📚 ISO Kennisbank / ISO 27001 Clausule 5: Leiderschap en Betrokkenheid

ISO 27001 Clausule 5: Leiderschap en Betrokkenheid

🔒 ISO 27001 ⏱ 9 min lezen 📅 3 juni 2026

Clausule 5 van ISO 27001 eist aantoonbaar leiderschap van het topmanagement: zij moeten het informatiebeveiligingsbeleid vaststellen, rollen toewijzen en de integratie van informatiebeveiliging in de bedrijfsprocessen actief stimuleren.

Wat zegt clausule 5?

Clausule 5 van ISO 27001:2022 gaat over leiderschap en betrokkenheid van het topmanagement. Informatiebeveiliging is geen IT-probleem — het is een managementvraagstuk. Clausule 5 zorgt ervoor dat de top van de organisatie eigenaarschap neemt, richting geeft via beleid en zorgt voor de juiste rollen en verantwoordelijkheden. Zonder actief leiderschap blijft een ISMS een papieren tijger.

5.1 — Leiderschap en betrokkenheid

Sub-clausule 5.1 verplicht het topmanagement om aantoonbare betrokkenheid te tonen bij het ISMS. Dit is meer dan een handtekening zetten onder een beleidsdocument. De norm noemt specifieke verplichtingen: het ISMS-beleid en de doelstellingen vaststellen die aansluiten op de strategische richting van de organisatie, de integratie van ISMS-eisen in bedrijfsprocessen waarborgen, voldoende middelen beschikbaar stellen, het belang van effectief ISMS-management communiceren, en de voortdurende verbetering van het ISMS bevorderen.

Topmanagement kan taken delegeren, maar de verantwoordelijkheid blijft bij hen liggen. Een auditor zal altijd willen zien dat het management daadwerkelijk betrokken is — niet slechts op papier.

5.2 — Beleid

Sub-clausule 5.2 verplicht het topmanagement een informatiebeveiligingsbeleid op te stellen dat: passend is voor de organisatie, informatiebeveiligingsdoelstellingen bevat of een kader biedt om die te bepalen, een commitment bevat voor het voldoen aan toepasselijke eisen en voor voortdurende verbetering. Het beleid moet als gedocumenteerde informatie beschikbaar zijn, intern worden gecommuniceerd én beschikbaar zijn voor relevante externe belanghebbenden.

5.3 — Organisatorische rollen, verantwoordelijkheden en bevoegdheden

Sub-clausule 5.3 verplicht het topmanagement om rollen te definiëren en toe te wijzen voor informatiebeveiliging. Minimaal moet zijn vastgelegd wie verantwoordelijk is voor het borgen dat het ISMS voldoet aan de eisen van de norm, en wie rapporteert aan het topmanagement over de prestaties van het ISMS. In grotere organisaties zijn dit meestal formele functies; in kleinere organisaties worden deze taken gecombineerd.

Wat betekent leiderschap in de praktijk?

De ISO 27001-norm is bewust vaag over hoe leiderschap er concreet uitziet, maar auditors kijken naar aantoonbaar gedrag. Wat moet een directeur of bestuurder daadwerkelijk doen?

Concrete gedragingen van topmanagement

  • Deelnemen aan de jaarlijkse managementreview (clausule 9.3). Dit is een formele vergadering waarbij de directie de prestaties van het ISMS beoordeelt. Aanwezigheid en besluitvorming worden gedocumenteerd in notulen — een auditor controleert dit altijd.
  • Het informatiebeveiligingsbeleid persoonlijk ondertekenen en periodiek herzien (minimaal jaarlijks).
  • Budget toekennen voor beveiligingsmaatregelen, training en audits. De norm eist dat voldoende middelen beschikbaar worden gesteld (clausule 7.1).
  • Informatiebeveiliging agenderen in reguliere management- en directievergaderingen, niet alleen in aparte IT-overleggen.
  • Zichtbaar voorbeeldgedrag tonen: ook de directeur gebruikt sterke wachtwoorden, volgt de phishingtest en neemt deel aan bewustwordingstraining.

Wat als de directeur weinig IT-kennis heeft?

ISO 27001 vereist geen technische kennis van de directeur. Wat vereist is, is bestuurlijk eigenaarschap: begrip van de risico’s die informatiebeveiliging voor de organisatie inhoudt, bereidheid om beslissingen te nemen over risicobehandeling en het beschikbaar stellen van middelen. Een CISO of Security Officer kan de technische invulling op zich nemen, maar de directeur blijft eindverantwoordelijk.

