Beeldbron: Bing image creatorISO 27001 naslagwerk: Compleet overzicht van vereisten en implementatie
Dit naslagwerk bevat gedetailleerde informatie over ISO 27001 vereisten en praktische implementatie. Gebruik het als opzoekgids tijdens je project—als je wilt weten wat een specifieke clausule vereist, welke documenten verplicht zijn, of hoe het certificeringsproces verloopt, vind je het hier.
Hoe je dit naslagwerk gebruikt
Dit artikel is anders gestructureerd dan onze andere blogs. Waar die focussen op strategie en aanpak, geeft dit naslagwerk je concrete details over ISO 27001 vereisten. Je hoeft het niet van begin tot eind te lezen—spring direct naar de sectie die je nodig hebt.
De structuur volgt hoe ISO 27001 is opgebouwd: eerst de managementvereisten (clausules 4-10), dan de praktische maatregelen (Annex A controls), gevolgd door welke documentatie je nodig hebt, en ten slotte wat auditors precies checken. Elk deel bevat niet alleen wat de norm zegt, maar ook hoe je het praktisch invult en hoe Tidal je helpt.
Vereisten overzicht: Clausules 4-10 in detail
ISO 27001 bestaat uit tien clausules waarvan de eerste drie algemeen zijn (scope, definities, context) en clausules 4-10 de daadwerkelijke vereisten bevatten. Hieronder vind je per clausule wat je moet doen, hoe je het praktisch invult, en waar Tidal je ondersteunt.
Clausule 4: Context van de organisatie
Deze clausule vereist dat je begrijpt in welke omgeving je opereert. Wat zijn interne en externe factoren die informatiebeveiliging beïnvloeden? Denk aan regelgeving die op je van toepassing is (AVG, NEN7510, sectorspecifieke eisen), maar ook aan technologische trends, concurrentie, of organisatorische veranderingen zoals groei of fusies.
Je moet ook belanghebbenden identificeren en hun eisen bepalen. Wie heeft belang bij je informatiebeveiliging? Klanten die eisen stellen in hun contracten, partners die willen weten dat hun data veilig is, toezichthouders die compliance checken, en natuurlijk je eigen management en medewerkers.
Cruciale voor certificering is een helder en meetbaar gedefinieerde ISMS scope. Wat certificeer je precies? Welke systemen, processen, locaties en mensen vallen binnen scope? Deze definitie bepaalt de rest van je implementatie en auditomvang.
Praktisch invullen:
- Bepaal welke regelgeving geldt voor jouw organisatie uit Tidal's inventaris van wet- en regelgeving
- Inventariseer klant- en partnereisen aan de hand van Tidal's context analyse
- Documenteer welke informatie en systemen binnen scope vallen in het scope document
Tidal ondersteuning: De context analyse leidt je systematisch door deze vragen. Het resultaat is een gedocumenteerde organisatiecontext die input is voor je volgende stappen en die auditors kunnen reviewen.
Clausule 5: Leiderschap
Deze clausule gaat over management commitment—niet alleen budget geven maar echt betrokken zijn. Management moet een informatiebeveiligingsbeleid vaststellen dat richting geeft aan de organisatie. Ze moeten rollen en verantwoordelijkheden toewijzen zodat duidelijk is wie wat doet. En ze moeten zorgen voor middelen en ondersteuning—zowel budget als tijd.
Praktisch invullen:
- Directie ondertekent het beleid en communiceert dit naar de organisatie
- Benoem een ISMS manager met mandaat om beslissingen te nemen
- Plan budget voor implementatie en doorlopend onderhoud
- Agendeer informatiebeveiliging als vast agendapunt in managementmeetings
Tidal ondersteuning: Documenteer beleid in de policies sectie. Het management dashboard toont voortgang en escaleert issues die aandacht nodig hebben.
Clausule 6: Planning
Planning draait om risico's begrijpen en aanpakken. Je voert een risicoanalyse uit: welke bedreigingen bestaan, hoe waarschijnlijk zijn ze, wat is de impact? Op basis daarvan stel je beveiligingsdoelstellingen op—wat wil je bereiken? Je selecteert passende maatregelen uit Annex A die je risico's afdekken. En je maakt een implementatieplan met deadlines en verantwoordelijken.
Praktisch invullen:
- Identificeer bedreigingen specifiek voor jouw business
- Bepaal impact en waarschijnlijkheid per risico
- Kies controls uit Annex A die deze risico's mitigeren
- Plan implementatie met concrete deadlines en namen
Tidal ondersteuning: De risicobeoordeling wordt gestructureerd met AI-ondersteuning. Automatische control mapping laat zien welke maatregelen bij welke risico's horen. Project planning tools helpen je de implementatie te organiseren.
