informatiebeveiliging (ISMS) hanteert dat voldoet aan de internationale norm ISO/IEC 27001 en jaarlijks door een onafhankelijke auditor wordt getoetst. Het certificaat zegt dus niet dat je “100% veilig” bent — het zegt dat je risico’s serieus neemt, maatregelen kiest die bij je context passen en continu verbetert op basis van meetbare signalen.

Wat betekent dit?

Certificering draait om bewijsvoering. De norm vraagt om een duidelijke scope: welke processen, locaties en informatiesystemen vallen onder je ISMS, en welke uitsluitingen leg je met argumenten vast. Vervolgens leg je de context vast (interne en externe issues, belanghebbenden) en koppel je die aan je informatiebeveiligingsrisico’s. Die risico’s sturen de keuze van maatregelen, vaak gerefereerd aan Annex A van ISO 27001. Het Statement of Applicability (SoA) is hier het centrale document: het beschrijft welke controledoelen relevant zijn, hoe ze worden geïmplementeerd en waarom sommige controledoelen niet van toepassing zijn.

Een certificeerbare ISMS-aanpak werkt met plan-do-check-act (PDCA): plan je aanpak en risico’s, implementeer maatregelen, meet effect en verbeter structureel. ISO-auditoren zoeken daarom niet naar een perfect plaatje op dag één; ze zoeken naar een geloofwaardige keten van beslissingen en observabele feiten in je organisatie — bijvoorbeeld hoe wijzigingen worden uitgerold, hoe toegang wordt verleend en hoe incidenten worden geleerd.

In audittermen vertaalt zich dit naar steekproeven: een auditor kiest risico’s en volgt het spoor van beleid naar configuratie en registratie. Als het verschil tussen “wat staat op papier” en “wat gebeurt op vrijdagmiddag” te groot is, ontstaan major non-conformities. Juist daarom werken volwassen teams met minimale maar consistente besluitvorming: vastleggen wie mag goedkeuren, waar het ticket staat en hoe exceptions worden behandeld.

Voor wie is dit relevant?

ISO 27001-certificering is relevant voor organisaties die persoonsgegevens verwerken, kritieke diensten leveren of software verkopen aan ondernemingen die due diligence uitvoeren. Denk aan SaaS-leveranciers met SLA’s en uptime-verwachtingen, leveranciers van vitale sectoren die onder NIS2 zitten, maar ook scale-ups die enterprise-contracten willen sluiten zonder weken aan vragenlijsten te blijven doorworstelen. Tot slot helpt certificering intern: het maakt security minder afhankelijk van incidentele helden en meer van processen met eigenaars en cadans.

Voor het MKB betekent dit vaak: scherp begrenzen waar het ISMS geldt, ketenrisico’s eerlijk benoemen en maatregelen kiezen die werknemers ook volhouden — zoals logische toegangsregels, peer reviews bij deployments en heldere instructies bij thuiswerk en BYOD.

Voor grotere organisaties komt er meer nadruk op segregatie van functies, vastleggen van keteninterfaces en het voorkomen dat shadow-IT buiten het ISMS valt. Certificering kan dan ook een interne standaard worden voor hoe nieuwe business units worden onboarded naar hetzelfde ISMS — inclusief een uniforme risicotaal zodat audits niet per afdeling verschillend zijn.

Welke eisen of stappen horen erbij?

Typisch doorloop je een reeks harde mijlpalen vóór de externe certificeringsaudit. Je start met vastleggen van scope en context en het aanwijzen van een ISMS-eigenaar met mandate van het MT. Daarna voer je een gestructureerde risicoanalyse uit die past bij je organisatie (methodiek is niet voorgeschreven, maar moet verdedigbaar zijn). Op basis daarvan selecteer je maatregelen en documenteer je ze in policies, procedures en werk-instructies waar nodig — waarbij je vermijdt om “alles” te formaliseren zonder gedrag te veranderen.

Vervolgens implementeer je maatregelen in tooling en processen: identity & access, logging en monitoring, leveranciersdue diligence, incidentresponse en business continuity. Parallel daaraan plan je een interne audit door iemand die onafhankelijk is van de uitvoering en organiseer je een directiebeoordeling waarin het MT expliciet besluit over het ISMS en eventuele bijsturing. Pas wanneer deze cyclus minstens één keer concreet heeft gedraaid — met verbeteracties die ook zijn uitgevoerd — ben je kandidaat voor een certificeringsaudit bij een geaccrediteerde certificeringsinstantie.

Na certificering volgen surveillance-audits (jaarlijks of volgens vast ritme) waarin je aantoont dat het ISMS blijft werken en verbeteren. Dat betekent dat je niet alleen non-conformities uit de vorige audit sluit, maar ook dat je nieuwe risico’s — bijvoorbeeld door cloudmigraties of AI-features — weer terugziet in updates van het risicoregister en je SoA.

Veelgemaakte fouten

Veel trajecten struikelen over documentatie die niet terug te lezen is naar risico’s: mooie policies zonder koppeling aan daadwerkelijke configuraties of werkafspraken. Een tweede faalroute is scope-hopping: wel heel graag het label ISO, maar wel scope verkleinen tot een administratief randje terwijl de echte productie ergens anders draait — auditors prikken daar snel doorheen. Derde bron van vertraging is leveranciers chaos: geen actueel register van subprocessors, geen heldere exitstrategie en geen meetbare monitoring van contractuele eisen.

