Je ISO 27001 traject plannen: van start tot certificaat

Waarom planning cruciaal is voor ISO 27001 succes

De meeste organisaties die vastlopen in hun ISO 27001 traject, doen dat niet door gebrek aan kennis of budget. Ze lopen vast door gebrek aan planning. Zonder duidelijke mijlpalen weet niemand waar ze staan. Zonder duidelijke tijdsinvestering gaat compliance altijd verliezen van "dringender" zaken. En zonder dedicated verantwoordelijken blijft de bal op de grond liggen.

Een goed plan voorkomt drie klassieke valkuilen. Ten eerste voorkomt het scope creep—het steeds meer dingen willen certificeren dan oorspronkelijk bedoeld. Ten tweede voorkomt het planning paralysis—eindeloos blijven analyseren zonder echt te beginnen. En ten derde voorkomt het last-minute stress—drie weken voor de audit ontdekken dat cruciale zaken niet op orde zijn.

De beste ISO 27001 trajecten die we zien, kenmerken zich door drie dingen: een dedicated projectleider die zes tot acht uur per week beschikbaar is, management dat snel beslissingen neemt in plaats van weken te wikken en wegen, en een realistische planning van twaalf tot achttien weken in plaats van de illusie dat het in zes weken kan.

Het traject in zes concrete fasen

Fase 1: Voorbereiding legt het fundament (week 1-2)

De eerste twee weken bepalen of de rest van je traject soepel verloopt of constant hapert. In deze fase bepaal je je scope—wat certificeer je precies, en wat blijft bewust buiten scope. Je stelt je projectteam samen en maakt duidelijk wie waarvoor verantwoordelijk is. Je richt het Tidal platform in en koppelt de eerste systemen zoals je cloud omgeving en identity provider. En cruciaal: je communiceert naar de organisatie wat er gaat gebeuren en waarom.

Voor een organisatie van tien tot vijftig mensen betekent dit ongeveer acht tot tien uur werk voor de projectleider, en twee tot drie uur voor management om scope en budget goed te keuren. Voor organisaties van vijftig tot tweehonderd mensen komt daar wat meer tijd bij—twaalf tot zestien uur projectleider, vier tot zes uur management—vooral omdat meer stakeholders input moeten geven op scope.

Aan het eind van deze fase heb je een projectplan met realistische tijdlijn, een scope document dat beschrijft wat wel en niet gecertificeerd wordt, en een werkend Tidal account met je eerste integraties. Als je dit goed doet, heb je momentum en kan fase twee direct beginnen. Doe je dit slordig, dan begin je elke volgende fase met onduidelijkheid over wat er precies moet gebeuren.

Fase 2: Je ISMS opzetten creëert inzicht (week 3-5)

Week drie tot vijf gaan over begrijpen waar je staat. Je voert een risico-inventarisatie uit: welke informatie moet je beschermen, wat zijn de bedreigingen, en hoe waarschijnlijk en impactvol zijn deze? Je maakt een asset mapping: welke systemen, data en processen zijn kritiek voor je organisatie? En je doet een gap analyse: wat moet er volgens ISO 27001, en wat heb je al versus wat ontbreekt nog?

Tidal helpt enorm in deze fase door de risicobeoordeling te structureren met voorgedefinieerde scenario's voor gangbare IT-risico's. In plaats van vanaf nul nadenken over alle mogelijke bedreigingen, krijg je een startpunt dat je aanpast aan jouw situatie. De automatische tests die via integraties draaien op je Microsoft, Google of AWS omgeving geven direct inzicht in je huidige security posture. En de gap analyse tegen ISO 27001 Annex A laat precies zien welke maatregelen je nog moet implementeren.

Voor kleinere organisaties betekent deze fase twaalf tot zestien uur werk voor de projectleider, en vier tot zes uur voor stakeholders die input geven over risico's en assets in hun domein. Voor middelgrote organisaties zijn dat twintig tot vierentwintig uur projectleider en acht tot twaalf uur stakeholders, omdat er meer systemen en processen te inventariseren zijn.

Het resultaat is een risicobeoordeling rapport dat laat zien welke risico's je hebt geïdentificeerd en hoe je ermee omgaat, een asset inventaris met classificaties die aangeven welke informatie het meest kritiek is, een gap analysis met concrete actielijst van wat je moet implementeren, en een Verklaring van Toepasselijkheid die uitlegt welke Annex A maatregelen je wel en niet implementeert en waarom.