Clausule 7: Ondersteuning
Ondersteuning gaat over de resources die je ISMS nodig heeft. Zorg voor competente medewerkers—mensen moeten weten wat ze doen. Geef security awareness training aan iedereen, niet alleen IT. Documenteer procedures en beleid op een manier die werkbaar is. En stel communicatiekanalen in zodat mensen weten hoe ze incidenten melden of vragen stellen.
Praktisch invullen:
- Train je ISMS team in ISO 27001 basics
- Organiseer jaarlijkse security awareness voor alle medewerkers
- Maak werkbare procedures van maximaal één tot twee pagina's
- Stel een incident meldingskanaal in (e-mail, form, of tool)
Tidal ondersteuning: Documenteer trainingsvoortgang, gebruik document templates voor beleid, en zet awareness campagnes op met ingebouwde tools.
Clausule 8: Uitvoering
Hier wordt het concreet: implementeer de geplande maatregelen daadwerkelijk. Voer je risicobehandeling uit zoals gepland. Monitor hoe de implementatie vordert. En documenteer wat je hebt gedaan zodat je later kunt aantonen dat maatregelen zijn uitgevoerd.
Praktisch invullen:
- Installeer technische maatregelen zoals antivirus, firewalls, MFA
- Implementeer organisatorische procedures zoals toegangsbeheer en incidentafhandeling
- Test of maatregelen daadwerkelijk werken zoals bedoeld
- Houd bij welke risico's zijn afgedekt door welke maatregelen
Tidal ondersteuning: Werk aan implementatietaken in het platform. Beoordeel de uitkomsten van automatische tests. Monitor voortgang met KPI's die laten zien hoeveel je hebt afgerond.
Clausule 9: Prestatie-evaluatie
Evaluatie betekent checken of wat je hebt gedaan ook werkt. Monitor de effectiviteit van maatregelen—doen ze wat ze moeten doen? Voer een interne audit uit waarbij een onafhankelijke partij checkt of je voldoet. Houd een management review waarin de directie bespreekt hoe het ISMS functioneert. En meet beveiligingsindicatoren zoals aantal incidenten of trainingsdeelname.
Praktisch invullen:
- Check maandelijks of procedures daadwerkelijk worden gevolgd
- Laat een onafhankelijke partij (intern of extern) je ISMS auditeren
- Bespreek bevindingen met de directie in een formele management review
- Track KPI's zoals aantal security incidenten, trainingsdeelname, time-to-resolve
Tidal ondersteuning: Automatische monitoring laat zien of technische maatregelen werken. Audit templates ondersteunen de uitvoering. Management review reports vatten de status samen voor de directie.
Clausule 10: Verbetering
De laatste clausule gaat over leren en verbeteren. Los afwijkingen op die je vindt tijdens monitoring of audits. Implementeer verbeteracties die voortkomen uit incidenten of bevindingen. Update procedures waar nodig op basis van nieuwe inzichten. En documenteer geleerde lessen zodat je niet dezelfde fouten blijft maken.
Praktisch invullen:
- Analyseer de oorzaken van incidenten, niet alleen de symptomen
- Pas procedures aan op basis van wat je leert in de praktijk
- Communiceer wijzigingen duidelijk naar het team
- Plan preventieve maatregelen voor problemen die je ziet aankomen
Tidal ondersteuning: Voer issues op in het systeem. Documenteer correctieve actieplannen met deadlines en verantwoordelijken. Monitor voortgang van oplossen tot het issue gesloten kan worden.
Controls bibliotheek: Annex A praktisch toegelicht
ISO 27001 Annex A bevat 93 maatregelen verdeeld over vier hoofdgroepen: organisatorisch, personeel, fysiek, en technisch. Je hoeft niet alle 93 te implementeren—in de praktijk zul je tussen de 60 en 93 controls uitkomen. Hieronder vind je de meest voorkomende en belangrijke controls per categorie.
Organisatorische maatregelen (5.1-5.37)
Deze categorie is de grootste en bevat alle organisatorische aspecten van informatiebeveiliging. Van beleid tot leveranciersbeheer, van asset management tot incident response. Voor kleine bedrijven zijn dit de meest essentiële:
5.1 Informatiebeveiligingsbeleid is het fundament. Dit beleidsdocument geeft richting aan je hele ISMS. Praktisch betekent dit een document van twee tot drie pagina's met de hoofdregels en wie waarvoor verantwoordelijk is. Niet een boekwerk van vijftig pagina's, maar een leesbaar document dat management kan goedkeuren en medewerkers kunnen begrijpen.
