Home Normen ✦ AI Offerte →
HomeNormen → ISO/IEC 27001

ISO/IEC 27001 — Informatiebeveiliging

De internationaal erkende norm voor informatiebeveiligingsmanagementsystemen (ISMS). ISO 27001-certificering toont aan dat uw organisatie systematische beheersmaatregelen heeft geïmplementeerd om informatiebedrijfsmiddelen te beschermen — erkend door opdrachtgevers, toezichthouders en inkooporganisaties in meer dan 100 landen.

ISO 27001:2022 ISMS IAF MLA erkend 100+ landen

Wat is ISO/IEC 27001?

ISO/IEC 27001 is de toonaangevende internationale norm voor informatiebeveiligingsmanagementsystemen (ISMS), uitgegeven door de International Organization for Standardization (ISO). De revisie van 2022 introduceerde een herziene set Annex A-beheersmaatregelen, afgestemd op ISO 27002:2022, teruggebracht van 114 naar 93 maatregelen in 4 thema’s.

Certificering bewijst dat een organisatie haar informatiebeveiligingsrisico’s heeft beoordeeld en passende beheersmaatregelen heeft geïmplementeerd binnen een systematisch managementkader, geverifieerd door een onafhankelijke externe audit.

Wie heeft ISO 27001 nodig?

  • Technologiebedrijven en SaaS-aanbieders met zakelijke B2B-klanten
  • Financiële dienstverleners, banken en betalingsverwerkers
  • Gezondheidszorg- en MedTech-organisaties die patiëntgegevens verwerken
  • Overheidsaannemers en publieke sector
  • Datacenters, cloudproviders en managed service providers
  • Elke organisatie die beveiligingsvragenlijsten van klanten of inkoop beantwoordt

ISO 27001:2022 — Belangrijkste wijzigingen ten opzichte van 2013

Organisaties gecertificeerd onder ISO 27001:2013 moeten overstappen naar de 2022-versie. De belangrijkste wijzigingen zijn:

  • Annex A herstructureerd in 4 thema’s: Organisatorisch, Mensen, Fysiek, Technologisch
  • 11 nieuwe beheersmaatregelen toegevoegd, waaronder dreigingsintelligentie, cloudbeveiliging en gegevensmaskering
  • Totaal aantal maatregelen teruggebracht van 114 naar 93 (sommige samengevoegd)
  • Betere afstemming met andere ISO-managementsysteemnormen (High Level Structure)

Scope van een ISO 27001-certificering

Scopebepaling is een kritische stap in het certificeringsproces. De scope bepaalt welke informatiebedrijfsmiddelen, processen, locaties en organisatie-eenheden binnen de ISMS-grens vallen. De gap-analysefase van BALTUM omvat gedetailleerde begeleiding bij scopebepaling, zodat deze betekenisvol is voor belanghebbenden en haalbaar binnen de beoogde tijdlijn.

Het BALTUM-proces: stap voor stap

  • Stap 1 — Gap-analyse en scopebepaling: Beoordeling van de huidige situatie ten opzichte van ISO 27001:2022-eisen. Gap-register. Scopedocument. Projectroadmap.
  • Stap 2 — ISMS-documentatie: Informatiebeveiligingsbeleid, risicobeoordeling en -behandelingsmethodologie, Verklaring van Toepasselijkheid, procedures en beheersmaatregel-documentatie.
  • Stap 3 — Implementatiebegeleiding: Ondersteuning bij implementatie van beheersmaatregelen, interne audit en directiebeoordeling.
  • Stap 4 — Certificeringsaudit: Fase 1-documentatiebeoordeling en Fase 2-audit op locatie/op afstand door een geaccrediteerde certificatie-instelling.
  • Stap 5 — Bewaking: Jaarlijkse surveillance-audits en driejaarlijkse hercertificeringsplanning.

Typische doorlooptijd

Voor een middelgrote organisatie (50–500 medewerkers) die voor het eerst certificeert: 3–6 maanden van start tot certificaatuitgifte. De doorlooptijd hangt af van de omvang, het huidige volwassenheidsniveau en de beschikbaarheid van interne middelen. BALTUM levert bij aanvang een mijlpaalgebaseerd projectplan.

Integratie met andere normen

ISO 27001 wordt vaak geïmplementeerd samen met aanvullende normen. BALTUM biedt geïntegreerde programma’s die documentatie, beheersmaatregelen en auditactiviteiten delen:

  • ISO 27001 + ISO 27701 (Privacymanagement)
  • ISO 27001 + ISO 22301 (Bedrijfscontinuïteit)
  • ISO 27001 + ISO 42001 (AI-managementsysteem)
  • ISO 27001 + SOC 2 (uniform bewijskader)
  • ISO 27001 + PCI DSS (financiële sector)