Het informatiebeveiligingsbeleid schrijven

Het informatiebeveiligingsbeleid is het centrale document van clausule 5. Het is geen technisch document — het is een strategisch document dat de koers bepaalt. Een goed beleid bevat de volgende elementen:

  • Reikwijdte: op welke organisatieonderdelen en processen is het beleid van toepassing (verwijzing naar de scope uit clausule 4.3).
  • Doelstellingen van informatiebeveiliging: op hoog niveau, zoals “bescherming van klantdata”, “naleving van de AVG” en “continuïteit van kritieke processen”.
  • Commitment van het management: een expliciete verklaring dat het management informatiebeveiliging serieus neemt en de nodige middelen beschikbaar stelt.
  • Commitment aan verbetering: de organisatie streeft naar voortdurende verbetering van het ISMS.
  • Commitment aan naleving: de organisatie voldoet aan toepasselijke wet- en regelgeving en contractuele verplichtingen.
  • Verwijzingen naar onderliggende beleidsdocumenten: zoals een wachtwoordbeleid, clean-desk beleid, incidentresponsebeleid, enzovoort.
  • Eigenaar en versie: wie heeft het beleid opgesteld, wie heeft het goedgekeurd, wanneer wordt het herzien.

Het beleid hoeft niet meer dan 2 tot 3 pagina’s te zijn. Beknoptheid is een kwaliteit — een beleidsdocument van 30 pagina’s wordt door niemand gelezen.

Rollen en verantwoordelijkheden

ISO 27001 schrijft geen specifieke functietitels voor, maar in de praktijk zijn er een aantal veelvoorkomende rollen:

Chief Information Security Officer (CISO)

In grotere organisaties (doorgaans 200+ medewerkers of met hoge data-gevoeligheid) is een fulltime CISO gangbaar. De CISO is verantwoordelijk voor de strategische aansturing van informatiebeveiliging, rapporteert aan de directie en is het aanspreekpunt voor auditors en toezichthouders. Een CISO hoeft geen IT-achtergrond te hebben — een juridische of risicomanagementachtergrond is minstens zo waardevol.

Security Officer / ISMS-coördinator

Voor kleinere organisaties (tot 200 medewerkers) volstaat vaak een deeltijdse Security Officer of ISMS-coördinator. Dit kan een bestaande medewerker zijn met een aanvullende taak, mits er voldoende tijd (minimaal 0,2 fte) en mandaat voor wordt vrijgemaakt.

Informatie-eigenaren (information owners)

Per informatiesysteem of gegevenscategorie wordt een informatie-eigenaar aangewezen: de manager die verantwoordelijk is voor de classificatie, toegangsrechten en beveiliging van die informatie. Dit is een operationele rol die belegdheid geeft in de lijn.

ISMS-stuurgroep

In grotere organisaties wordt soms een ISMS-stuurgroep ingesteld, bestaande uit vertegenwoordigers van IT, juridische zaken, HR en operations. Deze groep bewaakt de voortgang van het ISMS en adviseert de directie.

Veelgemaakte fouten bij clausule 5

  • Informatiebeveiligingsbeleid dat al jaren niet is herzien. Een beleid uit 2019 dat nog steeds geldig is verklaard, maar nooit is aangepast aan NIS2, thuiswerken of cloudmigratie, is een direct auditbevinding. Het beleid moet minimaal jaarlijks worden beoordeeld.
  • Management dat alleen op papier betrokken is. Als het managementreview-verslag één A4tje is zonder besluiten, of als de directeur niet bij de review aanwezig was, erkent de auditor dit als onvoldoende leiderschap. Betrokkenheid moet aantoonbaar zijn via notulen, e-mails en besluitenlijsten.
  • Rollen zonder mandaat of tijd. Een Security Officer aanwijzen is goed, maar als diezelfde persoon ook fulltime systeembeheerder, receptionist en helpdesk-medewerker is, heeft de rol geen waarde. ISO 27001 eist dat mensen de benodigde tijd en bevoegdheden krijgen om hun ISMS-taken uit te voeren.
  • Beleid niet intern communiceren. De norm eist dat het beleid wordt gecommuniceerd aan alle medewerkers. Een document dat in een SharePoint-map staat waar niemand van weet voldoet niet. Bewijs van communicatie — een e-mail, een intranetbericht, een training — is vereist.
  • Informatiebeveiliging als IT-verantwoordelijkheid positioneren. Als het ISMS volledig bij de IT-afdeling ligt en het management zegt “dat is een IT-ding”, is er een fundamenteel probleem. Clausule 5 maakt duidelijk dat informatiebeveiliging een managementverantwoordelijkheid is waarbij IT slechts één van de betrokken partijen is.

Hoe pak je clausule 5 aan?

  • Stap 1 — Directiesessie plannen. Bespreek met de directie wat ISO 27001 van hen vraagt. Maak duidelijk dat leiderschap niet optioneel is — het is een certificeringsvereiste. Bespreek de businesscase: wat kost een datalek, wat levert certificering op?
  • Stap 2 — Rollen vaststellen en documenteren. Maak een RACI-matrix voor informatiebeveiliging. Wijs minimaal een ISMS-coördinator aan en zorg dat de directie formeel de eindverantwoordelijkheid accepteert. Leg dit vast in een functieprofiel of taakomschrijving.
  • Stap 3 — Informatiebeveiligingsbeleid opstellen. Schrijf een beknopt (2-3 pagina’s) beleidsdocument op basis van de bovenstaande elementen. Laat dit reviewen door een jurist (voor de wettelijke eisen) en goedkeuren door de directie met handtekening en datum.
  • Stap 4 — Beleid communiceren. Stuur het beleid naar alle medewerkers, plaats het op het intranet en neem het op in het onboardingprogramma voor nieuwe medewerkers. Leg vast dat dit is gedaan (e-mail met leesbevestiging, intranetstatistieken).
  • Stap 5 — Managementreview inplannen. Agendeer de jaarlijkse managementreview direct bij de start van het ISMS-traject. Zorg dat de directeur dit als vaste afspraak in de agenda heeft.