Een vierde patroon is “audit als project”: het team rent naar de auditdatum maar laat daarna het ritme vallen. ISO verwacht echter periodieke evaluaties en surveillance-audits; als je PDCA alleen ‘live’ is voor de auditweek, zie je dat terug in non-conformities bij de eerste surveillance.

Tot slot: ondergewaardeerd maar audit-kritisch zijn HR-processen — onboarding en uitdienst, awareness en privileged accounts. Als privileged access niet periodiek wordt herzien of als uitdienst-taken niet reproduceerbaar zijn, ontstaan major findings ook al ziet je technische baseline er goed uit.

Praktisch stappenplan

Een werkbare volgorde is: (1) bevestig businessdoelen en scope met het MT; (2) breng datastromen en leveranciers in kaart; (3) maak een risicoregister met behandelingsplannen; (4) vertaal naar Annex A-selectie en een bondige SoA; (5) implementeer prioriteit 1-maatregelen met duidelijke rollout-eigenaren; (6) start interne audit met steekproeven op echte tickets en logs; (7) laat het MT besluiten over verbeteringen en middelen; (8) plan certificeringsaudit met buffer voor correctieve acties. Werk met een evidence-map: per risico weet je welke voorbeelden je laat zien — niet een map vol PDF’s zonder verhaal.

Gebruik waar zinvol een scan om hiaten te prioriteren — vooral wanneer je traject door sales-kansen wordt aangedreven en tijd beperkt is. Zie ook de pagina’s over ISO 27001 stappenplan, ISO 27001 kosten en ISO 27001 audit voor detailroutes.

Maak je cadans zichtbaar in een eenvoudige roadmap met eigenaren per werkstroom (IAM, development, leveranciers, incidenten). Dat helpt niet alleen intern met adoptie; het laat auditors zien dat het ISMS een normaal ritme heeft en geen eenmalige opschoonactie.

Relatie met ISO 27001, NIS2, AVG of ISMS

ISO 27001 is het certificeerbare kader; je ISMS is de inhoud die het kader vult. NIS2 voegt wetgeving toe rond melden en bestuurlijke aansprakelijkheid — voor veel leveranciers is dat een extra motivatie om ISO en ketenbeheer strak te zetten. De AVG raakt waar persoonsgegevens worden verwerkt: maatregelen uit artikel 32 sluiten inhoudelijk aan op veel Annex A-thema’s, maar privacy blijft een eigen discipline met DPIA’s en rechten van betrokkenen. Lees door op NIS2 compliance, ISMS opzetten en AVG en ISO 27001 om dubbele registers te voorkomen en juist één consistent verhaal te bouwen richting auditors en klanten.

Voor een compacte route langs de belangrijkste hubs: ISMS, NIS2, auditvoorbereiding en leveranciersbeheer.

Keten en hosting zijn hier vaak de lijm: datastromen buiten de EU of kritieke SaaS-leveranciers raken zowel AVG-doorgifte als Annex A en leveranciersbeheer. Breng daarom cloudkeuzes en subprocessors expliciet onder in hetzelfde leveranciersregister dat je gebruikt voor ISO — dan hoe je auditvragen over keten maar één keer te beantwoorden.

Als je deze pagina gebruikt als intern kompas: stem titels en definities af met sales en legal voordat je policies breed uitrolt — consistent taalgebruik voorkomt dat auditors verschillende interpretaties van “scope” of “incident” tegenkomen in interviews.

Kernpunten

  • Certificering toetst het managementsysteem (PDCA), niet losse tools of een eenmalige ‘scan’.
  • Annex A helpt om maatregelen te structureren; je Statement of Applicability maakt keuzes en uitzonderingen expliciet.
  • Interne audit en directiebeoordeling zijn harde pijlers — ze tonen of je ISMS echt stuurt op risico’s en verbetering.

Veelgestelde vragen

Wat is het verschil tussen ISO 27001 en ‘een ISO-scan’?
Een scan is hooguit een momentopname. ISO 27001-certificering vraagt om een volledige PDCA-cyclus: plannen, uitvoeren, controleren en verbeteren met bewijs dat maatregelen daadwerkelijk werken in de lijn.
Hoe lang duurt een traject naar certificering?
Dat varieert sterk met scope, volwassenheid en beschikbaarheid. In de praktijk zie je vaak enkele maanden tot meer dan een jaar. Vertraging ontstaat vooral als risicoanalyse, rollen en leveranciersketen niet gelijktijdig worden aangepakt.
Is SOC 2 hetzelfde als ISO 27001?
Nee. SOC 2 levert een attestatierapport over trust services criteria bij een serviceorganisatie. ISO 27001 is een certificeerbare managementsystemnorm. Er is overlap in thema’s, maar de aanpak en het ‘bewijs’ verschillen.
Welke rol speelt Annex A concreet?
Annex A bevat een controledoelen-bibliotheek. Je selecteert wat relevant is na je risicobeoordeling en legt keuzes vast in je Statement of Applicability (SoA), inclusief rechtvaardiging van uitgesloten maatregelen.
Wanneer plan ik de externe certificeringsaudit?
Als interne audit en directiebeoordeling aantonen dat je ISMS operationeel is en minstens één volledige verbeterslus zichtbaar maakt. Start te vroeg en je betaalt voor her-audits; te laat en je mist commerciële deadlines.

Doe de ISO 27001 readiness scan

Meet waar je staat vóór je investeert in documenten of consultants.

Start de readiness scan