Fase 3: Implementatie brengt je naar compliance (week 6-10)

Week zes tot tien zijn de zwaarste van het traject. Dit is waar je daadwerkelijk maatregelen implementeert, beleid schrijft, technische configuraties aanpast, en mensen traint. Het voelt vaak alsof je nooit klaar bent, maar met goede planning en de juiste tools is het absoluut haalbaar.

Je selecteert en implementeert maatregelen op basis van je risicobeoordeling. Je schrijft beleid en procedures—of beter gezegd, je past templates aan voor jouw organisatie. Je configureert technische maatregelen zoals multi-factor authenticatie, toegangscontroles, en logging. Je rolt een training en awareness programma uit zodat je team weet wat er van hen verwacht wordt. En tegen het einde van deze fase benader je externe ISO auditors en plan je de certificeringsaudit in.

Het Tidal platform scheelt enorm veel tijd in deze fase. De drieënnegentig voorgedefinieerde maatregelen uit ISO 27001 Annex A geven je een compleet overzicht van wat je moet implementeren. De dertig-plus policy templates aangepast aan Nederlandse wetgeving betekenen dat je niet vanaf nul hoeft te schrijven. De automatische compliance tests voor cloud omgevingen checken continu of je configuraties voldoen. En het kunnen uitzetten en monitoren van taken zorgt dat handmatige activiteiten niet vergeten worden.

Voor kleine organisaties vraagt deze fase zestien tot twintig uur van de projectleider en acht tot tien uur van het bredere team dat maatregelen implementeert. Voor middelgrote organisaties zijn dat vierentwintig tot tweeëndertig uur projectleider en zestien tot twintig uur team. Het verschil zit vooral in het aantal systemen dat geconfigureerd moet worden en het aantal mensen dat getraind moet worden.

Als je dit goed doet, voel je tegen het einde van week tien dat je organisatie echt veiliger is geworden, niet alleen compliant op papier. Je hebt geïmplementeerde maatregelen met bewijs dat ze werken, goedgekeurde beleidsdocumenten, getrainde medewerkers die weten wat hun verantwoordelijkheden zijn, en een ingeplande certificeringsaudit.

Fase 4: Monitoren en meten bewijst dat het werkt (week 11-12)

Week elf en twaalf gaan over valideren dat wat je hebt geïmplementeerd ook echt werkt zoals bedoeld. Je reviewt je maatregel-implementatie kritisch. Je voert een interne audit uit—of laat dit doen door iemand onafhankelijk van het implementatieteam. Je houdt een management review waarin het bestuur de voortgang bespreekt en beslissingen neemt. En je pakt action items op die uit de audit komen.

Tidal's automated monitoring van technische maatregelen betekent dat je niet handmatig hoeft te checken of backups nog steeds draaien of toegangsrechten nog kloppen. De internal audit checklist met bewijsstukken maakt het eenvoudig om systematisch door alle vereisten te lopen. De management review templates en dashboards geven management direct inzicht in status en risico's. En het corrective actions systeem zorgt dat verbeterpunten niet vergeten worden.

Deze fase vraagt acht tot twaalf uur van de projectleider en vier tot zes uur van auditors en management voor kleinere organisaties. Voor middelgrote organisaties zijn dat twaalf tot zestien uur projectleider en zes tot acht uur auditors en management. De tijd verschilt vooral in hoe lang de interne audit duurt—meer systemen en processen betekent meer tijd nodig om alles te reviewen.

Het resultaat is een internal audit rapport dat objectief beoordeelt of je voldoet aan ISO 27001, management review minutes die laten zien dat het bestuur betrokken is, en corrective action plans voor zaken die nog verbeterd moeten worden voor de certificeringsaudit.

Fase 5: Certificering is de finale validatie (week 13-14)

Week dertien en veertien zijn het moment waar alles naartoe werkt: de externe audit. Deze bestaat uit twee delen. Fase 1 is een documentatie review waarbij de auditor checkt of je alle vereiste documenten hebt en deze van voldoende kwaliteit zijn. Fase 2 is een on-site assessment waarbij de auditor interviews voert, systemen checkt, en valideert dat de praktijk overeenkomt met wat je gedocumenteerd hebt.

