ISO 27001

Je ISO 27001 traject plannen

title: Je ISO 27001 traject plannen description: Concrete planning, tijdlijnen en rollen voor je ISO 27001 implementatie sidebar_position: 2

Je ISO 27001 traject plannen

Je hebt besloten dat ISO 27001 certificering waardevol is voor je organisatie. Dit artikel geeft je een concrete roadmap van start tot certificaat.

Het traject in 6 fasen

Fase 1: Voorbereiding (Week 1-2)

Wat ga je doen:

  • Scope en doelstellingen bepalen
  • Project team samenstellen
  • Tidal platform inrichten
  • Stakeholder communicatie

Hoe Tidal helpt:

  • Getting Started leidt je door eerste setup
  • Team uitnodigingen nodig je project team alvast uit
  • Project dashboard voor voortgang tracking

Deliverables:

  • Projectplan met tijdlijn
  • ISMS scope document
  • Tidal account en integraties opgezet

Tijd investering:

  • Kleine onderneming (10-49 FTE): 8-10 uur projectleider, 2-3 uur management
  • Middelgrote onderneming (50-249 FTE): 12-16 uur projectleider, 4-6 uur management

Fase 2: Je ISMS opzetten (Week 3-5)

Wat ga je doen:

  • Organisatiecontext en stakeholder analyse
  • Risico inventarisatie en beoordeling
  • Asset mapping en informatietypering
  • Gap analyse tegen ISO 27001

Hoe Tidal helpt:

  • Risicobeoordeling met voorgedefinieerde scenario's voor IT risico's
  • 100+ Tests door integraties met cloud providers (Microsoft, Google, AWS)
  • Automatische gap analyse tegen ISO 27001 Bijlage A
  • Risk heat maps en prioritering dashboards

Deliverables:

  • Risicobeoordeling rapport
  • Asset inventaris met classificaties
  • Gap analysis met actielijst
  • Verklaring van Toepasselijkheid (VvT)

Tijd investering:

  • Kleine onderneming: 12-16 uur projectleider, 4-6 uur stakeholders
  • Middelgrote onderneming: 20-24 uur projectleider, 8-12 uur stakeholders

Fase 3: Implementatie (Week 6-10)

Wat ga je doen:

  • Controls selecteren en implementeren
  • Beleid en procedures opstellen
  • Technische maatregelen configureren
  • Training en awareness programma
  • Externe ISO auditor benaderen en inplannen

Hoe Tidal helpt:

  • 93 voorgedefinieerde controls uit ISO 27001 Bijlage A
  • 30+ policy templates aangepast aan Nederlandse wetgeving
  • Automatische compliance tests voor cloud omgevingen
  • Taken uitzetten en monitoren waar er nog handmatige activiteiten nodig zijn
  • Offertes uitzetten bij ISO-auditors

Deliverables:

  • Geïmplementeerde controls met evidence
  • Beleidsdocumenten goedgekeurd
  • Getrainde medewerkers
  • Ingeplande certificeringsaudit

Tijd investering:

  • Kleine onderneming: 16-20 uur projectleider, 8-10 uur team
  • Middelgrote onderneming: 24-32 uur projectleider, 16-20 uur team

Fase 4: Monitoren en meten (Week 11-12)

Wat ga je doen:

  • Control implementatie reviewen
  • Interne audit uitvoeren
  • Management review houden
  • Action items uit audit oppakken

Hoe Tidal helpt:

  • Automated monitoring van technische controls
  • Internal audit checklist met bewijsstukken
  • Management review templates en dashboards
  • Corrective actions met actieplan en deadlines

Deliverables:

  • Internal audit rapport
  • Management review minutes
  • Corrective action plan (indien nodig)

Tijd investering:

  • Kleine onderneming: 8-12 uur projectleider, 4-6 uur auditors/management
  • Middelgrote onderneming: 12-16 uur projectleider, 6-8 uur auditors/management

Fase 5: Certificering (Week 13-14)

Wat ga je doen:

  • Fase 1 audit (documentatie review)
  • Fase 2 audit (on-site assessment)
  • Non-conformiteiten oplossen (indien nodig)
  • Certificaat uitgifte: Binnen 2-4 weken na audit

Hoe Tidal helpt:

  • Real-time evidence access tijdens audit
  • Non-conformity tracking en oplossing workflow
  • Operationele planning voor blijvend monitoren van maatregelen

Deliverables:

  • ISO 27001 certificaat
  • Audit rapport met bevindingen
  • Surveillance audit ingepland (na uitgifte certificaat)

Tijd investering:

  • Kleine onderneming: 4-6 uur projectleider + auditdagen
  • Middelgrote onderneming: 6-8 uur projectleider + auditdagen
Tip

Totale projectduur:

  • Kleine onderneming: 10-14 weken
  • Middelgrote onderneming: 16-18 weken

Versnellende factoren: Ervaring met compliance, dedicated projectleider, management commitment Vertragende factoren: Complexe IT-landschap, meerdere locaties, beperkte beschikbaarheid team

Team samenstellen

Rollen en verantwoordelijkheden

ISMS Manager / Projectleider (verplicht)

  • Wie: Compliance manager, IT manager, of operations manager
  • Tijdinvestering: 6-8 uur per week
  • Verantwoordelijkheden:
    • Dagelijkse projectcoördinatie
    • Stakeholder communicatie
    • Tidal platform beheer
    • Voortgang monitoring

Management Sponsor (verplicht)

  • Wie: CEO, CTO, of senior manager
  • Tijdinvestering: 1-2 uur per week, 4 uur voor management review
  • Verantwoordelijkheden:
    • Budget approval en escalaties
    • Beleid goedkeuring
    • Management review voorzitterschap

Implementation Team (2-4 personen)

  • Wie: IT, HR, Operations, Legal (afhankelijk van scope)
  • Tijdinvestering: 0-4 uur per week per persoon (afhankelijk van scope)
  • Verantwoordelijkheden:
    • Control implementatie in hun domein
    • Risk assessment input
    • Policy review en feedback

Interne Auditor (kan extern)

  • Wie: Onafhankelijk van implementatie team
  • Tijdinvestering: 1-2 dagen voor audit
  • Verantwoordelijkheden:
    • Interne audit planning en uitvoering
    • Non-conformiteiten identificeren
    • Rapportage en bespreking met management
Info

Kleine organisatie: Eén persoon kan meerdere rollen combineren, maar de interne auditor moet altijd onafhankelijk zijn.

Skills vereisten

Must have:

  • Projectmanagement - Plannen, coördineren, communiceren
  • Organisatie kennis - Begrijpen van processen, systemen, stakeholders
  • Leerbereidheid - ISO 27001 is te leren tijdens het project

Nice to have:

  • Compliance ervaring - ISO 27001, AVG, NEN7510, of andere standaarden
  • IT security kennis - Begrijpen van technische maatregelen
  • Audit ervaring - Weten hoe auditors denken

Tidal compenseert:

  • ISO 27001 expertise - Ingebouwde best practices
  • Control bibliotheek - Voorgedefinieerde maatregelen
  • Project templates - Bewezen implementatie aanpak

Veelgestelde planningsvragen

"Kunnen we het traject versnellen?"

Ja, maar niet alles:

  • Versnelbaar: Control implementatie, documentatie, team training
  • Niet versnelbaar: Interne audit (moet na implementatie), management review cyclus, externe audit scheduling

Snelste realistische tijdlijn: 10-12 weken voor kleine onderneming met:

  • Dedicated projectleider (part-time beschikbaar)
  • Management direct beschikbaar voor beslissingen
  • Ervaring met compliance projecten
  • Tidal expert ondersteuning

"Wat als we onderweg scope moeten wijzigen?"

Binnen het project:

  • Kleine wijzigingen (assets toevoegen/verwijderen) meestal mogelijk
  • Grote wijzigingen (nieuwe locaties, business units) kosten 2-4 weken extra
  • Tidal flexibiliteit maakt scope aanpassingen technisch eenvoudig

Na certificering:

  • Scope wijzigingen vereisen extra audit dagen
  • Better to err on completeness tijdens scope bepaling

"Hoe weten we of we on track zijn?"

Tidal progress indicators:

  • Completion percentage per fase en overall
  • Risk coverage - percentage risks met adequate controls
  • Document approval status
  • Team engagement - taken voortgang

Key milestones checklist:

  • Week 2: Tidal in gebruik genomen en 'getting started' afgerond
  • Week 5: Risicobeoordeling 100% compleet
  • Week 8: Alle noodzakelijke controls geïmplementeerd
  • Week 11: Interne audit zonder grote bevindingen
  • Week 13: Uitvoer van management review

Klaar om de volgende stap te zetten?

Meest effectieve start:

  1. Setup Tidal account en nodig team uit
  2. Plan stakeholder interviews voor volgende week
  3. Blokkeer tijd in agenda voor komende 3 maanden
  4. Communiceer project naar organisatie
Tip

Project momentum: Start binnen 2 weken na beslissing. Hoe langer je wacht, hoe meer andere prioriteiten tussenkomen.

Volgende
Veelvoorkomende valkuilen vermijden