5.9 Asset inventaris vereist dat je weet welke assets je hebt en wie verantwoordelijk is. Praktisch is dit een lijst (Excel, database, of in Tidal) van alle systemen, data en hardware met wie de eigenaar is en hoe kritiek het asset is geclassificeerd.
5.15 Toegangscontrole gaat over wie waar bij mag. Het least privilege principe: mensen krijgen alleen toegang tot wat ze nodig hebben voor hun werk, niet meer. Praktisch betekent dit regelmatige access reviews waarbij je checkt of mensen nog steeds de juiste rechten hebben.
5.24 Incident response planning is je plan voor als het misgaat. Praktisch betekent dit een duidelijke escalatieprocedure met actuele contactgegevens. Wie bel je bij een security incident? Wat zijn de eerste stappen? Hoe communiceer je intern en extern?
Personele maatregelen (6.1-6.8)
Deze categorie focust op mensen en hun gedrag. De meeste security incidenten hebben een menselijke component, dus awareness en verantwoordelijkheid zijn cruciaal.
6.3 Security awareness training vereist dat alle medewerkers getraind worden. Praktisch betekent dit een jaarlijkse training voor iedereen plus regelmatige reminders. Maandelijkse security tips, phishing simulaties, of korte updates over actuele bedreigingen houden security top-of-mind.
6.7 Remote working is actueler dan ooit. Veilig thuiswerken regelen betekent praktisch: Device management zodat je weet welke apparaten toegang hebben, een clear desk policy zodat gevoelige informatie niet zichtbaar is tijdens videocalls, en een dedicated VPN of SSL verbinding voor toegang tot kritieke bedrijfssystemen.
Fysieke maatregelen (7.1-7.14)
Fysieke beveiliging wordt in kleine, virtuele organisaties steeds vaker uitgescoped, maar blijft relevant. Er zijn namelijk nog steeds veel kantooromgevingen die toegang bieden tot gevoelige informatie via bijvoorbeeld een archiefkast op zolder, digitale schermen aan de muur, of niet goed beveiligde NAS systemen onder het bureau.
7.1 Fysieke toegangscontrole betekent beperkte toegang tot kantoor en zeker tot ruimtes waar gevoelige informatie wordt bewaard. Praktisch: een badge systeem voor medewerkers, bezoekersregistratie, en gescheiden zones voor publieke en beveiligde ruimtes.
7.7 Clear desk policy vereist dat geen gevoelige informatie op bureaus blijft liggen. Praktisch: schermen automatisch vergrendelen na inactiviteit, documenten opruimen aan het eind van de dag, vertrouwelijke documenten in afgesloten kasten.
Technische maatregelen (8.1-8.34)
De technische categorie bevat alle IT-security maatregelen. Deze zijn vaak het meest concreet en testbaar.
8.5 Beveiligde authenticatie voegt de vereiste toe om kritieke toegang extra te beveiligen naast wachtwoorden. Praktisch: SMS, authenticator app, of hardware token voor alle kritieke systemen. Begin met admin accounts en systemen met klantdata, breid daarna uit.
8.7 Malware protection Denk aan centraal beheerde antivirus met automatische updates. Je wilt één console waarin je ziet of alle devices beschermd zijn en of er bedreigingen zijn gedetecteerd.
8.13 Information backup vereist regelmatige backups van kritieke data. Praktisch: automatische cloud backup dagelijks, en minstens maandelijks een (automatische) restore test om te checken of backups daadwerkelijk werken. Backups die je nooit test zijn geen backups.
8.15 Event logging betekent bijhouden wie wat wanneer doet in je systemen. Praktisch: centraal log management waar alle belangrijke events naartoe gaan, en security monitoring die afwijkend gedrag detecteert. Dit helpt bij incident response en forensisch onderzoek.
Documentatie checklist: wat je echt nodig hebt
ISO 27001 vereist bepaalde documentatie, maar de norm schrijft niet exact voor hoe die documentatie eruit moet zien. Vaak is het dan wel weer verplicht om maatregelen en procedures te documenteren die vaker en door meerdere mensen op een consistente manier uitgevoerd moeten kunnen te worden. Hieronder de verplichte documenten die een auditor wil zien, plus aanbevolen documenten die het je leven makkelijker maken.