Als er non-conformiteiten gevonden worden—zaken die niet voldoen—moet je deze oplossen voordat het certificaat uitgegeven kan worden. Kleine bevindingen kun je meestal binnen een week fixen. Grotere non-conformiteiten kunnen extra weken of zelfs maanden kosten. Binnen twee tot vier weken na een succesvolle audit ontvang je je ISO 27001 certificaat.

Tidal helpt door real-time evidence access tijdens de audit—de auditor kan direct zien dat je maatregelen werken zonder dat jij screenshots hoeft te maken. De non-conformity tracking en oplossing workflow zorgt dat je systematisch alle bevindingen oppakt. En de operationele planning helpt je om na certificering continu te blijven monitoren.

Voor de projectleider betekent deze fase vier tot zes uur werk voor een kleine organisatie en zes tot acht uur voor een middelgrote organisatie, plus de dagen dat de auditor on-site is. Die auditdagen variëren—meestal één tot twee dagen voor kleinere organisaties, twee tot drie dagen voor middelgrote.

Het eindresultaat: een ISO 27001 certificaat dat drie jaar geldig is, een audit rapport met eventuele verbeteringen voor de toekomst, en een ingeplande surveillance audit die jaarlijks checkt of je het niveau vasthoudt.

Wie heb je nodig in je team

Een succesvol ISO 27001 traject staat of valt met de juiste mensen in de juiste rollen. Je hebt niet twintig mensen nodig, maar de mensen die je hebt moeten wel dedicated tijd beschikbaar hebben.

De ISMS Manager of projectleider is verplicht en de spil van het project. Dit is vaak een compliance manager, IT manager, of operations manager die zes tot acht uur per week investeert. Deze persoon coördineert dagelijks het project, communiceert met stakeholders, beheert het Tidal platform, en monitort voortgang. Zonder deze dedicated verantwoordelijke loopt het project vast.

De Management Sponsor is ook verplicht—meestal de CEO, CTO, of een senior manager. Deze persoon investeert minder tijd—één tot twee uur per week en vier uur voor de management review—maar hun rol is cruciaal. Ze keuren budget goed, nemen escalaties aan, keuren beleid goed, en zitten de management review voor. Zonder management commitment krijg je geen prioriteit en geen budget voor wat nodig is.

Het Implementation Team bestaat uit twee tot vier personen uit IT, HR, Operations, en eventueel Legal, afhankelijk van je scope. Zij investeren nul tot vier uur per week per persoon, afhankelijk van hoeveel maatregelen in hun domein vallen. Ze implementeren maatregelen, geven input voor de risk assessment, en reviewen policies voor hun gebied.

De Interne Auditor kan intern of extern zijn, maar moet altijd onafhankelijk zijn van het implementatieteam. Deze persoon investeert één tot twee dagen voor de audit. Ze plannen de interne audit, voeren deze uit, identificeren non-conformiteiten, en rapporteren aan management. Voor kleine organisaties kan één persoon meerdere rollen combineren, behalve de interne auditor—die moet echt onafhankelijk blijven.

Wat moet je team kunnen? Projectmanagement is essentieel—plannen, coördineren, communiceren. Organisatiekennis is cruciaal—begrijpen van processen, systemen, stakeholders. En leerbereidheid is belangrijk—ISO 27001 is te leren tijdens het project, je hoeft geen expert te zijn om te beginnen.

Nice to have maar niet essentieel: compliance ervaring met ISO 27001, AVG, of andere standaarden helpt, maar is niet nodig. IT security kennis helpt bij het begrijpen van technische maatregelen, maar Tidal helpt met implementatie-instructies. Audit ervaring helpt om te weten hoe auditors denken, maar de templates leiden je door het proces.

Realistische tijdlijnen en wat ze beïnvloedt

De totale projectduur voor een kleine organisatie van tien tot vijftig mensen is twaalf tot veertien weken. Voor middelgrote organisaties van vijftig tot tweehonderdvijftig mensen is dat zestien tot tweeëntwintig weken. Dit zijn realistische tijdlijnen voor organisaties die het serieus aanpakken met dedicated resources.

