Academie thuis
Blogs
Controlelijst voor naleving en certificering van ISO 27001
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Controlelijst voor naleving en certificering van ISO 27001

ISO 27001 collectie
Controlelijst voor naleving en certificering van ISO 27001
NIS2-verzameling
Controlelijst voor naleving en certificering van ISO 27001
Cyberday blog
Controlelijst voor naleving en certificering van ISO 27001

ISO 27001 is de wereldwijd erkende best practice voor het beheren van uw informatiebeveiliging en het uitvoeren van een ISMS (Information Security Management System).

Er zijn veel verschillende manieren om te profiteren van ISO 27001. Sommige organisaties hebben een duidelijk doel voor certificering, wat het sterkste bewijs van naleving zal leveren. Sommige organisaties zijn eerst alleen op zoek naar een benchmark die hen helpt de informatiebeveiliging te verbeteren volgens de best practices.

Deze checklist is bedoeld voor organisaties die certificering nastreven, maar hier volgt een samenvatting van populaire verschillende benaderingen van ISO 27001:

  • Gebruik ISO 27001 als maatstaf voor verbetering: Kies goede praktijken om toe te passen in uw eigen beveiligingsmaatregelen en vind goede richtlijnen om stap voor stap te verbeteren.
  • Uw ISO 27001-nalevingsniveau vinden: Vergelijk uw huidige maatregelen met ISO 27001 om inzicht te krijgen in hoe goed u momenteel voldoet aan de best practices, zodat u doelen kunt stellen voor de toekomst.
  • Voldoe aan ISO 27001: Stel het als een intern doel om aan de hele norm te voldoen, zodat u klaar bent om te rapporteren over uw ISO 27001-naleving, bijvoorbeeld aan klanten of autoriteiten.
  • Laat u ISO 27001 certificeren: Als u het sterkst mogelijke bewijs van uw voortdurende naleving wilt hebben en ervoor wilt zorgen dat u uw ISMS voortdurend verbetert, moet u zich volledig conformeren, samenwerken met een geaccrediteerde auditor en een certificeringsaudit ondergaan.
In dit artikel richten we ons vooral op het behalen van een certificering en beschrijven we de belangrijkste stappen onderweg.

Hoe bereik je een ISO 27001-certificering?

De kerninhoud van de ISO 27001-norm bestaat uit 22 vereisten voor beveiligingsbeheer en 93 controles voor informatiebeveiliging. Uw einddoel is om aan te tonen hoe u voldoet aan de vereisten en hoe u de relevante controles hebt geïmplementeerd.

Maar op weg naar dit doel zijn er veel verschillende stappen in het beheer van informatiebeveiliging. Sommige daarvan vereisen verschillende soorten expertise en deelname. In dit artikel leggen we uit wat de belangrijkste stappen zijn bij het opbouwen van een ISMS dat klaar is voor certificering en voldoet aan ISO 27001.

In dit artikel worden de volgende stappen voor ISO 27001 certificering besproken:

  1. De basisprincipes van ISO 27001 begrijpen
  2. De reikwijdte van het ISMS definiëren
  3. Kies uw ISMS-bouwmethode
  4. Stel een ISMS-team samen en wijs rollen toe
  5. Evalueer de mate van volwassenheid van uw informatiebeveiliging
  6. Activa inventariseren en toewijzen
  7. Personeelsrichtlijnen opstellen
  8. Begin te werken aan risicobeheer voor informatiebeveiliging
  9. Werken aan de Verklaring van Toepasselijkheid (SoA, ISO 27001-nalevingsrapport) om klaar te zijn voor certificering
  10. Opstellen en beoordelen van benodigde documenten/beleidslijnen/rapporten
  11. Regelmatige managementbeoordelingen uitvoeren
  12. Een interne ISO 27001-audit uitvoeren
  13. Een externe audit van ISMS ondergaan om ISO 27001-certificering te verkrijgen
  14. Plannen voor het uitvoeren van het ISMS en komende interne en toezichtsaudits

1. De basisprincipes van ISO 27001 begrijpen

Voordat u daadwerkelijk begint met de implementatiestappen om uw ISMS op te bouwen en te evolueren naar compliant en klaar voor certificering, moet u voldoende begrijpen over het doel van de ISO 27001-norm en de belangrijkste inhoud ervan.

