📚 ISO Kennisbank / ISO 27001 Clausule 7: Ondersteuning — Middelen, Bewustwording en Communicatie

ISO 27001 Clausule 7: Ondersteuning — Middelen, Bewustwording en Communicatie

🔒 ISO 27001 ⏱ 9 min lezen 📅 3 juni 2026

Clausule 7 van ISO 27001 verplicht organisaties voldoende middelen, aantoonbare competenties, een actief bewustwordingsprogramma, een gestructureerd communicatieplan en correcte documentatie te borgen als ondersteuning van het ISMS.

Wat zegt clausule 7?

Clausule 7 van ISO 27001:2022 gaat over de ondersteuning die nodig is om het ISMS effectief te laten functioneren. Een goed beleid en een zorgvuldige risicoanalyse zijn waardeloos als de organisatie geen middelen heeft om ze te implementeren, medewerkers niet weten wat er van hen wordt verwacht, en documentatie niet op orde is. Clausule 7 zorgt voor de menselijke en organisatorische infrastructuur van het ISMS.

7.1 — Middelen

Sub-clausule 7.1 verplicht de organisatie de middelen te bepalen en beschikbaar te stellen die nodig zijn voor het opzetten, implementeren, onderhouden en continu verbeteren van het ISMS. Middelen omvatten: budget, personeel (intern of extern), tijd, technologie en tools. De norm schrijft geen minimum budget voor, maar vereist dat het management een bewuste afweging maakt en de benodigde middelen daadwerkelijk vrijmaakt.

7.2 — Competentie

Sub-clausule 7.2 verplicht de organisatie om de benodigde competenties te bepalen voor medewerkers die onder toezicht van de organisatie werk uitvoeren dat van invloed is op de informatiebeveiligingsprestaties. Vervolgens moet worden geborgd dat die medewerkers de competentie ook daadwerkelijk hebben, via opleiding, training of ervaring. Als competentiegaten bestaan, moeten actie ondernomen worden om die te dichten. Alles wordt vastgelegd als gedocumenteerde informatie.

7.3 — Bewustwording

Sub-clausule 7.3 verplicht dat alle medewerkers die onder toezicht van de organisatie werken zich bewust zijn van: het informatiebeveiligingsbeleid, hun bijdrage aan de effectiviteit van het ISMS (inclusief de voordelen van betere beveiliging), en de gevolgen van niet-naleving van de ISMS-eisen. Bewustwording is breder dan een jaarlijkse e-learningmodule — het is een doorlopende inspanning.

7.4 — Communicatie

Sub-clausule 7.4 verplicht de organisatie te bepalen welke interne en externe communicatie relevant is voor het ISMS. Per communicatiebehoefte moet worden vastgelegd: wat wordt gecommuniceerd, wanneer, door wie, aan wie en via welk kanaal. Dit resulteert in een communicatieplan voor informatiebeveiliging.

7.5 — Gedocumenteerde informatie

Sub-clausule 7.5 regelt de documentatievereisten van het ISMS. Het ISMS moet zowel de door de norm vereiste gedocumenteerde informatie bevatten als gedocumenteerde informatie die de organisatie zelf noodzakelijk acht voor de effectiviteit. Documentatie moet worden gecreëerd, bijgewerkt (inclusief versiebeheer, datum en goedkeuring) en beheerd (juiste toegang, beschermd tegen onbedoelde wijziging of vernietiging).

Middelen en budget voor informatiebeveiliging

Clausule 7.1 klinkt simpel, maar in de praktijk is het beschikbaar stellen van voldoende middelen een van de meest voorkomende knelpunten. Wat zijn de typische kostenposten voor een ISMS?

  • Personeelskosten: de tijd van de ISMS-coördinator of CISO (intern of extern), deelname van medewerkers aan trainingen en audits.
  • Externe adviseurs: begeleiding bij implementatie, interne audits, pre-audits en certificeringsaudits.
  • Certificeringskosten: de kosten van de certificeringsinstantie voor de initiële audit en jaarlijkse surveillance-audits (doorgaans €3.000 tot €15.000 per jaar, afhankelijk van organisatiegrootte).
  • Technische maatregelen: tools voor vulnerability scanning, SIEM, multi-factor authenticatie, encryptie, back-upoplossingen.
  • Bewustwordingsprogramma’s: e-learningplatforms, phishingsimulaties, trainingsmateriaal.
  • Documentatiebeheer: software voor ISMS-documentatie en risicoregisters.