Wat versnelt het traject? Ervaring met compliance projecten helpt enorm—als je eerder AVG of andere standaarden hebt geïmplementeerd, herken je patronen. Een dedicated projectleider die part-time beschikbaar is, kan blokkades snel oplossen. Management dat direct beslissingen neemt in plaats van alles een week te laten liggen, voorkomt wachttijden. En Tidal expert ondersteuning kan je helpen om shortcuts te vinden en valkuilen te vermijden.

Wat vertraagt het traject? Een complexe IT-landschap met tientallen legacy systemen en external dependencies kost meer tijd om te inventariseren en beveiligen. Meerdere locaties of business units vereisen meer coördinatie en documentatie. Beperkte beschikbaarheid van het team—als iedereen maar één uur per week heeft—betekent dat alles langer duurt. En gebrek aan management commitment zorgt dat beslissingen uitgesteld worden en prioriteit ontbreekt.

Hoe blijf je on track tijdens het traject

De vraag die we het meest horen: "hoe weten we of we on track zijn?" Tidal geeft je meerdere indicators. De completion percentage per fase en overall laat direct zien hoeveel je hebt afgerond. Risk coverage toont het percentage risico's met adequate maatregelen—je wilt dit boven de negentig procent zien. Document approval status laat zien welke beleidsdocumenten nog goedgekeurd moeten worden. En team engagement via taken voortgang laat zien of iedereen zijn deel doet.

Daarnaast zijn er key milestones die je moet halen. In week twee moet je Tidal in gebruik hebben genomen en de getting started afgerond hebben. In week vijf moet je risicobeoordeling honderd procent compleet zijn. In week acht moeten alle noodzakelijke maatregelen geïmplementeerd zijn. In week elf moet je interne audit geen grote bevindingen opleveren. En in week dertien moet je management review uitgevoerd zijn.

Als je deze milestones haalt, zit je op schema. Mis je een milestone met een week? Geen paniek, maar wel tijd om te analyseren waarom en bij te sturen. Mis je meerdere milestones met meerdere weken? Dan moet je ofwel meer resources inzetten, ofwel je planning aanpassen en de audit verzetten.

Veelgemaakte planningsvragen

"Kunnen we het traject versnellen?" wordt vaak gevraagd. Het antwoord: ja, maar niet alles. Maatregel-implementatie kun je versnellen door extra mensen in te zetten. Documentatie kun je versnellen met templates en parallelliseren. Team training kun je versnellen door intensieve sessies in plaats van gespreid over weken.

Maar sommige dingen zijn niet te versnellen. De interne audit moet ná implementatie, niet ervoor—je kunt niet auditeren wat er nog niet is. De management review cyclus moet tijd krijgen—management moet kunnen reflecteren op wat er is. En externe audit scheduling heeft leadtime—auditors plannen weken tot maanden vooruit.

"Wat als we onderweg scope moeten wijzigen?" is een terechte zorg. Kleine wijzigingen zoals assets toevoegen of verwijderen zijn meestal goed te doen binnen het project. Tidal maakt scope aanpassingen technisch eenvoudig. Grote wijzigingen zoals nieuwe locaties of business units kosten twee tot vier weken extra en vereisen mogelijk herplanning van de audit.

Na certificering zijn scope wijzigingen ook mogelijk maar vereisen deze extra audit dagen. Het is beter om tijdens scope bepaling completer te zijn dan later uit te moeten breiden—dat kost meer tijd en geld.

De volgende stap: van plan naar actie

Je hebt nu een roadmap van start tot certificaat. De meest effectieve manier om te beginnen: setup je Tidal account deze week en nodig je team uit. Plan stakeholder interviews voor volgende week—niet volgende maand. Blokkeer tijd in je agenda voor de komende drie maanden—anders verdwijnt het onder "dringender" zaken. En communiceer het project naar de organisatie—transparantie creëert support.

Een cruciaal inzicht: project momentum. Start binnen twee weken na de beslissing om voor ISO 27001 te gaan. Hoe langer je wacht, hoe meer andere prioriteiten tussenkomen en hoe groter de kans dat het project uitgesteld wordt. De beste tijd om te beginnen was gisteren. De op één na beste tijd is nu.

Als je wilt weten hoe Tidal je kan helpen om je ISO 27001 traject in twaalf tot veertien weken af te ronden in plaats van de traditionele zes tot negen maanden, neem dan contact op voor een demo. We laten je zien hoe andere startups en scale-ups hun certificeringstijd hebben gehalveerd en wat dat concreet betekent voor jouw planning.