Een Information Security Management System (ISMS) is de kern van ISO 27001. Het is geen softwarepakket of technische tool, maar een managementsysteem: een samenhangend geheel van beleid, procedures, rollen, verantwoordelijkheden en maatregelen waarmee een organisatie haar informatiebeveiligingsrisico's beheerst. Een ISMS omvat drie klassieke beveiligingsprincipes, ook wel de CIA-triad genoemd: Vertrouwelijkheid (Confidentiality): Informatie is alleen toegankelijk voor bevoegde personen. Integriteit (Integrity): Informatie is juist, volledig en niet ongeautoriseerd gewijzigd. Beschikbaarheid (Availability): Informatie en systemen zijn beschikbaar wanneer ze nodig zijn. Het ISMS werkt via de Plan-Do-Check-Act (PDCA)-cyclus: risico's worden geïdentificeerd (Plan), beheersmaatregelen worden geïmplementeerd (Do), de effectiviteit wordt gemeten (Check) en het systeem wordt bijgestuurd (Act). Dit zorgt voor continue verbetering in plaats van een eenmalige beveiligingsactie. Een ISMS bevat altijd een risicoregister, een risicobehandelingsplan en een Statement of Applicability (SoA), waarin per control uit Annex A is vastgelegd of die van toepassing is en waarom.

Wat zijn de kosten van ISO 27001-certificering?

De auditkosten voor een initiële certificering liggen voor een mkb-organisatie tussen € 5.000 en € 20.000. Jaarlijkse surveillance-audits kosten doorgaans € 2.500 tot € 5.000. Daar bovenop komen implementatiekosten (intern personeel en eventueel extern advies), die voor een gemiddeld mkb-bedrijf uitkomen op € 15.000 tot € 60.000 in totaal voor de eerste cyclus.

Hoe lang duurt ISO 27001-implementatie?

Gemiddeld 6 tot 12 maanden vanaf de start van de implementatie tot het ontvangen van het certificaat. Organisaties die al beschikken over een goed beveiligingsbeleid en gestructureerde IT-processen kunnen dit in 4 tot 6 maanden realiseren. Grotere of complexere organisaties met meerdere locaties rekenen eerder op 12 tot 18 maanden.

Wat is Annex A van ISO 27001?

Annex A is een normatieve bijlage bij ISO 27001 die 93 beheersmaatregelen (controls) bevat verdeeld over 4 thema's: organisatorisch (37), personen (8), fysiek (14) en technologisch (34). Organisaties moeten in hun Statement of Applicability (SoA) per control aangeven of die van toepassing is en waarom eventuele uitsluitingen gerechtvaardigd zijn.

Wat is het verschil tussen ISO 27001:2013 en ISO 27001:2022?

De voornaamste verschillen zijn: het aantal Annex A-controls daalde van 114 naar 93, de 14 categorieën werden samengevoegd tot 4 thema's, er werden 11 nieuwe controls toegevoegd (waaronder cloud services, threat intelligence en data masking), en clausule 6.3 verplichting voor geplande wijzigingen werd toegevoegd. Alle gecertificeerde organisaties moesten vóór 31 oktober 2025 over zijn op de nieuwe versie.

Wat is een Statement of Applicability (SoA)?

Het Statement of Applicability (SoA) is een verplicht document uit clausule 6.1.3 van ISO 27001. Het geeft een overzicht van alle 93 Annex A-controls met per control: of deze van toepassing is, de motivering voor opname of uitsluiting, en of de control al is geïmplementeerd. Het SoA is het centrale document dat de koppeling legt tussen de risicobeoordeling en de Annex A-controls.

Hoe vaak wordt een ISO 27001-audit uitgevoerd?

Na de initiële certificeringsaudit volgen jaarlijkse surveillance-audits in jaar 1 en jaar 2. In jaar 3 vindt een volledige her-certificeringsaudit plaats. Na succesvolle her-certificering begint een nieuwe driejarige cyclus. Daarnaast is de organisatie verplicht intern ten minste één keer per jaar een interne audit uit te voeren.

Is ISO 27001 geschikt voor kleine bedrijven?

Ja, ISO 27001 is schaalbaar en toepasbaar op organisaties van elke omvang. Voor kleine organisaties (minder dan 50 medewerkers) is de sleutel een scherp afgebakende scope en pragmatische implementatie. De norm stelt geen minimale omvang als eis. Wel zijn de relatieve kosten per medewerker hoger voor kleine organisaties, waardoor een goede kosten-batenafweging belangrijk is.

