NIS2 & DORA van kracht. EU AI Act volgt — boek een demo
Alle frameworks
Raamwerk

ISO 27001-certificering, vereenvoudigd

Bouw en onderhoud uw Information Security Management System met AI. Matproof automatiseert risicobeoordelingen, controlekoppelingen en bewijsverzameling voor ISO 27001:2022.

Demo aanvragen

Wat is ISO 27001?

ISO/IEC 27001 is de meest erkende internationale standaard ter wereld voor informatiebeveiligingsbeheer. Gezamenlijk gepubliceerd door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC), specificeert de standaard de vereisten voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). De huidige versie, ISO/IEC 27001:2022, verving de vorige editie uit 2013 met bijgewerkte controles die het moderne dreigingslandschap weerspiegelen.

In de kern volgt ISO 27001 een risicogebaseerde benadering van informatiebeveiliging. In plaats van een vaste set technische maatregelen voor te schrijven, vereist de standaard dat organisaties hun informatiebeveiligingsrisico's systematisch beoordelen en passende controles selecteren om deze te mitigeren. Dit maakt de standaard toepasbaar voor organisaties van elke omvang, in elke sector en op elk niveau van digitale volwassenheid. Van een startup met 10 medewerkers tot een multinationale bank - het framework schaalt mee met de context van de organisatie.

De standaard is opgebouwd uit twee hoofdonderdelen. Clausules 4-10 definiëren de managementsysteemvereisten - de organisatorische processen voor het besturen van informatiebeveiliging, waaronder commitment van het management, risicobeoordelingsmethodologie, interne audits en continue verbetering. Annex A biedt een referentielijst van 93 informatiebeveiligingscontroles, geordend in vier thema's: Organisatorisch, Personen, Fysiek en Technologisch. Organisaties selecteren toepasselijke controles op basis van hun risicobeoordeling en documenteren deze selecties in een Verklaring van Toepasselijkheid (SoA).

ISO 27001-certificering wordt verleend door geaccrediteerde certificatie-instellingen (zoals TUV, BSI of Bureau Veritas) na een succesvolle tweefasen-audit. Certificering is drie jaar geldig, met jaarlijkse surveillance-audits om doorlopende naleving te verifiëren. De standaard wordt wereldwijd erkend en is vaak een voorwaarde voor zakendoen met ondernemingen, overheidsinstellingen en gereguleerde sectoren - met name in de Europese financiële sector waar het dient als basis voor DORA, BAIT en andere regelgevende vereisten.

Wie heeft ISO 27001-certificering nodig?

ISO 27001 is relevant voor elke organisatie die met gevoelige informatie omgaat en een systematische aanpak van de bescherming ervan wil aantonen. Hoewel certificering vrijwillig is, is het een de facto vereiste geworden in veel sectoren en zakelijke relaties. De volgende organisaties streven doorgaans ISO 27001-certificering na:

Primaire sectoren

  • Financiële dienstverlening (banken, verzekeraars, vermogensbeheerders)
  • Technologie- en SaaS-bedrijven
  • Gezondheidszorg en life sciences
  • Overheid en publieke sector-opdrachtnemers
  • Professionele dienstverlening en adviesbureaus
  • Telecommunicatie en energie

Zakelijke drijfveren

  • Contractuele vereisten van klanten en partners
  • Wettelijke compliance (DORA, NIS2, BAIT)
  • Concurrentiedifferentiatie bij tenders en RFP's
  • Vereisten voor cyberverzekeringen
  • Verwachtingen van bestuur en investeerders
  • Beveiligingsvereisten in de toeleveringsketen

In Nederland en de bredere EU heeft ISO 27001-certificering bijzonder gewicht. Financiële toezichthouders zoals DNB verwijzen naar ISO 27001 als erkend framework in hun toezichtrichtlijnen. Onder DORA en NIS2 biedt een ISO 27001-gecertificeerd ISMS een sterke basis voor het voldoen aan deze regelgevende vereisten, hoewel aanvullende maatregelen nodig zijn voor volledige naleving. Voor ICT-dienstverleners die financiële instellingen bedienen, is ISO 27001-certificering vaak een niet-onderhandelbare voorwaarde.