Je hoeft niet in detail te treden over dit onderdeel. Er zijn veel informatiebeveiligingsonderwerpen die ISO 27001 behandelt, maar in principe is de structuur en het type inhoud heel eenvoudig.

De ISO 27001-norm omvat:

  • 22 eisen voor het beheer van informatiebeveiliging: Deze zorgen ervoor dat u uw informatiebeveiligingsprogramma duidelijk definieert en goed beheert.
    • De vereisten hebben betrekking op onderwerpen als betrokkenheid van het topmanagement, risicobeheer voor informatiebeveiliging, het toewijzen van middelen voor beveiligingswerkzaamheden, het monitoren van uw beveiligingsprestaties en voortdurende verbetering.
  • 93 beveiligingscontroles van informatie: Deze zorgen ervoor dat je goed zorgt voor de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens.
    • Controles hebben betrekking op onderwerpen als continuïteitsplanning, beveiliging van leveranciers, toegangscontrole, wijzigingsbeheer, bewustzijn van personeel, veilig in- en uitstappen, encryptie, netwerkbeveiliging, beveiliging van eindpunten, back-ups, beveiliging van gebouwen, enzovoort.
    • In ISO 27001 worden de controles tegenwoordig gegroepeerd in aparte categorieën voor organisatorische, menselijke, fysieke en technologische controles.

Inzicht in de standaard helpt je bijvoorbeeld om doelen te stellen voor de voortgang en om te bepalen wie betrokken moet worden bij de volgende onderdelen.

U kunt meer te weten komen over de norm door bijvoorbeeld onze gedetailleerde Wat is ISO 27001 blogpost te lezen of deel te nemen aan onze wekelijkse ISO 27001 webinars.

2. De reikwijdte van het ISMS definiëren

Het definiëren van de reikwijdte van het beheersysteem voor informatiebeveiliging is een belangrijke stap bij het implementeren van ISO 27001. Het bepaalt welke delen van uw activiteiten (bijv. bedrijfsmiddelen, processen, afdelingen, locaties of technologieën) onder het ISMS zullen vallen.

Gangbare benaderingen voor het definiëren van de reikwijdte van ISMS zijn onder andere:

  • 🌍 Organisatiebrede aanpak: Hier omvat het ISMS alle locaties, bedrijfsmiddelen, werknemers en processen. Het meest geschikt voor organisaties die geen behoefte hebben aan extra complexiteit en volledige compliance willen bereiken voor alle activiteiten.
  • 🏢 Afdelingsspecifieke aanpak: Het ISMS richt zich op gedefinieerde specifieke teams (bijv. IT, financiën, R&D).
  • ☁️ Systeem- of servicespecifieke aanpak: Het ISMS heeft betrekking op gedefinieerde specifieke IT-systemen of -toepassingen (bijv. cloudplatforms, datacenters).

Als het gewoon mogelijk is in uw activiteiten, zal een organisatiebrede aanpak compliance creëren die ook veel gemakkelijker te communiceren is naar uw stakeholders (bv. klanten en partners). Slimme ISMS-tools zullen u sowieso helpen bij het gericht implementeren per afdeling of dienst.

Als u kiest voor een organisatiebrede aanpak, creëert u compliance die gemakkelijker te communiceren is naar uw belanghebbenden.

3. Kies uw ISMS-bouwmethode

Bij het implementeren van een ISMS kunnen organisaties veel verschillende hulpmiddelen of andere technische methoden gebruiken om de informatie te beheren die betrekking heeft op de benodigde controle-implementatie, personeelsrichtlijnen, risicobeoordelingen, andere documentatie, toezicht op en rapportage over naleving. De keuze van de tools hangt af van factoren zoals bedrijfsgrootte, budget en nalevingsbehoeften.

