---

title: ISO 27001 naslagwerk description: Gedetailleerde referentie voor vereisten, controls en processen sidebar_position: 4

ISO 27001 naslagwerk

Dit naslagwerk bevat gedetailleerde informatie over ISO 27001 vereisten en implementatie. Gebruik het als opzoekgids tijdens je project.

Vereisten overzicht: Clausules 4-10

Clausule 4: Context van de organisatie

Wat je moet doen:

• Identificeer interne en externe factoren die informatiebeveiliging beïnvloeden
• Bepaal belanghebbenden en hun eisen
• Definieer ISMS scope helder en meetbaar

Praktische uitvoering:

• Bepaal welke regelgeving uit Tidal's inventaries van wet -en regelgeving welke geldt voor jouw organisatie (AVG, NEN7510, etc.)
• Inventariseer klant- en partnereisen aan de hand van Tidal's context analyse
• Documenteer welke informatie en systemen binnen scope vallen in het Scope document

Clausule 5: Leiderschap

Wat je moet doen:

• Management toont actieve betrokkenheid
• Stel informatiebeveiligingsbeleid vast
• Wijs rollen en verantwoordelijkheden toe
• Zorg voor middelen en ondersteuning

Praktische uitvoering:

• Directie ondertekent beleid en communiceert dit
• Benoem ISMS manager met mandaat
• Plan budget voor implementatie en onderhoud
• Agendeer informatiebeveiliging in managementmeetings

In Tidal: Documenteer in Tidal policies, management dashboard toont voortgang, escalaties bij onopgeloste issues.

Clausule 6: Planning

Wat je moet doen:

• Voer risicoanalyse uit
• Stel beveiligingsdoelstellingen op
• Selecteer passende maatregelen
• Maak implementatieplan

Praktische uitvoering:

• Identificeer bedreigingen voor je specifieke business
• Bepaal impact en waarschijnlijkheid per risico
• Kies controls uit Bijlage A die risico's afdekken
• Plan implementatie met deadlines en verantwoordelijken

In Tidal: Risicobeoordeling met AI, automatische control mapping, project planning tools.

Clausule 7: Ondersteuning

Wat je moet doen:

• Zorg voor competente medewerkers
• Geef security awareness training
• Documenteer procedures en beleid
• Stel communicatiekanalen in

Praktische uitvoering:

• Train ISMS team in ISO 27001 basics
• Organiseer security awareness voor alle medewerkers
• Maak werkbare procedures (max 1-2 pagina's)
• Stel incident meldingskanaal in

In Tidal: Documenteer voortgang van training, document templates, awareness campagne tools.

Clausule 8: Uitvoering

Wat je moet doen:

• Implementeer geplande maatregelen
• Voer risicobehandeling uit
• Monitor implementatie voortgang
• Documenteer uitgevoerde acties

Praktische uitvoering:

• Installeer technische maatregelen (antivirus, firewalls, etc.)
• Implementeer organisatorische procedures
• Test of maatregelen daadwerkelijk werken
• Houd bij welke risico's zijn afgedekt

In Tidal: werk aan implementatie taken, beoordeel uitgevoerde automatische testen, monitor voortgang met KPIs.

Clausule 9: Prestatie-evaluatie

Wat je moet doen:

• Monitor effectiviteit van maatregelen
• Voer interne audit uit
• Houd management review
• Meet beveiligingsindicatoren

Praktische uitvoering:

• Check maandelijks of procedures worden gevolgd
• Laat onafhankelijke partij ISMS auditeren
• Bespreek bevindingen met directie
• Track KPI's zoals aantal incidenten, trainingsdeelname

In Tidal: Automatische monitoring, audit uitvoer of beschikbaar stellen van werkprogramma en rapportage templates, management review reports.

Clausule 10: Verbetering

Wat je moet doen:

• Los afwijkingen op
• Implementeer verbeteracties
• Update procedures waar nodig
• Documenteer geleerde lessen

Praktische uitvoering:

• Analyseer oorzaken van incidenten
• Pas procedures aan op basis van nieuwe inzichten
• Communiceer wijzigingen naar team
• Plan preventieve maatregelen

In Tidal: Voer Issues op, documenteer correctieve actieplannen, en monitor voortgang van oplossen.