Not sure if you're compliant?

Take the free ISO 27001 readiness assessment — 10 questions, 3 minutes.

Check your readiness

ISO 27001:2022-kernvereisten

1. Context van de organisatie (clausule 4)

Organisaties moeten hun interne en externe context begrijpen, belanghebbenden en hun vereisten identificeren, en de scope van het ISMS vaststellen. Dit omvat het definiëren van de grenzen en toepasselijkheid van het managementsysteem, rekening houdend met uitbestede processen, interfaces met andere organisaties en afhankelijkheden. De scope moet gedocumenteerd zijn en beschikbaar voor belanghebbenden.

2. Leiderschap en commitment (clausule 5)

Het topmanagement moet leiderschap en commitment tonen ten aanzien van het ISMS door een informatiebeveiligingsbeleid vast te stellen, ervoor te zorgen dat ISMS-doelstellingen compatibel zijn met de strategische richting, ISMS-vereisten te integreren in bedrijfsprocessen, adequate middelen beschikbaar te stellen en continue verbetering te bevorderen. Het management moet rollen, verantwoordelijkheden en bevoegdheden voor informatiebeveiliging toewijzen en ervoor zorgen dat het ISMS de beoogde resultaten behaalt.

3. Risicobeoordeling en -behandeling (clausule 6 en 8)

Het risicobeoordelingsproces is de hoeksteen van ISO 27001. Organisaties moeten een risicobeoordelingsmethodologie definiëren, informatiebeveiligingsrisico's identificeren, deze risico's analyseren en evalueren, en passende risicobehandelingsopties selecteren. Het risicobehandelingsplan moet verwijzen naar controles uit Annex A (of andere bronnen) en worden gedocumenteerd in de Verklaring van Toepasselijkheid (SoA). Risicobeoordelingen moeten op geplande intervallen worden herhaald en wanneer significante wijzigingen optreden.

4. Annex A-controles - Organisatorisch (37 controles)

Organisatorische controles bestrijken beleid, rollen en verantwoordelijkheden, functiescheiding, contact met autoriteiten, dreigingsinformatie, informatiebeveiliging in projectmanagement, assetmanagement, toegangscontrolebeleid, identiteitsbeheer, informatieclassificatie, leveranciersrelaties, cloudserviceovereenkomsten, ICT-gereedheid voor bedrijfscontinuïteit, wet- en regelgevingscompliance, en informatiebeveiligingsbeoordelingen. Nieuwe controles in 2022 omvatten dreigingsinformatie (A.5.7) en informatiebeveiliging voor clouddiensten (A.5.23).

5. Annex A-controles - Personen (8 controles)

Personencontroles adresseren het menselijke element van informatiebeveiliging: screening en antecedentenverificatie, arbeidsvoorwaarden, bewustwording en training op het gebied van informatiebeveiliging, disciplinaire processen, verantwoordelijkheden na beëindiging dienstverband, geheimhoudingsovereenkomsten en beveiliging bij thuiswerken. Deze controles erkennen dat mensen vaak de zwakste schakel zijn in informatiebeveiliging en systematisch beheer vereisen.

6. Annex A-controles - Fysiek (14 controles)

Fysieke controles omvatten beveiligingsperimeters, fysieke toegangscontroles, beveiliging van kantoren en faciliteiten, fysieke beveiligingsmonitoring, bescherming tegen omgevingsdreigingen, werken in beveiligde zones, clean desk en clean screen-beleid, apparatuurplaatsing en -bescherming, beveiliging van middelen buiten het bedrijfsterrein, beheer van opslagmedia, ondersteunende nutsvoorzieningen en bekabelingsbeveiliging. Deze controles beschermen de fysieke infrastructuur en omgevingen waar informatie wordt verwerkt.