Gangbare benaderingen voor het opbouwen van ISMS zijn onder andere:

  • 📄 Word, Excel en PDF's gebruiken (handmatig, documentgebaseerd ISMS)
    • Hier maak je het benodigde beveiligingsbeleid, lijsten met bedrijfsmiddelen, risicoregisters in basisdocumenten en houd je de voortgang van de naleving handmatig bij.
    • ✔️ Voordelen: Lage kosten, eenvoudig te starten.
    • Nadelen: Tijdrovend en moeilijk te beheren (bijv. versiebeheer) op schaal. Ondersteunt teamwerk niet. Handmatige bewaking vereist.
  • 📚 Kennisbank of op wiki gebaseerd ISMS
    • Hier slaat u ISMS-documentatie, -beleid en -procedures op in een wiki-achtige tool.
    • ✔️ Voordelen: Gecentraliseerd en gemakkelijk te veranderen. Enige ondersteuning voor samenwerking, maar geen delegatie en monitoring.
    • Nadelen: Geen gestructureerd bijhouden van naleving. Niet ontworpen voor ISMS-onderhoud, dus veel handmatig aanmaken, handmatig controles in kaart brengen vereist en geen speciale ISMS-tools.
  • 🛠 Specifieke ISMS-tools (aanbevolen)
    • Hier werkt u naar het door u geselecteerde raamwerk toe (ISO 27001, NIS2, GDPR, enz.) met behulp van tools voor controle-implementatie, voorbeeldinhoud en sjablonen, tools voor risicobeoordeling en geautomatiseerde compliancebewaking en -rapportage.
    • ✔️ Voordelen: Automatiseert het bijhouden van compliance en risico's, brengt uw maatregelen in kaart met vereisten in meerdere frameworks, bespaart u tijd en vermindert de inspanning die nodig is voor audits en certificering.
    • Nadelen: leercurve in het begin en extra kosten
ISMS app leercurve kan aanzienlijk worden verminderd met tools die goed integreren met uw huidige samenwerkingsomgevingen (bijv. M365, Slack)
  • 🔍 GRC (Governance, Risk en Compliance) tools gebruiken
    • Hier is het de bedoeling om het risicomanagement van de onderneming te centraliseren in één systeem en daar ook de informatiebeveiligingsaspecten af te handelen.
    • ✔️ Voordelen: Goed wanneer een grotere onderneming al een robuust risico- en complianceprogramma heeft.
    • Nadelen: Overkill voor velen omdat het duur is en vaak een aanzienlijke installatie vereist. Focus op risicobenadering, met beperkte ondersteuning voor implementatie van beveiligingsmaatregelen.

Je moet de technische aanpak vooral kiezen op basis van de grootte van je organisatie, de huidige behoeften, het budget en de technische maturiteit.

4. Stel een ISMS-team samen en wijs rollen toe

Het bouwen van een effectief ISMS vereist een duidelijk toegewezen team met rollen en verantwoordelijkheden. Meestal vindt u mensen die op een natuurlijke manier in uw huidige teams passen, maar het definiëren van duidelijke keuzes zal u helpen vooruitgang te boeken. Het ISMS-team zorgt ervoor dat ISO 27001 wordt nageleefd, terwijl risico's worden beheerd en beveiligingsmaatregelen worden verbeterd.

Belangrijke rollen in een ISMS-team zijn vaak:

  1. ISMS-eigenaar / Informatiebeveiligingsverantwoordelijke / CISO: Houdt toezicht op de implementatie van het ISMS, bevestigt controles en belangrijkste procedures, zorgt voor naleving, rapporteert aan het senior management en zorgt ervoor dat zij zich committeren.
  2. ISMS admin: Beheert dagelijkse werkzaamheden, documentatie en audits. Speelt vaak een grote rol bij het definiëren en implementeren van organisatorische controles.
  3. Verantwoordelijk voor technische beveiliging: Definieert en implementeert technische controles, controleert beveiligingsincidenten en handhaaft toegangscontroles.
  4. Risicomanager: Is de hoofdverantwoordelijke voor het initiëren van risicobeoordelingen, evalueert verschillende bedreigingen en bereidt mogelijke risicobeperkende strategieën voor.
  5. Interne auditor: Controleert de doeltreffendheid van ISMS, voert audits uit en stelt verbeteringen voor.
  6. HR & bewustzijnscoördinator: Houdt toezicht op bewustwordingstrainingen over beveiliging, stelt beveiligingsrichtlijnen op en dwingt naleving door werknemers af.

De grootte van het team hangt natuurlijk af van je organisatie en niet alle rollen zijn in het begin verplicht. Zelfs één persoon kan de voortgang starten, maar het is goed om te begrijpen dat er meestal verschillende expertises nodig zijn op verschillende gebieden van informatiebeveiliging.