Relatie met andere clausules

  • Clausule 4 (Context): Het informatiebeveiligingsbeleid (5.2) moet passen bij de organisatie. De context (4.1) en de eisen van belanghebbenden (4.2) zijn de input voor wat er in het beleid moet staan.
  • Clausule 7 (Ondersteuning): Het topmanagement is verantwoordelijk voor het beschikbaar stellen van middelen (7.1) en het garanderen van competentie (7.2). De rollen die in 5.3 worden vastgelegd, worden in 7.2 met de juiste competenties ingevuld.
  • Clausule 9 (Prestatiebeoordeling): De managementreview (9.3) is de formele terugkoppeling aan het topmanagement. Clausule 5 zorgt ervoor dat management betrokken blijft; clausule 9 geeft de structuur voor die betrokkenheid.
  • Clausule 10 (Verbetering): Het commitment aan voortdurende verbetering dat in het beleid (5.2) staat, wordt in clausule 10 operationeel gemaakt via corrigerende maatregelen en continue verbetering.

Veelgestelde vragen over clausule 5

Wat is de rol van het management bij ISO 27001?

Het topmanagement is eindverantwoordelijk voor het ISMS. Concreet betekent dit: het informatiebeveiligingsbeleid vaststellen en ondertekenen, voldoende budget en personeel beschikbaar stellen, deelnemen aan de jaarlijkse managementreview, rollen en verantwoordelijkheden toewijzen en het belang van informatiebeveiliging uitdragen binnen de organisatie. Het management kan taken delegeren, maar de eindverantwoordelijkheid blijft altijd bij hen.

Wat moet in het informatiebeveiligingsbeleid staan?

Het informatiebeveiligingsbeleid moet minimaal bevatten: de reikwijdte van het beleid, de informatiebeveiligingsdoelstellingen op hoofdlijnen (of een kader daarvoor), een commitment van het management aan voldoende middelen, een commitment aan naleving van wet- en regelgeving en contractuele verplichtingen, en een commitment aan voortdurende verbetering. Daarnaast verwijst een goed beleid naar onderliggende beleidsregels zoals een wachtwoordbeleid en een incidentresponseprocedure.

Wie is verantwoordelijk voor informatiebeveiliging?

Eindverantwoordelijkheid ligt bij het topmanagement (directie, bestuur). De operationele verantwoordelijkheid wordt gedelegeerd aan een CISO of Security Officer. Daarnaast hebben alle medewerkers een eigen verantwoordelijkheid om de regels te volgen. Informatie-eigenaren zijn verantwoordelijk voor de beveiliging van specifieke gegevensverzamelingen. Informatiebeveiliging is dus een gedeelde verantwoordelijkheid — geen IT-afdeling die alleen de zaak beheert.

Hoe toon je leiderschap aan tijdens een audit?

Een auditor zal vragen naar notulen van managementreviews (met aanwezigheidslijst en besluiten), het ondertekende informatiebeveiligingsbeleid met een recente herzieningsdatum, bewijs dat het management budget heeft toegekend voor beveiliging, en bewijs dat het management het beleid heeft gecommuniceerd. Soms voert de auditor een gesprek met een directielid om te peilen of er echt begrip is van de ISMS-doelstellingen en risico’s.

Moet de directeur ISO 27001 kennen?

De directeur hoeft geen ISO 27001-expert te zijn, maar moet de kernprincipes begrijpen: wat is het doel van het ISMS, welke risico’s loopt de organisatie op het gebied van informatiebeveiliging, welke doelstellingen zijn er gesteld en hoe presteren we daarop. Een auditor verwacht dat de directeur antwoord kan geven op vragen als: “Wat zijn de drie belangrijkste informatiebeveiligingsrisico’s voor uw organisatie?” en “Welke beslissingen heeft u het afgelopen jaar genomen op het gebied van informatiebeveiliging?”

Is een CISO verplicht bij ISO 27001?

Nee, ISO 27001 verplicht geen specifieke functietitels. Wat verplicht is, is dat iemand de verantwoordelijkheid draagt voor het borgen dat het ISMS aan de norm voldoet en dat er gerapporteerd wordt aan het topmanagement. In kleine organisaties kan dit een deeltijdse Security Officer of ISMS-coördinator zijn. In grotere organisaties (doorgaans 200+ medewerkers met significante data-verwerking) is een fulltime CISO of vergelijkbare rol aanbevolen. De functie mag ook worden ingevuld door een externe adviseur, mits er voldoende kennis en betrokkenheid intern aanwezig is.

Direct aan de slag met ISO?

Vooraf ingevulde templates — 80% klaar, in Word, Office 365, Confluence of Google Docs.

Bekijk templates →