Typische kosten voor een middelgrote organisatie (100 medewerkers) voor de eerste implementatie liggen tussen €30.000 en €80.000, exclusief interne uren. Jaarlijkse onderhoudskosten liggen doorgaans tussen €10.000 en €30.000.

Competenties en training

Clausule 7.2 gaat niet over generieke IT-training — het gaat over aantoonbare competentie voor specifieke ISMS-rollen. Dit zijn de stappen:

Stap 1 — Competentieprofiel per rol opstellen

Definieer per ISMS-rol welke kennis en vaardigheden vereist zijn. Voorbeeld voor de ISMS-coördinator: kennis van ISO 27001, ervaring met risicoanalyse, kennis van relevante wetgeving (AVG, NIS2), projectmanagementvaardigheden. Voorbeeld voor alle medewerkers: basiskennis van phishing, wachtwoordbeleid, clean desk, meldplicht datalekken.

Stap 2 — Gap-analyse uitvoeren

Vergelijk de huidige competenties met de vereiste competenties. Documenteer de gaps en stel een trainingsplan op om die te dichten.

Stap 3 — Training uitvoeren en vastleggen

Voer de trainingen uit en leg de deelname en de uitkomsten vast. Bewijs van training kan bestaan uit: aanwezigheidslijsten, certificaten van externe cursussen (ISO 27001 Lead Implementer, CISSP, CISM), resultaten van e-learningmodules, of gespreksverslagen van coachingsgesprekken.

Hoe toon je competentie aan?

Competentie kan worden aangetoond via formele opleiding (diploma’s, certificaten), relevante werkervaring (cv met toelichting), interne training met bewijsstukken, of een combinatie hiervan. Een auditor vraagt om bewijs — een mondelinge bewering dat iemand “ervaren” is volstaat niet.

Bewustwordingsprogramma’s

Bewustwording (awareness) is een van de meest onderschatte en tegelijkertijd meest impactvolle elementen van informatiebeveiliging. Menselijk gedrag is de grootste risicofactor in de meeste organisaties — phishing, social engineering en onzorgvuldige omgang met data zijn allemaal mensgerelateerde risico’s. Een effectief bewustwordingsprogramma bestaat uit meerdere lagen:

Laag 1 — Basis kennisoverdracht

Jaarlijkse e-learning of training voor alle medewerkers over: herkennen van phishing, veilig wachtwoordgebruik, clean desk en clear screen, veilig thuiswerken, meldplicht bij incidenten. Documenteer de voltooiing per medewerker — een auditor wil weten hoeveel procent van de medewerkers de training heeft gevolgd.

Laag 2 — Gesimuleerde aanvallen (phishingsimulaties)

Stuur periodiek (minimaal 2 keer per jaar) gesimuleerde phishingmails naar alle medewerkers. Meet de klikratio en de rapporteergraad. Gebruik de resultaten om de training te verbeteren en gerichte follow-up te geven aan medewerkers die op de link klikten. Phishingsimulaties zijn de meest effectieve manier om bewustzijn te meten en te verbeteren.

Laag 3 — Gerichte communicatie en herhaling

Stuur maandelijks of kwartaals een kort nieuwsbericht (maximaal 1 pagina) over actuele dreigingen, recente incidenten bij andere organisaties, of tips voor veilig gedrag. Gebruik posters op kantoor, screensavers en intranetberichten als herinnering. Zorg dat informatiebeveiliging regelmatig terugkomt in teamoverleggen.

Laag 4 — Rolspecifieke training

Medewerkers met toegang tot bijzonder gevoelige informatie (HR-data, financiële data, medische gegevens) of met verhoogde privileges (systeembeheerders, applicatiebeheerders) krijgen aanvullende, verdiepende training. Ook medewerkers in managementposities moeten worden getraind in hun specifieke verantwoordelijkheden.