7. Annex A-controles - Technologisch (34 controles)

Technologische controles omvatten endpointbeveiliging, beheer van bevoorrechte toegang, informatietoegangsbeperking, veilige authenticatie, capaciteitsbeheer, malwarebescherming, kwetsbaarheidsbeheer, configuratiebeheer, informatieverwijdering, datamaskering, bescherming tegen gegevenslekken, monitoringactiviteiten, webfiltering, veilig coderen en netwerkbeveiliging. Nieuwe controles in 2022 omvatten datamaskering (A.8.11), bescherming tegen gegevenslekken (A.8.12) en monitoringactiviteiten (A.8.16).

8. Interne audit en managementbeoordeling (clausules 9-10)

Organisaties moeten op geplande intervallen interne audits uitvoeren om te verifiëren dat het ISMS voldoet aan de vereisten en effectief is geïmplementeerd. Managementbeoordelingen moeten de ISMS-prestaties evalueren, inclusief auditresultaten, status van risicobeoordelingen en mogelijkheden voor verbetering. De clausule over continue verbetering (10) vereist dat organisaties non-conformiteiten aanpakken, corrigerende maatregelen treffen en de geschiktheid, adequaatheid en effectiviteit van het ISMS voortdurend verbeteren.

Gevolgen van het ontbreken van ISO 27001

Hoewel er geen directe wettelijke sancties zijn voor het ontbreken van ISO 27001-certificering, kunnen de zakelijke en regelgevende gevolgen aanzienlijk zijn, met name in de Europese financiële sector.

Contractverlies

Financiële instellingen en enterprise-klanten vereisen steeds vaker ISO 27001 als basisvereiste voor leveranciersselectie en contractverlenging

Regelgevingsrisico

Toezichthouders zoals DNB verwijzen naar ISO 27001 in richtlijnen. Het ontbreken van certificering kan leiden tot verscherpt toezicht

Hogere verzekeringskosten

Cyberverzekeraars bieden steeds vaker betere voorwaarden en lagere premies aan ISO 27001-gecertificeerde organisaties

Aansprakelijkheid bij inbreuken

Bij een datalek kan het ontbreken van een erkend beveiligingsframework de juridische aansprakelijkheid en boetes onder de AVG verhogen

Certificering kan ook worden opgeschort of ingetrokken als een organisatie de surveillance-audits niet doorstaat, grote non-conformiteiten niet binnen de vereiste termijn aanpakt, of het ISMS laat verslechteren. Verlies van certificering moet worden gemeld aan klanten en partners, wat zakelijke relaties en marktreputatie kan schaden. Het onderhouden van continue compliance is daarom essentieel - niet alleen voor de initiële certificering, maar gedurende de gehele driejarige cyclus.

Hoe u ISO 27001-gecertificeerd wordt

ISO 27001-certificering volgt een gestructureerd proces van initiële scoping tot de certificeringsaudit. Hier volgt een stapsgewijs stappenplan:

  1. 1

    Definieer scope en richt het ISMS in

    Bepaal de grenzen van uw ISMS - welke bedrijfsonderdelen, locaties, systemen en processen zijn opgenomen. Stel het informatiebeveiligingsbeleid op, definieer ISMS-doelstellingen en verzeker commitment en middelen van het management. De scope moet betekenisvol zijn voor uw bedrijf en aansluiten bij de verwachtingen van belanghebbenden.

  2. 2

    Risicobeoordeling en Verklaring van Toepasselijkheid

    Voer een systematische risicobeoordeling uit om dreigingen, kwetsbaarheden en impacts op informatiemiddelen te identificeren. Evalueer risico's aan de hand van uw risicocriteria en bepaal behandelingsopties (mitigeren, accepteren, overdragen, vermijden). Koppel geselecteerde controles aan Annex A en documenteer de Verklaring van Toepasselijkheid (SoA), met onderbouwing van opgenomen en uitgesloten controles.

