ISO 27001 certificering: stap voor stap uitgelegd
ISO 27001 is de internationale norm voor informatiebeveiliging. Een certificering laat zien dat uw organisatie informatiebeveiliging serieus neemt en aantoonbaar beheerst. Maar hoe werkt zo’n traject nu eigenlijk, en wat kunt u verwachten?
In dit blog leggen we stap voor stap uit hoe een ISO 27001 certficeringstraject verloopt: van de eerste nulmeting tot het behalen van het certificaat.
Wat is ISO 27001?
ISO 27001 is een internationale norm die eisen stelt aan een informatiebeveiligingsmanagementsysteem (ISMS). Het gaat niet om één technische maatregel, maar om een systematische aanpak: beleid bepalen, risico’s identificeren, maatregelen kiezen, implementeren en continu verbeteren.
De norm is van toepassing op organisaties van elke omvang en in elke sector. Of u nu een mkb-bedrijf bent of een grote instelling: als u informatiebeveiliging aantoonbaar wilt organiseren, is ISO 27001 de meest erkende standaard.
Stap 1: Nulmeting en gap-analyse
Een ISO 27001-traject begint vaak met een nulmeting of gap analyse. Daarin brengen we in kaart wat uw organisatie al doet op het gebied van informatiebeveiliging en waar de grootste afwijkingen zitten ten opzichte van de normeisen.
De uitkomst is een duidelijk beeld van de huidige situatie, een overzicht van de ‘gaps’ en een eerste inschatting van de benodigde inspanning. Dit vormt de basis voor een realistisch implementatieplan.
Stap 2: Scope en risicoanalyse
Voordat u begint met implementeren, moet de scope worden vastgesteld: welke systemen, processen en locaties vallen onder het ISMS? Een te brede scope maakt het traject onnodig complex; een te smalle scope vergroot het risico op bevindingen bij de externe audit of om grote informatiebeveiligingsrisico’s te missen.
Vervolgens voeren we een risicoanalyse uit. We gaan na welke informatie en informatiedragers beschermd moeten worden, koppelen dit aan dreigingen en kwetsbaarheden, berekenen de risico-index en bepalen welke maatregelen noodzakelijk zijn. Dit is het hart van ISO 27001: alles wat daarna volgt, is gebaseerd op deze analyse.
Stap 3: Implementatie van maatregelen
Op basis van de risicoanalyse stellen we een risicobehandelplan op. Daarin staat welke maatregelen worden getroffen, wie daarvoor verantwoordelijk is en wanneer dat gereed moet zijn. We werken altijd pragmatisch: maatregelen moeten werkbaar zijn in uw dagelijkse praktijk.
Daarna volgt de implementatiefase: beleid schrijven, procedures inrichten, beheersmaatregelen uitwerken, bewustzijnstraining organiseren en technische maatregelen aantoonbaar maken of treffen. Dit doen we niet alleen als adviseur, maar ook als projectleider die de voortgang bewaakt.
Stap 4: Interne audit en directiebeoordeling
Voordat u de externe audit ingaat, zijn twee stappen verplicht: de interne audit en de directiebeoordeling. De interne audit toetst of het systeem werkt zoals bedoeld. De directiebeoordeling laat zien dat het management betrokken is en stuurt op de resultaten.
Beide stappen moeten zijn gedocumenteerd. Ze bewijzen tegenover het verantwoordelijk management en de externe auditor dat uw ISMS niet slechts op papier bestaat, maar daadwerkelijk functioneert (of niet).
Stap 5: Externe audit en certificering
De externe audit wordt uitgevoerd door een geaccrediteerde certificerende instelling. De audit bestaat uit twee fasen: een documentatietoets (fase 1) en een implementatietoets op locatie (fase 2). Bij een positieve uitkomst ontvangt u het ISO 27001-certificaat, dat drie jaar geldig is.
Gedurende de certificeringsperiode vinden jaarlijkse surveillance-audits plaats. Na drie jaar volgt een hercertificering. Een goed ingericht ISMS zorgt ervoor dat u altijd audit-ready bent, niet alleen vlak voor de audit.
Hoe helpt ISO club met uw ISO 27001 traject?
Onze consultants kunnen uw ISO 27001 begeleiden met deze 5 stappen in de rol van coach of in de rol van begeleider. Bij de inzet als coach worden schrijfwerkzaamheden voornamelijk door uw eigen medewerkers uitgevoerd, en gereviewd door onze consultant. Bij inzet als begeleider neemt de consultant actief deel aan het implementatietraject, bewaakt de voortgang en in overleg wordt aangegeven welke activiteiten door deze consultant worden uitgevoerd.
Hoe lang duurt een ISO 27001-traject?
Gemiddeld duurt een traject van nulmeting tot certificering drie tot zes maanden. Dit hangt af van de omvang van uw organisatie, de bestaande beveiligingsmaatregelen en de beschikbare interne capaciteit.
Is ISO 27001 ook geschikt voor het mkb?
Ja. De norm is schaalbaar: de eisen zijn gelijk, maar de invulling past bij de omvang en complexiteit van uw organisatie. Een mkb-bedrijf hoeft geen systeem op te zetten dat bedoeld is voor een multinational.
Wat kost ISO 27001 certificering?
De kosten bestaan uit twee delen: de implementatiekosten (begeleiding, documentatie, maatregelen) en de kosten van de certificerende instelling.
De kosten van een implementatietraject hangen af van de omvang van de organisatie, de complexiteit en de gekozen norm. Het hangt er ook vanaf of u voldoende capaciteit wilt of kunt vrijmaken voor het implementatietraject.
Wat als de externe audit niet direct wordt gehaald?
Bevindingen worden via een gericht herstelplan en heraudit opgelost. In de meeste gevallen leidt dit alsnog tot certificering binnen een overzienbare termijn. Een goede voorbereiding minimaliseert de kans op ernstige bevindingen.