Wat is het verschil tussen ISO 27001 en NEN 7510?

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op ISO 27001 met aanvullende, zorgsectorspecifieke eisen. NEN 7510 is voor zorginstellingen die vallen onder de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. ISO 27001-certificering kan als basis dienen voor NEN 7510, maar is op zichzelf niet voldoende voor volledige NEN 7510-conformiteit. Laatste revisie: juni 2025

Wat is ISO 27001? Alles over de norm voor informatiebeveiliging

🔒 ISO 27001 ⏱ 7 min lezen 📅 3 juni 2026

ISO 27001 is de internationale norm voor informatiebeveiliging die organisaties helpt gevoelige gegevens systematisch te beschermen via een Information Security Management System (ISMS). Lees alles over certificering, kosten, de 93 controls van Annex A en de wijzigingen in de versie van 2022.

Wat is ISO 27001?

ISO 27001 is de internationale norm voor informatiebeveiliging die organisaties een systematisch raamwerk biedt om vertrouwelijke, zakelijke en persoonsgebonden informatie te identificeren, te beschermen en te bewaken. De norm is gepubliceerd door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC) en heet officieel ISO/IEC 27001. De meest recente versie is ISO 27001:2022, gepubliceerd in oktober 2022.

Het doel van ISO 27001 is het vaststellen, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS): een samenhangende set beleidsregels, processen en maatregelen waarmee een organisatie de risico’s voor haar informatie beheerst. Certificering toont klanten, partners en toezichthouders aan dat informatiebeveiliging niet ad hoc is geregeld, maar ingebed in de bedrijfsvoering.

Wereldwijd zijn meer dan 70.000 organisaties in meer dan 150 landen gecertificeerd voor ISO 27001, met een sterke groei na de invoering van de AVG (GDPR) in 2018 en de toenemende druk van cyberdreigingen.

De structuur van ISO 27001

ISO 27001 volgt de High Level Structure (HLS), ook wel Annex SL genoemd, die alle moderne ISO-managementnormen met elkaar gemeen hebben. Dit maakt integratie met ISO 9001, ISO 14001 en ISO 45001 aanzienlijk eenvoudiger.

De norm bestaat uit 10 clausules plus een uitgebreide bijlage (Annex A):

Clausule 1 – Toepassingsgebied: Definieert waarvoor de norm geldt en hoe ze gebruikt wordt.
Clausule 2 – Normatieve verwijzingen: Verwijst naar ISO/IEC 27000 voor definities en terminologie.
Clausule 3 – Termen en definities: Verwijst naar ISO/IEC 27000.
Clausule 4 – Context van de organisatie: Interne en externe factoren, belanghebbenden, scope van het ISMS.
Clausule 5 – Leiderschap: Betrokkenheid van het topmanagement, informatiebeveiligingsbeleid, rollen en verantwoordelijkheden.
Clausule 6 – Planning: Risicobeoordeling, risicobehandeling, Statement of Applicability (SoA), doelstellingen.
Clausule 7 – Ondersteuning: Middelen, competenties, bewustwording, communicatie en gedocumenteerde informatie.
Clausule 8 – Uitvoering: Operationele planning, risicobeoordeling en -behandeling in de praktijk.
Clausule 9 – Evaluatie van prestaties: Monitoring, meting, interne audit en directiebeoordeling.
Clausule 10 – Verbetering: Afwijkingen, corrigerende maatregelen en continue verbetering.

Annex A bevat in de versie van 2022 93 beheersmaatregelen (controls) verdeeld over 4 thema’s. Annex A is normatief: organisaties moeten elke control in hun SoA opnemen en motiveren of ze die toepassen of uitsluiten.

ISO 27001:2022 versus ISO 27001:2013

De herziening van 2022 bracht aanzienlijke veranderingen ten opzichte van de editie van 2013. Organisaties die gecertificeerd zijn op basis van de 2013-versie hadden tot 31 oktober 2025 de tijd om naar de nieuwe versie over te stappen.

Veranderingen in Annex A

Het aantal controls daalde van 114 naar 93.
Het aantal categorieën (domeinen) daalde van 14 naar 4 thema’s.
Er zijn 11 nieuwe controls toegevoegd, waaronder threat intelligence, cloud services, data masking en ICT-continuïteit.
Diverse controls zijn samengevoegd of hernoemd voor meer overzichtelijkheid.
Elke control heeft nu vijf attributen (type, beveiligingseigenschappen, cyberbeveiligingconcepten, operationele capaciteiten en beveiligingsdomeinen) voor flexibelere selectie.