  3. 3

    Implementeer controles en documentatie

    Implementeer de geselecteerde controles in alle vier de thema's (Organisatorisch, Personen, Fysiek, Technologisch). Maak de vereiste documentatie aan, waaronder beleidsregels, procedures en registraties. Zorg dat controles operationeel zijn en dat bewijs van hun effectiviteit wordt verzameld. Adresseer zowel technische maatregelen als organisatorische processen.

  4. 4

    Interne audit en managementbeoordeling

    Voer minstens één volledige interne audit van het ISMS uit voor de certificeringsaudit. De interne audit moet alle clausules en toepasselijke Annex A-controles bestrijken. Houd een formele managementbeoordeling om ISMS-prestaties, auditbevindingen, resultaten van risicobeoordelingen en verbetermogelijkheden te evalueren. Adresseer alle non-conformiteiten vóór de externe audit.

  5. 5

    Fase 1 en Fase 2 certificeringsaudit

    De certificeringsaudit wordt in twee fasen uitgevoerd door een geaccrediteerde certificatie-instelling. Fase 1 is een documentatiebeoordeling - de auditor beoordeelt ISMS-documentatie, scope en gereedheid. Fase 2 is de hoofdaudit - de auditor verifieert dat controles zijn geïmplementeerd en effectief zijn via interviews, bewijsbeoordeling en observatie. Grote non-conformiteiten moeten worden opgelost voordat certificering wordt verleend.

  6. 6

    Onderhoud en verbeter (driejarige cyclus)

    Na certificering onderhoudt u het ISMS via continue monitoring, regelmatige herbeoordelingen van risico's en jaarlijkse surveillance-audits (jaar 1 en 2). Aan het einde van de driejarige cyclus ondergaat u een hercertificeringsaudit. Gebruik Matproof om bewijsverzameling te automatiseren, controle-effectiviteit te volgen en het hele jaar door auditgereed te blijven, waardoor de last van surveillance- en hercertificeringsaudits wordt verminderd.

Veelgestelde vragen over ISO 27001

Wat is ISO 27001?

ISO/IEC 27001 is een internationale standaard voor informatiebeveiligingsmanagementsystemen (ISMS). Gepubliceerd door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC), biedt het een systematische aanpak voor het beheren van gevoelige bedrijfsinformatie via risicomanagementprocessen. De huidige versie is ISO/IEC 27001:2022, die de editie uit 2013 heeft bijgewerkt met een geherstructureerde set van 93 controles in 4 thema's.

Wat is het verschil tussen ISO 27001:2013 en ISO 27001:2022?

De revisie van 2022 herstructureerde Annex A-controles van 114 controles in 14 domeinen naar 93 controles in 4 thema's: Organisatorisch (37 controles), Personen (8 controles), Fysiek (14 controles) en Technologisch (34 controles). Het introduceerde ook 11 nieuwe controles op gebieden zoals dreigingsinformatie, cloudbeveiliging, ICT-gereedheid voor bedrijfscontinuïteit en datamaskering. Organisaties gecertificeerd voor de 2013-versie moeten overgaan naar de 2022-standaard voor 31 oktober 2025.

Hoe lang duurt ISO 27001-certificering?

De tijdlijn is afhankelijk van de omvang en volwassenheid van de organisatie. Een klein bedrijf (minder dan 50 medewerkers) met bestaande beveiligingspraktijken kan doorgaans in 3-6 maanden certificering behalen. Grotere organisaties hebben mogelijk 6-12 maanden nodig. Het proces omvat ISMS-ontwikkeling, risicobeoordeling, controle-implementatie, interne audit, managementbeoordeling en een tweefasen externe audit. Het automatiseringsplatform van Matproof kan deze tijdlijn met 40-60% verkorten.