5. Evalueer uw startvolwassenheid op het gebied van informatiebeveiliging

Alle organisaties hebben al een aantal basismaatregelen voor informatiebeveiliging geïmplementeerd. Wanneer u begint met de implementatie van ISO 27001, kan uw organisatie een motiverende start maken door te beoordelen in hoeverre de huidige beveiligingsmaatregelen voldoen aan de eisen.

Dit kan bijvoorbeeld worden geïmplementeerd in een ISMS-tool die je helpt bij het vinden van huidige maatregelen met suggesties (als je bijvoorbeeld malwarebescherming hebt geïnstalleerd, maak je al vorderingen met het implementeren van enkele gerelateerde controles).

Deze eerste analyse helpt om

  • huidige werkzaamheden op het gebied van informatiebeveiliging koppelen aan de vereisten en controles van het ISO 27001-raamwerk
  • gebieden identificeren die momenteel het slechtst worden aangepakt (grote hiaten)
  • realistische doelen stellen voor de voortgang
  • inspanningen prioriteren om efficiënt een werkend ISMS op te bouwen
Na de eerste evaluatie kan uw nalevingsrapport in Cyberday er ongeveer zo uitzien

6. Activa inventariseren en toewijzen

Een inventaris van bedrijfsmiddelen is cruciaal voor ISO 27001-naleving omdat het inzicht geeft in de totale gegevensverwerkingsomgeving van de organisatie.

Activa kunnen bijvoorbeeld worden gecategoriseerd in:

  • Informatiemiddelen: Databases, klantgegevens, intellectueel eigendom, documenten
  • Software-assets: Toepassingen, cloudservices, besturingssystemen
  • Hardware activa: Laptops, servers, netwerkapparaten, IoT-apparaten
  • Fysieke activa: Datacenters, kantoorruimtes, archiefkasten
  • Menselijke activa: Werknemers, teams, aannemers, externe leveranciers

Een up-to-date inventaris van bedrijfsmiddelen is een belangrijke vereiste in ISO 27001, maar hier zijn voorbeelden van aanvullende belangrijke voordelen die het biedt voor het beveiligingswerk:

  • 🔹 Biedt de organisatie een overzicht van en inzicht in de belangrijke informatiemiddelen die nodig zijn voor de bedrijfsvoering
  • 🔹 Ondersteunt de implementatie van veel controles voor informatiebeveiliging (bijv. toegangscontrole, gegevensclassificatie, beveiliging van leveranciers) door het definiëren van eigendom van bedrijfsmiddelen, verantwoordelijkheden van eigenaars en prioriteitsniveaus voor verschillende bedrijfsmiddelen.
  • 🔹 Helpt bij risicobeoordelingen door kritieke bedrijfsmiddelen te identificeren die extra goed moeten worden beschermd (en waarvoor bijvoorbeeld specifieke risicobeoordelingen nodig zijn).

7. Informatiebeveiligingsrichtlijnen opstellen voor werknemers

Het opstellen van duidelijke beveiligingsrichtlijnen voor uw werknemers en ervoor zorgen dat ze zich voldoende bewust zijn van informatiebeveiliging zijn belangrijke stappen in uw ISO 27001-compliance.

Je beveiligingsrichtlijnen moeten het voor je werknemers glashelder maken wat de beveiligingsverwachtingen voor hen zijn. De belangrijkste rol van elke medewerker in uw informatiebeveiligingsprogramma kan zijn dat hij/zij de richtlijnen kent en deze naleeft in zijn/haar dagelijkse werk.

De beveiligingsrichtlijnen voor je werknemers moeten onderwerpen bevatten als:

  • Aanvaardbaar gebruik van informatiemiddelen: Regels voor bijvoorbeeld het gebruik van apparaten die eigendom zijn van het bedrijf (laptops, telefoons, USB's) en e-mail op het werk. Beperkingen op persoonlijk gebruik van IT-middelen van het bedrijf.
  • Toegangscontrole en verificatie: Best practices voor wachtwoordbeheer (bijv. complexiteit, rotatie), vereisten voor multifactorauthenticatie (MFA), regels voor het verlenen van toegang.
  • Privacy en gegevensclassificatie: Omgaan met vertrouwelijke en gevoelige informatie, gegevensclassificatieniveaus (bijv. openbaar, intern, vertrouwelijk, beperkt). Veilige opslag en verwijdering van gegevens.
  • Bewustwording van phishing en social engineering: Herkennen van phishing e-mails, telefoonoplichting en pogingen tot imitatie, Hoe verdachte e-mails of activiteiten te melden
  • Richtlijnen voor werken op afstand: Schermen vergrendelen als je niet bij apparaten bent, gevoelige gegevens versleutelen, VPN gebruiken, clean desk-richtlijnen.
  • Rapportage van incidenten: Hoe beveiligingsincidenten te melden (bijv. verloren apparaten, datalekken), met wie contact op te nemen in geval van bezorgdheid over de beveiliging
  • Fysieke beveiliging: Beveiligen van werkstations, toegangsbadges en geprinte documenten. Beperkte toegang tot gevoelige gebieden (serverruimtes, datacenters). Procedures voor bezoekers.
  • Ander softwaregebruik: Verbod op ongeautoriseerde software-installaties, gebruik van door het bedrijf goedgekeurde clouddiensten en opslag
  • Algemene beveiligingsverantwoordelijkheden: De rol van werknemers bij het handhaven van informatiebeveiliging, naleving van het bedrijfsbeleid, gevolgen van schendingen van de beveiliging

Door middel van je beveiligingsrichtlijnen en bewustmakingsprocessen zorg je ervoor dat ook die aspecten van informatiebeveiliging worden gedekt die technologisch of met de acties van het belangrijkste ISMS-team niet kunnen worden aangepakt.

8. Begin te werken aan risicobeheer voor informatiebeveiliging

Het belangrijkste proces in ISO 27001 is risicobeheer voor informatiebeveiliging. Risicomanagement moet een belangrijk hulpmiddel zijn om de implementatie van uw controles en beleid te evalueren en continu te verbeteren.

Voor uw eerste ISO 27001-certificering moet u kunnen aantonen dat u een robuuste procedure hebt voor risicobeheer van informatiebeveiliging en dat u deze met duidelijke resultaten implementeert.

Dit zijn de belangrijkste stappen in dit proces:

  • Stel een risicomanagementprocedure op en documenteer deze om ervoor te zorgen dat het werk consistent wordt uitgevoerd.
  • Identificeer relevante bedreigingen waardoor uw gegevens, datasystemen of andere services gecompromitteerd kunnen raken.
  • Evalueer deze risico's door hun waarschijnlijkheid en impact te bepalen.
  • Neem de hoogste risico's (die boven het aanvaardbare risiconiveau liggen) mee naar de risicobehandeling - en definieer de risicobehandelingsplannen om deze tot een aanvaardbaar niveau terug te brengen.

We hebben in een aparte blogpost gedetailleerd geschreven over ons aanbevolen en ingebouwde risicobeheerproces in Cyberday.

Risicogestuurd denken is belangrijk om in te leren tijdens het initiële ISO 27001-proces, maar het belang ervan neemt aantoonbaar toe wanneer uw ISMS volwassener wordt - en u de verbeteringen in uw beveiligingsstatus ontdekt na het bereiken van de initiële compliance.

9. Werken aan de Verklaring van Toepasselijkheid (SoA, ISO 27001-nalevingsrapport) om klaar te zijn voor certificering

De lijst met controles (of Bijlage A, of ISO 27002-document) is een onderdeel van de ISO 27001-norm met de beveiligingscontroles die u moet implementeren om aan de norm te voldoen.

Met een goede onderbouwing kunt u besluiten om sommige controles te categoriseren als "niet van toepassing" voor uw organisatie. Maar dit mag alleen worden gedaan na een zorgvuldige risicoanalyse (zie de vorige stap). En in werkelijkheid zijn veel van de controles die in ISO 27001 worden genoemd zo fundamenteel voor informatiebeveiliging, dat ze meestal niet kunnen worden overgeslagen.  

Een belangrijk onderdeel van je nalevingsproces is het invullen van een rapport genaamd de Verklaring van Toepasselijkheid (vaak SoA genoemd) dat een samenvatting geeft:

  • welke controles u hebt geïmplementeerd
  • hoe u deze controles hebt geïmplementeerd
  • voor de controles die niet van toepassing worden geacht, waarom dit zo is

Met behulp van het SoA-document (of bijvoorbeeld het geautomatiseerde ISO 27001 nalevingsrapport in Cyberday) kunt u een overzicht krijgen van uw controle-implementatie en gestaag toewerken naar het afdekken van alle controles met uw antwoorden.