Wijzigingen in de hoofdtekst

Clausule 6.3 introduceert een verplichting om wijzigingen in het ISMS gepland uit te voeren.
Clausule 9.3 (directiebeoordeling) is uitgebreid met extra inputpunten.
De formulering van diverse eisen is verduidelijkt om interpretatieverschillen te verminderen.

Wie heeft ISO 27001 nodig?

ISO 27001 is relevant voor elke organisatie die informatie verwerkt die beschermd moet worden. In de praktijk zijn dit de meest voorkomende doelgroepen:

IT- en softwarebedrijven die klantdata beheren of SaaS-oplossingen leveren.
Financiële instellingen (banken, verzekeraars, fintechs) met strikte toezichteisen (DNB, AFM, DORA).
Zorginstellingen die medische persoonsgegevens verwerken onder de AVG en NEN 7510.
Overheidsinstanties en toeleveranciers van de overheid die aan BIO-eisen (Baseline Informatiebeveiliging Overheid) moeten voldoen.
Juridische en accountantskantoren met vertrouwelijke cliëntgegevens.
E-commerce en retail die betaalgegevens en klantprofielen opslaan.
Mkb-bedrijven die certificering als markttoegangsvereiste zien voor aanbestedingen of enterprise-klanten.

De norm schrijft geen minimum organisatiegrootte voor. Zowel eenmansbedrijven als multinationals kunnen ISO 27001-gecertificeerd zijn, al verschilt de complexiteit van de implementatie sterk per organisatie.

Wat is een ISMS?

Een Information Security Management System (ISMS) is de kern van ISO 27001. Het is geen softwarepakket of technische tool, maar een managementsysteem: een samenhangend geheel van beleid, procedures, rollen, verantwoordelijkheden en maatregelen waarmee een organisatie haar informatiebeveiligingsrisico’s beheerst.

Een ISMS omvat drie klassieke beveiligingsprincipes, ook wel de CIA-triad genoemd:

Vertrouwelijkheid (Confidentiality): Informatie is alleen toegankelijk voor bevoegde personen.
Integriteit (Integrity): Informatie is juist, volledig en niet ongeautoriseerd gewijzigd.
Beschikbaarheid (Availability): Informatie en systemen zijn beschikbaar wanneer ze nodig zijn.

Het ISMS werkt via de Plan-Do-Check-Act (PDCA)-cyclus: risico’s worden geïdentificeerd (Plan), beheersmaatregelen worden geïmplementeerd (Do), de effectiviteit wordt gemeten (Check) en het systeem wordt bijgestuurd (Act). Dit zorgt voor continue verbetering in plaats van een eenmalige beveiligingsactie.

Een ISMS bevat altijd een risicoregister, een risicobehandelingsplan en een Statement of Applicability (SoA), waarin per control uit Annex A is vastgelegd of die van toepassing is en waarom.

Hoe werkt ISO 27001-certificering?

Het certificeringsproces verloopt via een onafhankelijke, geaccrediteerde certificeringsinstelling (CB, Certification Body) zoals Bureau Veritas, DNV, Lloyd’s Register, Kiwa of SGS. Het proces kent de volgende stappen:

Stap 1 – Gap-analyse (0-2 maanden)

Een vergelijking van de huidige situatie met de eisen van ISO 27001. De uitkomst bepaalt de omvang van het implementatietraject.

Stap 2 – Implementatie (3-9 maanden)

Opstellen of aanpassen van beleid, procedures, risicobeoordelingsmethodiek, risicoregister, SoA en beheersmaatregelen. Training van medewerkers en bewustwordingsprogramma.

Stap 3 – Interne audit

Verplichte interne audit om te controleren of het ISMS aan de normeisen voldoet voordat de externe audit plaatsvindt.

Stap 4 – Stage 1-audit (documentatiebeoordeling)

De certificeerder beoordeelt de documentatie van het ISMS. Eventuele tekortkomingen worden als bevinding geregistreerd. Dit is geen definitieve audit, maar een voorbereiding.

Stap 5 – Stage 2-audit (conformiteitsaudit)

De certificeerder controleert ter plaatse of het ISMS daadwerkelijk werkt zoals beschreven. Non-conformiteiten moeten worden opgelost voordat het certificaat wordt afgegeven.

Stap 6 – Certificaatverlening

Na een succesvolle audit ontvangt de organisatie een ISO 27001-certificaat met een geldigheid van 3 jaar. Jaarlijks vinden surveillance-audits plaats om te controleren of het ISMS operationeel blijft.