Verplichte documenten (13 stuks)
Deze 13 documenten zijn expliciet vereist door ISO 27001. Zonder deze documenten kun je niet gecertificeerd worden.
| Document | Vereist voor | In Tidal |
|---|---|---|
| Organisatiecontext | Clausule 4.1 | Policies section |
| Reikwijdte van het ISMS | Clausule 4.3 | Policies section |
| Informatiebeveiligingsbeleid | Clausule 5.2 | Policies section |
| Risicomanagementproces | Clausule 6.1 | Policies section |
| Risicobehandelplan | Clausule 6.1.3 | Risk module |
| Verklaring van Toepasselijkheid | Clausule 6.1.3 | Policies section |
| Informatiebeveiligingsdoelstellingen | Clausule 6.2 | Policies section |
| Intern auditplan | Clausule 9.2 | Documents section |
| Intern auditrapport | Clausule 9.2 | Documents section |
| Managementbeoordeling | Clausule 9.3 | Documents section |
| Incidentenlogs | Clausule 5.24-5.28 | Issues module |
| Corrigerende maatregelen | Clausule 10.1 | Issues module |
| Trainingsregistratie | Clausule 7.2 | Upload to task |
Aanbevolen documenten (20 stuks)
Deze documenten zijn niet expliciet verplicht maar maken implementatie veel eenvoudiger en zijn vaak nodig om aan specifieke Annex A controls te voldoen.
| Document | Helpt bij | In Tidal |
|---|---|---|
| Organogram | Clausule 4.1 | Upload in Documents section |
| Register van wet- en regelgeving | Control 5.31 | Policies section |
| Rollen en verantwoordelijkheden | Clausule 5.3 | Policies section |
| Communicatiestructuur | Clausule 7.4 | Policies section |
| Intern auditprogramma | Clausule 9.2.2 | Policies section |
| Acceptabel gebruiksbeleid | Control 5.10 | Policies section |
| Toegangscontrolebeleid | Control 5.15 | Policies section |
| Netwerkdiagram | Control 8.20 | Upload in Documents section |
| Veilige standaard configuratie | Annex A Hoofdstuk 8 | Policies section |
| Logging & monitoringbeleid | Control 8.15 | Policies section |
| Incident response plan | Control 5.26 | Policies section |
| Noodcontactenlijst | Control 5.24 | Documents section |
| Change managementbeleid | Control 8.32 | Policies section |
| Veilig softwareontwikkelingsbeleid | Control 8.25 | Policies section |
| Bedrijfscontinuïteitsplan | Control 5.30 | Policies section |
| Informatieclassificatiebeleid | Control 5.12 | Policies section |
| Gegevensbewaarbeleid | Control 5.33 | Policies section |
| Privacybeleid (AVG compliance) | Control 5.34 | Policies section |
| Leveranciersbeveiligingsbeleid | Control 5.19 | Policies section |
| Fysiek en omgevingsbeveiligingsbeleid | Control 7.1 | Policies section |
Het Tidal voordeel is dat audit-proof templates voor alle verplichte én optionele documenten al voor je klaarstaan. Je hoeft niet vanaf nul te beginnen maar past bestaande, bewezen templates aan voor jouw situatie.
Certificeringsproces: wat auditors precies checken
Het certificeringsproces bestaat uit twee fases. Fase 1 is een documentreview, Fase 2 is een review van alle maatregelen incl. Annex A. Hieronder wat auditors in elke fase checken en welke bevindingen vaak voorkomen.
Fase 1 Audit: documentreview
Deze fase duurt ongeveer één dag voor een kleine organisatie en focust op documenten en procedures. De auditor checkt of je alle verplichte documenten hebt, of procedures logisch en compleet zijn, of je Statement of Applicability klopt, en of management betrokkenheid zichtbaar is in de documentatie.
Veel voorkomende bevindingen in Fase 1:
- Ontbrekend of gebrekkig versiebeheer op beleidsdocumenten
- Procedures die niet matchen met de werkelijkheid zoals beschreven
- Statement of Applicability verkeerd ingevuld (controls niet correct aangevinkt)
- Onduidelijke scope definitie die verschillende interpretaties toelaat
Tidal voorbereiding: de interne audit functie toont precies wat ontbreekt of wat verbeterd moet worden voordat de externe audit begint.
Fase 2 Audit: volledige assessment
Deze fase duurt twee dagen voor een kleine organisatie en focust op implementatie en effectiviteit. De auditor checkt of procedures daadwerkelijk worden gevolgd, of technische maatregelen zijn geïmplementeerd, of het team bewust is van hun verantwoordelijkheden, en of de management review cyclus echt werkt.
De auditor voert interviews met verschillende mensen:
- ISMS manager over de dagelijkse praktijk
- IT beheerder over technische maatregelen en configuraties
- Random medewerkers over security awareness
- Management over commitment en de management review
Veel voorkomende bevindingen in Fase 2:
- Gap tussen geschreven procedure en wat er echt gebeurt
- Ontbrekende technische implementatie die wel gedocumenteerd is
- Medewerkers niet op de hoogte van procedures die voor hen relevant zijn
- Management review te oppervlakkig zonder echte besluitvorming
Tidal evidence: alle bewijsstukken zijn direct beschikbaar voor de auditor. Geen zoeken naar screenshots of documenten, alles is gestructureerd en toegankelijk.
Na de audit
Het certificaat wordt 2 tot 4 weken na een succesvolle audit uitgegeven. De geldigheidsduur is drie jaar. Surveillance audits vinden jaarlijks plaats en duren ongeveer één dag—ze checken of je het niveau vasthoudt. Hercertificering na drie jaar is vergelijkbaar met de initiële audit.
Onderhoud na certificering: het ritme aanhouden
Certificering is niet het eindpunt maar het begin van doorlopend onderhoud. Hieronder welke taken je wanneer moet doen om compliant te blijven.
Maandelijkse taken (2-3 uur)
- Check het compliance dashboard in Tidal voor afwijkingen
- Beoordeel nieuwe risico's die zijn ontstaan door wijzigingen of incidenten
- Voer access reviews uit voor kritieke systemen
- Update security metrics voor management rapportage
Kwartaaltaken (4-6 uur)
- Review beleidsdocumenten—zijn ze nog actueel of moet er iets aangepast?
- Plan training—wie heeft opfriscursus nodig, zijn er nieuwe medewerkers?
- Voer vendor assessments uit voor nieuwe leveranciers
- Analyseer incident trends—zie je patronen die aandacht nodig hebben?
Jaartaken (2-3 dagen)
- Voer een volledige risk assessment herziening uit
- Voer de interne audit uit of laat deze uitvoeren
- Bereid de management review voor en houd deze met de directie
- Bereid de surveillance audit voor
Tidal ondersteuning betekent dat je 60% minder tijd nodig hebt voor deze onderhoudsactiviteiten vergeleken met handmatige systemen. Automatische reminders zorgen dat je niets vergeet, compliance tracking geeft real-time status, en evidence collection voor surveillance audits gebeurt automatisch.
Veelgestelde vragen
"Hoeveel controls uit Annex A moet ik implementeren?" Er is geen minimum aantal. Focus op controls die daadwerkelijk je geïdentificeerde risico's adresseren. Kleine organisaties implementeren gemiddeld 70 tot 80 controls. Grote, complexe organisaties kunnen alle 93 implementeren, maar dat is zelden nodig.
"Moet elke procedure een apart document zijn?" Nee, je kunt gerelateerde procedures combineren. Maar alhoewel het lijkt alsof het handig is om alle "ISO 27001"-beleid in één groot document te zetten, leidt dit op termijn tot problemen. Je krijgt onduidelijkheid in de organisatie, gebrekkig beheer omdat niemand een document van vijftig pagina's gaat lezen, en dubbel werk zodra er andere compliance-vereisten bijkomen.
"Hoe specifiek moeten procedures zijn?" Specifiek genoeg dat een nieuwe medewerker de procedure kan volgen, maar niet zo gedetailleerd dat updates constant nodig zijn bij kleine veranderingen. Focus op 'wat' en 'wanneer', minder op 'hoe'. Geef richting, niet voorschriften voor elke mogelijke situatie.
"Kunnen we controls outsourcen?" Ja, je kunt bepaalde maatregelen laten uitvoeren door leveranciers. Maar je blijft verantwoordelijk voor de effectiviteit. Documenteer welke leverancier welke control levert en monitor hun prestaties. Een ISO 27001 certificaat van je leverancier helpt, maar ontslaat je niet van je eigen verantwoordelijkheid.
Waar je dit naslagwerk voor gebruikt
Dit document is bedoeld als opzoekbron, niet als leesboek. Bookmark het en kom terug wanneer je specifieke vragen hebt over ISO 27001 vereisten. Als je meer strategische guidance wilt over hoe je ISO 27001 aanpakt, bekijk dan onze andere artikelen over planning, valkuilen vermijden, en praktische implementatietips.
Wil je zien hoe Tidal je helpt met alle vereisten die in dit naslagwerk staan? Neem contact op voor een demo waarin we laten zien hoe het platform de implementatie structureert en versnelt.