Een certificeringsklaar compliancerapport in Cyberday zou er ongeveer zo uit moeten zien

10. Noodzakelijke documenten/beleidslijnen/rapporten opstellen en herzien

Bij informatiebeveiliging is documentatie vooral een mechanisme om consistentie, controleerbaarheid en auditeerbaarheid met betrekking tot je ISMS te garanderen . De meeste documentatie kan een willekeurig formaat hebben, bijvoorbeeld beschrijvingen van verschillende taken in uw ISMS. Maar de ISO 27001-norm definieert specifiek een aantal belangrijke documenten die moeten worden verzameld en gemakkelijk moeten kunnen worden gedeeld, bijvoorbeeld voor de auditor.

De belangrijkste documenten die u gewoonlijk aan het begin van een 27001-certificeringsaudit moet delen met een auditor zijn:

  • Verklaring van Toepasselijkheid (SoA)
  • ISMS-beschrijving en reikwijdte
  • Informatiebeveiligingsbeleid van de organisatie
  • Procedure voor risicobeheer
  • Interne auditprocedure + resultaten van vorige audit
  • Managementbeoordelingsprocedure + resultaten van vorige beoordeling
  • Procedure voor bewustmaking van personeel

We hebben in een aparte blogpost gedetailleerd geschreven over de belangrijkste documenten bij een ISO 27001-certificeringsaudit.

11. Voer een eerste managementbeoordeling uit

Regelmatige managementevaluaties zijn een verplichte vereiste in ISO 27001 om ervoor te zorgen dat het ISMS effectief blijft, is afgestemd op de bedrijfsdoelstellingen en voortdurend wordt verbeterd.

Bij deze beoordelingen, die meestal jaarlijks of halfjaarlijks worden uitgevoerd, evalueert het topmanagement belangrijke aspecten van het ISMS, zoals:

  • ✅ Beveiligingsrisico's en incidenten: Beoordelen van resultaten van risicobeheer en -behandeling, gerapporteerde incidenten en geleerde lessen.
  • Auditresultaten: Bevindingen van interne en externe audits evalueren.
  • Doeltreffendheid van het beleid: Beoordelen of het ISMS-beleid en de ISMS-controles de doelstellingen bereiken.
  • Feedback van belanghebbenden: Belangrijke feedback geven over gemarkeerde beveiligingsaspecten en mogelijke trends onder belanghebbenden (bijv. klanten, eigenaren, partners).
  • ✅ Mogelijkheden voor verbetering: De belangrijkste gebieden identificeren waar beveiligingsmaatregelen moeten worden verbeterd.

Goed uitgevoerde managementreviews laten zien dat het topmanagement betrokken is bij informatiebeveiliging en helpen het ISMS-team bij het nemen van beslissingen over beveiligingsinvesteringen en het prioriteren van ideeën voor verbetering.

Vóór uw eerste ISO 27001-certificeringsaudit moet u kunnen aantonen dat u een proces hebt voor het uitvoeren van managementbeoordelingen en de resultaten van ten minste één managementbeoordeling kunnen presenteren.

12. Een interne ISO 27001-audit uitvoeren

Informatiebeveiligingsaudits zijn systematische evaluaties van de informatiebeveiliging van een organisatie.

Een ISO 27001 interne audit moet specifiek worden gebruikt om te controleren of u kunt aantonen dat u voldoet aan de vereisten van de norm. Audits onderzoeken of het gedefinieerde beleid en de gedefinieerde controles adequaat zijn en of de organisatie echt volgens het ISMS werkt.

Bij een interne ISO 27001-audit wordt de audit meestal uitgevoerd door door u gekozen competente medewerkers. U kunt deze diensten ook van externe partners kopen.

Om klaar te zijn voor certificering moet je:

  • een duidelijk proceduredocument beschikbaar hebben dat je volgt bij het uitvoeren van de audits
  • resultaten beschikbaar hebben van ten minste één interne audit

Hiermee laat je zien dat je audits kunt uitvoeren en er zinvolle resultaten uit kunt halen. In de toekomst zullen audits een steeds belangrijkere rol spelen bij het waarborgen van continue verbetering, het verhelpen van non-conformiteiten en het vergroten van de volwassenheid van je informatiebeveiliging.