De totale doorlooptijd van implementatie tot certificaat bedraagt gemiddeld 6 tot 12 maanden, afhankelijk van de startpositie, organisatiegrootte en beschikbare capaciteit.

Kosten van ISO 27001

De kosten van ISO 27001-certificering variëren sterk op basis van organisatiegrootte, complexiteit en de gekozen aanpak (intern vs. extern advies). Onderstaande ranges zijn indicatief voor de Nederlandse markt:

Initiële certificeringsaudit (Stage 1 + Stage 2): € 5.000 – € 20.000 voor mkb-organisaties tot circa 250 medewerkers.
Jaarlijkse surveillance-audit: € 2.500 – € 5.000 per jaar.
Her-certificeringsaudit (na 3 jaar): € 4.000 – € 15.000.
Implementatiebegeleiding door extern adviseur: € 10.000 – € 50.000+, afhankelijk van de startpositie en scope.
Interne personeelskosten: Vaak het grootste kostenblok, met gemiddeld 200-600 uur voor een eerste implementatie.
Tooling (ISMS-software): € 0 (eigen documenten) tot € 500+ per maand voor gespecialiseerde GRC-platformen.

Voor grotere organisaties (500+ medewerkers, complexe IT-omgevingen, meerdere locaties) kunnen de auditkosten oplopen tot € 50.000 of meer per cyclus. Online-ISO.nl helpt organisaties de implementatiekosten significant te verlagen door gestructureerde online begeleiding en kant-en-klare documenttemplates.

De 4 thema’s van Annex A in ISO 27001:2022

De 93 controls van Annex A zijn in de versie van 2022 ingedeeld in vier thema’s:

1. Organisatorische beheersmaatregelen (37 controls, A.5)

Beleid, rollen, verantwoordelijkheden, risicobeheer, leveranciersbeheer, informatiebeveiliging bij incidenten, bedrijfscontinuïteit en compliance. Voorbeelden: A.5.1 Beleid voor informatiebeveiliging, A.5.23 Informatiebeveiliging voor het gebruik van clouddiensten (nieuw in 2022).

2. Persoonsgebonden beheersmaatregelen (8 controls, A.6)

Screening voor indiensttreding, arbeidsvoorwaarden, bewustwording en training, disciplinaire processen, vertrouwelijkheidsverklaringen en thuiswerken. Voorbeeld: A.6.7 Werken op afstand (nieuw in 2022).

3. Fysieke beheersmaatregelen (14 controls, A.7)

Fysieke toegangsbeveiliging, beveiliging van apparatuur, clean desk en clear screen, fysieke media, onderhoud en beveiliging van apparatuur buiten de locatie. Voorbeeld: A.7.4 Fysieke beveiligingsbewaking (nieuw in 2022).

4. Technologische beheersmaatregelen (34 controls, A.8)

Toegangscontrole, authenticatie, encryptie, logbeheer, kwetsbaarheidsbeheer, penetratietests, netwerksegmentatie, data masking en DLP (Data Loss Prevention). Voorbeelden: A.8.11 Data masking (nieuw), A.8.12 Preventie van gegevenslekken (nieuw), A.8.28 Veilige programmering (nieuw).

Veelgemaakte fouten bij ISO 27001

Fout 1 – Te brede scope definiëren

Organisaties nemen bij hun eerste certificering de gehele organisatie in scope, terwijl een afgebakende scope (bijvoorbeeld één productlijn of één kantoorlocatie) sneller en goedkoper te certificeren is. Een te brede scope leidt tot overmatige documentatie, hogere auditkosten en een langere implementatietijd.

Fout 2 – Risicobeoordeling als papieren exercitie

De risicobeoordeling wordt ingevuld als formaliteit zonder aansluiting op de werkelijke bedrijfsprocessen en IT-omgeving. Auditoren controleren expliciet of risico’s realistisch zijn en of de behandelingsmaatregelen aantoonbaar zijn geïmplementeerd. Een generiek risicoregister dat niet bij de organisatie past, leidt tot non-conformiteiten.

Fout 3 – Het Statement of Applicability (SoA) verkeerd invullen

De SoA is een verplicht document waarin voor alle 93 Annex A-controls wordt vastgelegd of ze van toepassing zijn, en zo niet, waarom niet. Een veelgemaakte fout is het uitsluiten van controls zonder geldige motivering, of het opnemen van controls die in de praktijk niet zijn geïmplementeerd. Inconsistentie tussen de SoA en het risicobehandelingsplan is een klassieke major non-conformiteit.