Concrete voorbeelden van bewustwordingsactiviteiten

  • Jaarlijkse “Security Day” met workshops en demonstraties van hackingtechnieken.
  • Maandelijkse “Security Tip of the Month” via e-mail of intranet.
  • Kwartaals phishingtest met directe feedback aan de medewerker die klikte.
  • Onboarding-module voor nieuwe medewerkers: verplicht te voltooien in de eerste week.
  • Gamification: een intern beveiligingskennisquiz met kleine prijzen voor de winnaar.

Communicatieplan informatiebeveiliging

Clausule 7.4 verplicht een gestructureerd communicatieplan. Dit hoeft geen uitgebreid document te zijn — een overzichtelijke tabel volstaat. Per communicatiebehoefte leg je vast:

  • Wat: het onderwerp of bericht (bijv. update informatiebeveiligingsbeleid, resultaten jaarlijkse audit, melding van een beveiligingsincident).
  • Wanneer: frequentie of trigger (jaarlijks, bij elke wijziging, direct na een incident).
  • Door wie: de verantwoordelijke afzender (CISO, directeur, ISMS-coördinator).
  • Aan wie: de doelgroep (alle medewerkers, management, klanten, toezichthouders).
  • Via welk kanaal: e-mail, intranet, vergadering, rapportage, persoonlijk gesprek.

Voorbeelden van communicatie die in het plan thuishoren: de jaarlijkse communicatie van het herziene informatiebeveiligingsbeleid aan alle medewerkers, kwartaalrapportage aan de directie over de ISMS-prestaties, externe communicatie aan klanten over de ISO 27001-certificering, en meldingen aan toezichthouders bij datalekken (conform de AVG meldplicht van 72 uur).

Gedocumenteerde informatie — verplichte documenten clausule 7

ISO 27001 schrijft een aantal documenten expliciet voor als verplichte “gedocumenteerde informatie”. Specifiek voor clausule 7 zijn dit:

  • Bewijs van competentie (7.2): trainingsregisters, certificaten, aanwezigheidslijsten.
  • Gedocumenteerde informatie vereist door de norm (7.5.1): alle documenten die elders in de norm als verplicht worden aangemerkt, waaronder het informatiebeveiligingsbeleid, de scope, het risicoregister, het risicobehandelingsplan en het SoA.

Naast de verplichte documenten zijn er sterk aanbevolen documenten die in de praktijk onmisbaar zijn voor een werkend ISMS: een bewustwordingsplan, een communicatieplan, een document management procedure, en een competentiematrix.

Voor het beheer van gedocumenteerde informatie gelden de volgende eisen: elk document heeft een versienummer en een datum, elk document is goedgekeurd door de bevoegde persoon, verouderde versies worden gemarkeerd of gearchiveerd, en toegang is geregeld (niet iedereen hoeft toegang te hebben tot alle documenten).

Veelgemaakte fouten bij clausule 7

  • Bewustwording beperken tot één jaarlijkse e-learning. Een e-learning die medewerkers gedachteloos doorklikken om het certificaatje te halen, heeft geen effect op gedrag. Effectieve bewustwording vereist variatie, herhaling en relevantie. Phishingsimulaties, teamdiscussies en gerichte communicatie zijn minimaal even belangrijk als formele training.
  • Competenties niet vastleggen of te vaag beschrijven. “Onze IT-medewerker is ervaren” is geen aantoonbare competentie. Leg per rol vast welke kennis en vaardigheden vereist zijn, en bewaar het bewijs van training of certificering. Auditors vragen altijd naar competentieregisters.
  • Documentatie zonder versiebeheer. Documenten zonder versienummer, datum en goedkeuringshandtekening zijn niet ISO 27001-conform. Als niemand weet welke versie actueel is, is documentatiebeheer niet op orde. Gebruik een consistent format en een documentregister.
  • Bewustwordingsprogramma niet meten. Als je niet weet hoeveel medewerkers de training hebben gevolgd, of hoeveel procent op een phishingmail klikte, kun je de effectiviteit niet aantonen en niet verbeteren. Meting is een vereiste, geen optie.
  • Communicatieplan alleen intern richten. ISO 27001 vereist ook een plan voor externe communicatie — met klanten, leveranciers, toezichthouders. Datalekkmeldingen aan de AP, antwoorden op klantvragen over beveiliging en communicatie bij een incident moeten allemaal vooraf zijn georganiseerd, niet geïmproviseerd tijdens een crisis.
  • Geen budget vrijmaken voor middelen. Als het management stelt dat informatiebeveiliging “met bestaande middelen” moet worden gerealiseerd zonder extra budget of tijd, is dat een auditbevinding. De norm vereist dat de organisatie de benodigde middelen bepaalt en beschikbaar stelt — dit veronderstelt een actieve budgettoewijzing.