13. Een externe audit van ISMS ondergaan om ISO 27001-certificering te verkrijgen

De externe audit ISO 27001-certificeringsaudit is de stap die valideert dat uw ISMS voldoet aan ISO 27001. Deze audit wordt uitgevoerd door een geaccrediteerde externe certificeringsinstantie.

De auditor zal u om meer details vragen, bewijsmateriaal inspecteren, personeelsinterviews houden en op andere manieren beoordelen of de gedefinieerde beveiligingsmaatregelen geschikt zijn en in de dagelijkse activiteiten worden gevolgd. De externe audit duurt enkele dagen tot enkele weken, afhankelijk van de grootte van uw organisatie.

De auditor kan tijdens de audit non-conformiteiten vaststellen, die altijd verwijzen naar bepaalde secties van de norm die niet worden nageleefd. Je herstelt de non-conformiteiten met corrigerende acties, ofwel onmiddellijk (grote non-conformiteiten) of binnen een bepaalde tijd (kleine non-conformiteiten).

Als eindresultaat van een succesvolle ISO 27001 certificeringsaudit ontvangt u vervolgens een certificaat.

We hebben in een apart artikel gedetailleerd geschreven over het ISO 27001 certificeringsauditproces.

14. Plan voor het uitvoeren van het ISMS en komende interne en toezichtsaudits

Het behalen van de ISO 27001 certificering is een grote stap. Maar in de zin van uw algehele informatiebeveiliging is het nog steeds het begin. U moet uw ISMS goed onderhouden en voortdurend blijven verbeteren.

Hier zijn enkele belangrijke stappen om ervoor te zorgen dat je ISMS aan de eisen blijft voldoen en blijft verbeteren:

  • Controleer en actualiseer het ISMS regelmatig: Je moet een ritme creëren om je ISMS up-to-date te houden. Zonder onderhoud veroudert het ISMS door technologische updates in je omgeving, veranderingen in de implementatie van bepaald beleid of door andere fouten en veranderingen. Dit kan vooral worden gestuurd door bijvoorbeeld maandelijkse ISMS-teamvergaderingen en geautomatiseerde herinneringen.
  • Prioriteit geven aan beveiligingsverbeteringen en deze doorvoeren: Moedig feedback van werknemers over beveiligingsverbeteringen aan. Houd beveiliging afgestemd op bedrijfsdoelstellingen en nieuwe bedreigingen. Nieuwe best practices en innovaties op het gebied van beveiliging aannemen om de ISMS-volwassenheid te versterken.
  • Doe voortdurend aan risicobeheer.
  • Regelmatige interne audits en managementevaluaties uitvoeren: non-conformiteiten oplossen, enz.
  • Monitor incidenten en behandel de gebeurde incidenten: neem corrigerende maatregelen

Een ISMS-app kan je helpen ervoor te zorgen dat je altijd voldoet aan ISO 27001. Deze tools bieden voortdurende controle om u op de hoogte te stellen wanneer uw organisatie niet meer aan de eisen voldoet.

Bekijk hoe Cyberday uw ISO 27001-implementatie kan vergemakkelijken door een gratis proefversie te starten of een demo aan te vragen.

Geschreven door
Aleksi Pulkkanen
6.2.2025
@
apulkkanen
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Artikel delen

Andere vergelijkbare content van Academy

Blogs

10 meest voorkomende non-conformiteiten in ISO 27001-audits

Audits en non-conformiteiten zetten organisaties aan tot voortdurende verbetering. Maar voor uw eerste ISO 27001 certificering is het goed om op de hoogte te zijn van een aantal veelvoorkomende non-conformiteiten, zodat u deze kunt vermijden tijdens uw certificeringsaudit.
18.2.2025

Ik heb een ISO 27001 auditgesprek aangevraagd - wat kan ik verwachten?

In deze blog bespreken we het belang van werknemersparticipatie in het auditinterviewproces, waarom auditors de inzichten van werknemers waarderen en kijken we naar mogelijke vragen die worden gesteld in een ISO 27001-interview.
13.2.2025

Controlelijst voor naleving en certificering van ISO 27001

Wilt u ervoor zorgen dat u voldoet aan de ISO 27001-eisen? Deze checklist presenteert duidelijk geordende belangrijke stappen die uw organisatie begeleiden bij het bouwen van een ISMS en het voldoen aan de ISO 27001-norm.
6.2.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekWekelijkse nieuwsverteertInschrijven voor AcademieLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid