ISO/IEC 27001 is de internationale norm voor informatiebeveiliging en beschrijft hoe organisaties een Information Security Management System (ISMS) opzetten, implementeren, onderhouden en continu verbeteren. De meest recente versie, ISO 27001:2022, bevat 93 beveiligingscontrols (maatregelen) verdeeld over 4 thematische categorieën en 10 managementclausules. Wereldwijd beschikken meer dan 70.000 organisaties over een geldig ISO 27001-certificaat.
De norm is van toepassing op elke organisatie, ongeacht omvang, sector of type — van kleine mkb-bedrijven tot multinationals en overheidsinstanties. ISO 27001 geeft een gestructureerd raamwerk om informatie te beveiligen op basis van een gedegen risicoanalyse: niet elk risico hoeft volledig te worden weggenomen, maar elk risico moet bewust worden afgewogen en aangepakt of geaccepteerd.
De gemiddelde implementatietijd voor een ISMS bedraagt 6 tot 12 maanden, afhankelijk van de omvang en volwassenheid van de organisatie. Certificering vindt plaats via een geaccrediteerde certificerende instelling (CI) die een stage 1-audit (documentatie) en een stage 2-audit (implementatie) uitvoert.
Sleutelfeiten ISO 27001:2022
- 93 controls in Annex A (was 114 in de 2013-versie)
- 4 control-categorieën: Organisatorisch (37), Mensen (8), Fysiek (14), Technologisch (34)
- 10 managementclausules (clausules 4 t/m 10 zijn normvereisten)
- 11 nieuwe controls geïntroduceerd in de 2022-versie
- Gemiddelde implementatietijd: 6–12 maanden
- Certificaatduur: 3 jaar, met jaarlijkse surveillance-audits
- Verplicht document: Verklaring van Toepasselijkheid (VvT / SoA)
Fundamenten van ISO 27001
Voordat je begint met implementeren is het essentieel de basisconcepten goed te begrijpen. Onderstaande artikelen leggen de fundering.
Clausules 4 t/m 10 — De managementvereisten
De clausules 4 tot en met 10 vormen de kern van de norm en bevatten de concrete eisen waaraan iedere gecertificeerde organisatie moet voldoen.
Annex A — De 93 Beveiligingscontrols
Annex A bevat alle 93 controls die een organisatie kan inzetten om informatiebeveiligingsrisico’s te beheersen. In de Verklaring van Toepasselijkheid (VvT) geef je per control aan of deze van toepassing is en, zo ja, hoe deze is geïmplementeerd.
Implementatie van ISO 27001
Een succesvolle ISMS-implementatie vraagt om een gestructureerde aanpak. Deze artikelen begeleiden je stap voor stap door het hele traject.
Certificering
Het certificeringsproces bestaat uit twee auditfasen en duurt gemiddeld 3 tot 6 maanden na afronding van de implementatie.
ISO 27001 vs. andere normen en frameworks
Veelgestelde vragen over ISO 27001
Wat is het verschil tussen ISO 27001:2013 en ISO 27001:2022?
ISO 27001:2022 is de meest recente versie van de norm, uitgebracht in oktober 2022. De belangrijkste wijziging zit in Annex A: het aantal controls daalde van 114 naar 93, terwijl er 11 volledig nieuwe controls werden toegevoegd. Daarnaast zijn de controls ingedeeld in 4 thematische categorieën (organisatorisch, mensen, fysiek, technologisch) in plaats van de 14 domeinen uit 2013. De managementclausules (4 t/m 10) zijn inhoudelijk vrijwel gelijk gebleven, maar bevatten lichte tekstuele verfijningen. Organisaties met een certificaat op basis van ISO 27001:2013 hadden tot oktober 2025 de tijd om over te stappen naar de 2022-versie.
Hoe lang duurt het om ISO 27001 te implementeren?
De gemiddelde implementatietijd voor ISO 27001 bedraagt 6 tot 12 maanden. Kleinere organisaties (minder dan 50 medewerkers) met een beperkte IT-omgeving kunnen dit in 4 tot 6 maanden realiseren. Middelgrote tot grote organisaties met complexe systemen en processen rekenen doorgaans op 9 tot 18 maanden. De doorlooptijd wordt sterk bepaald door de volwassenheid van de bestaande beveiligingsmaatregelen, de beschikbaarheid van interne capaciteit en de mate van ondersteuning door het management.
Moet ik alle 93 controls uit Annex A implementeren?
Nee. ISO 27001 vereist niet dat je alle 93 controls implementeert, maar wel dat je voor elke control een bewuste keuze maakt en die verantwoordt in de Verklaring van Toepasselijkheid (VvT). Als een control niet van toepassing is op jouw organisatie of toepassingsgebied, mag je die uitsluiten — mits je de reden voor uitsluiting documenteert. De selectie van controls moet altijd voortvloeien uit de risicoanalyse: elke geïdentificeerd risico vraagt om een of meer controls als beheersingsmaatregel.
Wat kost ISO 27001-certificering?
De kosten van ISO 27001-certificering variëren sterk per organisatie. De certificeringsaudit zelf (stage 1 + stage 2) kost voor een kleine organisatie (10–50 medewerkers) doorgaans tussen de €4.000 en €8.000 exclusief btw. Voor middelgrote organisaties (50–250 medewerkers) loopt dit op naar €8.000–€20.000. Daar bovenop komen de interne implementatiekosten: uren van medewerkers, eventuele software (zoals het Online ISO-platform), externe begeleiding en trainingen. De totale investering voor een eerste certificering ligt voor de meeste mkb-organisaties tussen de €15.000 en €50.000.
Wat is de Verklaring van Toepasselijkheid (VvT)?
De Verklaring van Toepasselijkheid (VvT), in het Engels de Statement of Applicability (SoA), is een verplicht document binnen ISO 27001. Het bevat voor alle 93 controls uit Annex A een opgave van: (1) of de control van toepassing is, (2) de reden voor inclusie of uitsluiting, (3) de implementatiestatus, en (4) de betreffende risicobehandeling of referentie naar beleid/procedures. De VvT is een van de eerste documenten die een auditor opvraagt en vormt de schakel tussen de risicoanalyse en de daadwerkelijke implementatie van beveiligingsmaatregelen.
Aan de slag met ISO 27001
Het Online ISO-platform begeleidt je stap voor stap door het volledige ISO 27001-traject: van de nulmeting en risicoanalyse tot de Verklaring van Toepasselijkheid en de auditvoorbereiding. Alle vereiste documenten, sjablonen en checklists zijn ingebouwd.
Bekijk het ISO 27001-pakket van Online ISO →
