Je ISO 27001 traject plannenBeeldbron: Bing image creator
Gids
ISO 27001
9 min read

Je ISO 27001 traject plannen

Je hebt besloten dat ISO 27001 certificering waardevol is voor je organisatie. Dit artikel geeft je een concrete roadmap van start tot certificaat.

Het traject in 6 fasen

Fase 1: Voorbereiding (Week 1-2)

Wat ga je doen:

  • ☐ Scope en doelstellingen bepalen
  • ☐ Project team samenstellen
  • ☐ Tidal platform inrichten
  • ☐ Stakeholder communicatie

Hoe Tidal helpt:

  • Getting Started leidt je door eerste setup
  • Team uitnodigingen nodig je project team alvast uit
  • Project dashboard voor voortgang tracking

Deliverables:

  • Projectplan met tijdlijn
  • ISMS scope document
  • Tidal account en integraties opgezet

Tijd investering:

  • Kleine onderneming (10-49 FTE): 8-10 uur projectleider, 2-3 uur management
  • Middelgrote onderneming (50-249 FTE): 12-16 uur projectleider, 4-6 uur management

Fase 2: Je ISMS opzetten (Week 3-5)

Wat ga je doen:

  • Organisatiecontext en stakeholder analyse
  • Risico inventarisatie en beoordeling
  • Asset mapping en informatietypering
  • Gap analyse tegen ISO 27001

Hoe Tidal helpt:

  • Risicobeoordeling met voorgedefinieerde scenario's voor IT risico's
  • 100+ Tests door integraties met cloud providers (Microsoft, Google, AWS)
  • Automatische gap analyse tegen ISO 27001 Bijlage A
  • Risk heat maps en prioritering dashboards

Deliverables:

  • Risicobeoordeling rapport
  • Asset inventaris met classificaties
  • Gap analysis met actielijst
  • Verklaring van Toepasselijkheid (VvT)

Tijd investering:

  • Kleine onderneming: 12-16 uur projectleider, 4-6 uur stakeholders
  • Middelgrote onderneming: 20-24 uur projectleider, 8-12 uur stakeholders

Fase 3: Implementatie (Week 6-10)

Wat ga je doen:

  • Controls selecteren en implementeren
  • Beleid en procedures opstellen
  • Technische maatregelen configureren
  • Training en awareness programma
  • Externe ISO auditor benaderen en inplannen

Hoe Tidal helpt:

  • 93 voorgedefinieerde controls uit ISO 27001 Bijlage A
  • 30+ policy templates aangepast aan Nederlandse wetgeving
  • Automatische compliance tests voor cloud omgevingen
  • Taken uitzetten en monitoren waar er nog handmatige activiteiten nodig zijn
  • Offertes uitzetten bij ISO-auditors

Deliverables:

  • Geïmplementeerde controls met evidence
  • Beleidsdocumenten goedgekeurd
  • Getrainde medewerkers
  • Ingeplande certificeringsaudit

Tijd investering:

  • Kleine onderneming: 16-20 uur projectleider, 8-10 uur team
  • Middelgrote onderneming: 24-32 uur projectleider, 16-20 uur team

Fase 4: Monitoren en meten (Week 11-12)

Wat ga je doen:

  • Control implementatie reviewen
  • Interne audit uitvoeren
  • Management review houden
  • Action items uit audit oppakken

Hoe Tidal helpt:

  • Automated monitoring van technische controls
  • Internal audit checklist met bewijsstukken
  • Management review templates en dashboards
  • Corrective actions met actieplan en deadlines

Deliverables:

  • Internal audit rapport
  • Management review minutes
  • Corrective action plan (indien nodig)

Tijd investering:

  • Kleine onderneming: 8-12 uur projectleider, 4-6 uur auditors/management
  • Middelgrote onderneming: 12-16 uur projectleider, 6-8 uur auditors/management

Fase 5: Certificering (Week 13-14)

Wat ga je doen:

  • Fase 1 audit (documentatie review)
  • Fase 2 audit (on-site assessment)
  • Non-conformiteiten oplossen (indien nodig)
  • Certificaat uitgifte: Binnen 2-4 weken na audit

Hoe Tidal helpt:

  • Real-time evidence access tijdens audit
  • Non-conformity tracking en oplossing workflow
  • Operationele planning voor blijvend monitoren van maatregelen

Deliverables:

  • ISO 27001 certificaat
  • Audit rapport met bevindingen
  • Surveillance audit ingepland (na uitgifte certificaat)

Tijd investering:

  • Kleine onderneming: 4-6 uur projectleider + auditdagen
  • Middelgrote onderneming: 6-8 uur projectleider + auditdagen
Tip

Totale projectduur:

  • Kleine onderneming: 10-14 weken
  • Middelgrote onderneming: 16-18 weken

Versnellende factoren: Ervaring met compliance, dedicated projectleider, management commitment Vertragende factoren: Complexe IT-landschap, meerdere locaties, beperkte beschikbaarheid team

Team samenstellen

Rollen en verantwoordelijkheden

ISMS Manager / Projectleider (verplicht)

  • Wie: Compliance manager, IT manager, of operations manager
  • Tijdinvestering: 6-8 uur per week
  • Verantwoordelijkheden:
    • Dagelijkse projectcoördinatie
    • Stakeholder communicatie
    • Tidal platform beheer
    • Voortgang monitoring

Management Sponsor (verplicht)

  • Wie: CEO, CTO, of senior manager
  • Tijdinvestering: 1-2 uur per week, 4 uur voor management review
  • Verantwoordelijkheden:
    • Budget approval en escalaties
    • Beleid goedkeuring
    • Management review voorzitterschap

Implementation Team (2-4 personen)

  • Wie: IT, HR, Operations, Legal (afhankelijk van scope)
  • Tijdinvestering: 0-4 uur per week per persoon (afhankelijk van scope)
  • Verantwoordelijkheden:
    • Control implementatie in hun domein
    • Risk assessment input
    • Policy review en feedback

Interne Auditor (kan extern)

  • Wie: Onafhankelijk van implementatie team
  • Tijdinvestering: 1-2 dagen voor audit
  • Verantwoordelijkheden:
    • Interne audit planning en uitvoering
    • Non-conformiteiten identificeren
    • Rapportage en bespreking met management
Info

Kleine organisatie: Eén persoon kan meerdere rollen combineren, maar de interne auditor moet altijd onafhankelijk zijn.

Skills vereisten

Must have:

  • Projectmanagement - Plannen, coördineren, communiceren
  • Organisatie kennis - Begrijpen van processen, systemen, stakeholders
  • Leerbereidheid - ISO 27001 is te leren tijdens het project

Nice to have:

  • Compliance ervaring - ISO 27001, AVG, NEN7510, of andere standaarden
  • IT security kennis - Begrijpen van technische maatregelen
  • Audit ervaring - Weten hoe auditors denken

Tidal compenseert:

  • ISO 27001 expertise - Ingebouwde best practices
  • Control bibliotheek - Voorgedefinieerde maatregelen
  • Project templates - Bewezen implementatie aanpak

Veelgestelde planningsvragen

"Kunnen we het traject versnellen?"

Ja, maar niet alles:

  • Versnelbaar: Control implementatie, documentatie, team training
  • Niet versnelbaar: Interne audit (moet na implementatie), management review cyclus, externe audit scheduling

Snelste realistische tijdlijn: 10-12 weken voor kleine onderneming met:

  • Dedicated projectleider (part-time beschikbaar)
  • Management direct beschikbaar voor beslissingen
  • Ervaring met compliance projecten
  • Tidal expert ondersteuning

"Wat als we onderweg scope moeten wijzigen?"

Binnen het project:

  • Kleine wijzigingen (assets toevoegen/verwijderen) meestal mogelijk
  • Grote wijzigingen (nieuwe locaties, business units) kosten 2-4 weken extra
  • Tidal flexibiliteit maakt scope aanpassingen technisch eenvoudig

Na certificering:

  • Scope wijzigingen vereisen extra audit dagen
  • Better to err on completeness tijdens scope bepaling

"Hoe weten we of we on track zijn?"

Tidal progress indicators:

  • Completion percentage per fase en overall
  • Risk coverage - percentage risks met adequate controls
  • Document approval status
  • Team engagement - taken voortgang

Key milestones checklist:

  • Week 2: Tidal in gebruik genomen en 'getting started' afgerond
  • Week 5: Risicobeoordeling 100% compleet
  • Week 8: Alle noodzakelijke controls geïmplementeerd
  • Week 11: Interne audit zonder grote bevindingen
  • Week 13: Uitvoer van management review

Klaar om de volgende stap te zetten?

Meest effectieve start:

  1. Setup Tidal account en nodig team uit
  2. Plan stakeholder interviews voor volgende week
  3. Blokkeer tijd in agenda voor komende 3 maanden
  4. Communiceer project naar organisatie
Tip

Project momentum: Start binnen 2 weken na beslissing. Hoe langer je wacht, hoe meer andere prioriteiten tussenkomen.