Hoeveel kost ISO 27001-certificering?

De kosten zijn afhankelijk van de omvang van de organisatie, de scope en de gekozen certificatie-instelling. Voor een klein bedrijf kunt u EUR 15.000-30.000 totaal verwachten (inclusief advies-, implementatie- en auditkosten). Middelgrote organisaties besteden mogelijk EUR 30.000-80.000. De certificeringsaudit zelf kost doorgaans EUR 5.000-15.000 voor kleine bedrijven en EUR 15.000-40.000 voor grotere organisaties. Jaarlijkse surveillance-audits kosten ongeveer 30-50% van de initiële certificeringsaudit.

Is ISO 27001 verplicht?

ISO 27001 is in de meeste rechtsgebieden niet wettelijk verplicht. Het wordt echter vaak vereist door klanten, partners en regelgevende kaders. In de Europese financiële sector verwachten toezichthouders zoals DNB dat financiële instellingen informatiebeveiligingsbeheer onderhouden dat is afgestemd op erkende standaarden - ISO 27001 is de meest genoemde. Veel organisaties nemen ISO 27001-certificering op als voorwaarde in inkoopprocessen, met name in financiële dienstverlening, gezondheidszorg en overheidscontracten.

Wat is de relatie tussen ISO 27001 en ISO 27002?

ISO 27001 definieert de vereisten voor het opzetten, implementeren en onderhouden van een ISMS - het is de certificeerbare standaard. ISO 27002 biedt gedetailleerde implementatierichtlijnen voor de Annex A-controles waarnaar ISO 27001 verwijst. Beschouw ISO 27001 als het 'wat' (vereisten) en ISO 27002 als het 'hoe' (richtlijnen). Alleen ISO 27001 kan worden geauditeerd en gecertificeerd; ISO 27002 is een ondersteunend referentiedocument.

ISO 27001 Readiness Assessment

Check your information security readiness

Take the free assessment

Belangrijkste functies

Risicobeoordeling & -behandeling

Geautomatiseerde risico-identificatie, -beoordeling en behandelplannen afgestemd op ISO 27001 Annex A-controles.

Verklaring van toepasselijkheid

Genereer automatisch uw SoA met onderbouwingen voor elke Annex A-controle. Houd deze up-to-date wanneer uw omgeving verandert.

Controle-implementatie

Koppel uw bestaande beveiligingscontroles aan ISO 27001:2022-vereisten. Identificeer hiaten en volg het herstel.

Ondersteuning bij interne audit

Stroomlijn interne audits met vooraf opgestelde checklists, bewijstrails en tracking van non-conformiteiten.

Continue ISMS-monitoring

Houd uw ISMS draaiende met continue controlemonitoring, managementreviewdashboards en verbetertracking.

Documentbeheer

Versiebeheersde beleidsregels, procedures en registraties. Volledige audittrail voor elke documentwijziging.

Waarom Matproof

Word 3x sneller gecertificeerd dan met traditionele methoden
Verklaring van toepasselijkheid automatisch gegenereerd
Continue ISMS-monitoring, geen jaarlijkse momentopnamen
Dekt ISO 27001:2022 met alle Annex A-controles

ISO compliance in heel Duitsland

Vind stadsspecifieke compliancegidsen voor uw financiële instelling.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Alle steden & frameworks bekijken

ISO 27001 Readiness Assessment

Check your information security readiness

Take the free assessment

Klantverhalen

Teams die niet meer opzien tegen het auditseizoen.

85%minder voorbereidingstijd

Matproof heeft ons maanden aan auditvoorbereiding bespaard. We koppelden onze tools op maandag en hadden vrijdag al DORA-gemapt bewijsmateriaal. Onze auditor was onder de indruk van de diepgang van de audit trail.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Klaar om te beginnen?

Klaar om te beginnen?

Ontdek hoe Matproof compliance automatiseert voor uw organisatie.

Demo aanvragen