Controls bibliotheek: Bijlage A praktisch

Organisatorische maatregelen (5.1-5.37)

Meest belangrijke voor kleine bedrijven:

5.1 Informatiebeveiligingsbeleid

• Wat: Beleidsdocument dat richting geeft
• Praktijk: 2-3 pagina's met hoofdregels en verantwoordelijkheden

5.9 Asset inventaris

• Wat: Lijst van alle systemen, data en hardware
• Praktijk: Excel/database met eigenaren en classificatie

5.15 Toegangscontrole

• Wat: Wie mag waar bij
• Praktijk: Least privilege principe, regelmatige reviews

5.24 Incident response planning

• Wat: Plan voor als het misgaat
• Praktijk: Duidelijke escalatieprocedure met contactgegevens

Personele maatregelen (6.1-6.8)

Focus op awareness en verantwoordelijkheid:

6.3 Security awareness training

• Wat: Alle medewerkers trainen
• Praktijk: Jaarlijkse training + maandelijkse tips

6.7 Remote working

• Wat: Veilig thuiswerken regelen
• Praktijk: VPN, device management, clear desk policy

Fysieke maatregelen (7.1-7.14)

Relevant voor kantooromgevingen:

7.1 Fysieke toegangscontrole

• Wat: Beperkte toegang tot kantoor/serverruimte
• Praktijk: Badge systeem, bezoekersregistratie

7.7 Clear desk policy

• Wat: Geen gevoelige informatie op bureau laten
• Praktijk: Schermen vergrendelen, documenten opruimen

Technische maatregelen (8.1-8.34)

Essentieel voor IT-beveiliging:

8.5 Multi-factor authentication

• Wat: Extra verificatie naast wachtwoord
• Praktijk: SMS, app of hardware token voor kritieke systemen

8.7 Malware protection

• Wat: Antivirus op alle systemen
• Praktijk: Centraal beheerde antivirus, automatische updates

8.13 Information backup

• Wat: Regelmatige backups van kritieke data
• Praktijk: Automatische cloud backup, maandelijkse restore test

8.15 Event logging

• Wat: Bijhouden wie wat wanneer doet
• Praktijk: Centraal log management, security monitoring

Documentatie checklist

Verplichte documenten (13 stuks)

Document	Vereist voor	In Tidal
Organisatiecontext	Clausule 4.1	Policies section
Reikwijdte van het ISMS	Clausule 4.3	Policies section
Informatiebeveiligingsbeleid	Clausule 5.2	Policies section
Risicomanagementproces	Clausule 6.1	Policies section
Risicobehandelplan	Clausule 6.1.3	Risk module
Verklaring van Toepasselijkheid	Clausule 6.1.3	Policies section
Informatiebeveiligingsdoelstellingen	Clausule 6.2	Policies section
Intern auditplan	Clausule 9.2	Policies section
Intern auditrapport	Clausule 9.2	Documents section
Managementbeoordeling	Clausule 9.3	Documents section
Incidentenlogs	Clausule 5.24-5.28	Issues module
Corrigerende maatregelen	Clausule 10.1	Issues module
Trainingsregistratie	Clausule 7.2	Upload to task

Aanbevolen documenten (20 stuks)

Document	Vereist voor	In Tidal
Organogram	Clausule 4.1	Upload in Policies section
Register van wet- en regelgeving	Control 5.31	Policies section
Rollen en verantwoordelijkheden	Clausule 5.3	Policies section
Communicatiestructuur	Clausule 7.4	Policies section
Intern auditprogramma	Clausule 9.2.2	Policies section
Acceptabel gebruiksbeleid	Control 5.10	Policies section
Toegangscontrolebeleid	Control 5.15	Policies section
Netwerkdiagram	Control 8.20	Upload in Policies section
Veilige standaard configuratie	Bijlage Hoofdstuk 8	Policies section
Logging & monitoringbeleid	Control 8.15	Policies section
Incident response plan	Control 5.26	Policies section
Noodcontactenlijst	Control 5.24	Policies section
Change managementbeleid	Control 8.32	Policies section
Veilig softwareontwikkelingsbeleid	Control 8.25	Policies section
Bedrijfscontinuïteitsplan	Control 5.30	Policies section
Informatieclassificatiebeleid	Control 5.12	Policies section
Gegevensbewaarbeleid	Control 5.33	Policies section
Privacybeleid (AVG compliance)	Control 5.34	Policies section
Leveranciersbeveiligingsbeleid	Control 5.19	Policies section
Fysiek en omgevingsbeveiligingsbeleid	Control 7.1	Policies section

Tidal voordeel: Audit-proof templates voor alle verplichte én optionele documenten staan al voor je klaar in Tidal

Certificeringsproces: Wat auditors checken

Fase 1 Audit (Document review)

Duur: 1 dag voor kleine organisatie Focus: Documenten en procedures

Auditor checkt:

• Zijn alle verplichte documenten aanwezig?
• Zijn procedures logisch en compleet?
• Klopt de Statement of Applicability?
• Is management betrokkenheid zichtbaar?

Veel voorkomende bevindingen:

• Ontbrekend of gebrekkig versiebeheer op beleid
• Procedures die niet matchen met werkelijkheid
• Statement of Applicability verkeerd ingevuld
• Onduidelijke scope definitie

Tidal voorbereiding: Interne audit toont precies wat ontbreekt.

Fase 2 Audit (On-site assessment)

Duur: 1-2 dagen voor kleine organisatie Focus: Implementatie en effectiviteit

Auditor checkt:

• Worden procedures daadwerkelijk gevolgd?
• Zijn technische maatregelen geïmplementeerd?
• Is het team bewust van hun verantwoordelijkheden?
• Werkt de management review cyclus?

Interviews met:

• ISMS manager over dagelijkse praktijk
• IT beheerder over technische maatregelen
• Random medewerkers over awareness
• Management over commitment en review

Veel voorkomende bevindingen:

• Gap tussen geschreven procedure en praktijk
• Ontbrekende technische implementatie
• Medewerkers niet op de hoogte van procedures
• Management review te oppervlakkig

Tidal evidence: Alle bewijsstukken direct beschikbaar voor auditor.

Na de audit

Certificaat uitgifte: 2-4 weken na succesvolle audit Geldigheidsduur: 3 jaar Surveillance audits: Jaarlijks, 1 dag Hercertificering: Na 3 jaar, vergelijkbaar met initiële audit

Onderhoud na certificering

Maandelijkse taken (2-3 uur)

• Compliance dashboard checken in Tidal
• Nieuwe risico's beoordelen (wijzigingen, incidenten)
• Access reviews voor kritieke systemen
• Security metrics updaten

Kwartaaltaken (4-6 uur)

• Beleid review - zijn documenten nog actueel?
• Training planning - wie heeft opfriscursus nodig?
• Vendor assessments - nieuwe leveranciers checken
• Incident trend analyse - patronen identificeren

Jaartaken (2-3 dagen)

• Volledige risk assessment herziening
• Interne audit uitvoeren of laten uitvoeren
• Management review voorbereiden en houden
• Surveillance audit voorbereiden

Tidal ondersteuning

• Automatische reminders voor alle periodieke taken
• Compliance tracking met real-time status
• Evidence collection voor surveillance audits

Troubleshooting & FAQ

Veelgestelde vragen

"Hoeveel controls uit Bijlage A moet ik implementeren?" Er is geen minimum. Focus op controls die daadwerkelijk je geïdentificeerde risico's adresseren. Kleine organisaties implementeren typisch 70-90 controls.

"Moet elke procedure een apart document zijn?" Nee. Je kunt gerelateerde procedures combineren. Maar alhoewel het lijkt alsof het handig is om alle "ISO 27001"-beleid in één document te zetten, gaat dit op termijn leiden tot onduidelijkheid in de organisatie, gebrekkig beheer, en een handboek dat zijn relevantie verliest en dubbel werk zodra er zich andere compliance-vereisten voordoen (bijv. bij uitbreiding naar de Amerikaanse markt, of ontwikkeling van producten voor een andere doelgroep, zoals de zorg).

"Hoe specifiek moeten procedures zijn?" Specifiek genoeg dat een nieuwe medewerker de procedure kan volgen, maar niet zo gedetailleerd dat updates constant nodig zijn. Focus op 'wat' en 'wanneer', minder op 'hoe'.

"Kunnen we controls outsourcen?" Ja, maar je blijft verantwoordelijk. Documenteer welke leverancier welke control levert en monitor hun effectiviteit.

Veelvoorkomende problemen

"Surveillance audit vindt gap die er vorig jaar niet was"

• Oorzaak: Procedures niet geüpdatet na wijzigingen
• Oplossing: Implementeer change management proces
• Preventie: Maandelijkse compliance checks in Tidal

"Team volgt procedures niet"

• Oorzaak: Procedures te complex of niet praktisch
• Oplossing: Vereenvoudig procedures, train team opnieuw
• Preventie: Test procedures met eindgebruikers voor finalisatie

"Technische controls werken niet zoals bedoeld"

• Oorzaak: Configuratie errors, gebrek aan monitoring
• Oplossing: Technical review, implementeer monitoring
• Preventie: Automatische compliance checks in Tidal

Kom je er nog niet uit?

Stuur een e-mail naar support@tidalcontrol.com, en wij nemen zo snel mogelijk contact op.