Veelgestelde vragen over clausule 7

Welke competenties zijn verplicht voor ISO 27001?

ISO 27001 schrijft geen specifieke competenties voor — de organisatie bepaalt zelf welke competenties nodig zijn voor de rollen die van invloed zijn op de informatiebeveiligingsprestaties. In de praktijk zijn dit minimaal: een ISMS-coördinator met kennis van de norm en risicoanalyse, IT-medewerkers met kennis van beveiligingstechnieken, en alle medewerkers met basisbewustzijn over phishing, wachtwoorden en incidentmelding. Elke organisatie stelt haar eigen competentieprofiel op en toont aan dat de mensen in die rollen aan dat profiel voldoen.

Hoe maak je medewerkers bewust van informatiebeveiliging?

Effectieve bewustwording vereist een mix van methoden: jaarlijkse formele training (e-learning of klassikaal), regelmatige kortecommunicatie (maandelijkse security tip, intranetberichten), gesimuleerde phishingtests met directe feedback, rolspecifieke verdieping voor medewerkers met hogere risicofuncties, en een cultuur waarin medewerkers zich veilig voelen om verdachte situaties te melden. Variatie en herhaling zijn sleutelwoorden — één jaarlijkse module is onvoldoende.

Welke documenten zijn verplicht in clausule 7?

Clausule 7 schrijft als gedocumenteerde informatie voor: bewijs van competentie (7.2) en alle gedocumenteerde informatie die elders in de norm als verplicht is aangemerkt en die onder het ISMS valt (7.5.1). In de praktijk resulteert dit in een trainingsregister, competentiematrix, het informatiebeveiligingsbeleid, de ISMS-scope, het risicoregister, het risicobehandelingsplan, het Statement of Applicability en de resultaten van interne audits en managementreviews.

Hoe communiceer je over informatiebeveiliging?

Communicatie over informatiebeveiliging wordt gestructureerd via een communicatieplan (clausule 7.4) dat per doelgroep en onderwerp vastlegt: wat, wanneer, door wie, aan wie en via welk kanaal. Intern gaat het om beleidsupdate, bewustwordingscommunicatie en incidentmeldingen. Extern gaat het om klanteninformatie over de ISO 27001-certificering, datalekkmeldingen aan de Autoriteit Persoonsgegevens (binnen 72 uur), en communicatie met leveranciers over beveiligingseisen.

Wat is het bewustzijnsniveau dat ISO 27001 vereist?

ISO 27001 vereist dat alle medewerkers zich bewust zijn van drie zaken: de inhoud van het informatiebeveiligingsbeleid, hun eigen bijdrage aan de effectiviteit van het ISMS (wat is hun rol, wat wordt van hen verwacht), en de gevolgen van niet-naleving van de ISMS-eisen (wat zijn de risico’s als zij regels niet volgen). Dit bewustzijn moet aantoonbaar zijn — een auditor kan medewerkers bevragen. Het niveau hoeft niet technisch te zijn, maar moet praktisch en relevant zijn voor de dagelijkse werkzaamheden van de medewerker.

Hoe bewijs je training aan een auditor?

Training wordt aangetoond via gedocumenteerde informatie: aanwezigheidslijsten van fysieke trainingen (met handtekeningen of digitale registratie), voortgangsrapportages en voltooiingscertificaten van e-learningplatforms, kopieën van externe certificaten (ISO 27001 Lead Implementer, CISM, CISSP), interne evaluatieformulieren of testresultaten, en screenreplays of screenshots van online trainingsresultaten. Bewaar deze bewijzen minimaal 3 jaar, zodat je bij surveillance-audits de voorgaande jaren kunt aantonen.

Direct aan de slag met ISO?

Vooraf ingevulde templates — 80% klaar, in Word, Office 365, Confluence of Google Docs.

Bekijk templates →