Wat is ISO 27001?
In een wereld waarin datalekken dagelijks het nieuws halen en cyberaanvallen steeds geraffineerder worden, is informatiebeveiliging geen luxe meer maar een noodzaak. ISO 27001 is de internationale standaard die organisaties helpt om hun informatie systematisch te beschermen. Het is ontwikkeld door de International Organization for Standardization (ISO) in samenwerking met de International Electrotechnical Commission (IEC), vandaar de volledige naam ISO/IEC 27001.
Waar ISO 9001 draait om kwaliteitsmanagement, richt ISO 27001 zich specifiek op het beschermen van informatie tegen bedreigingen. Denk aan hackers die proberen in te breken, medewerkers die per ongeluk gevoelige data delen, of systemen die uitvallen op het slechtste moment. De norm biedt een raamwerk om deze risico’s te identificeren en te beheersen.
De huidige versie is ISO/IEC 27001:2022 , die in oktober 2022 werd gepubliceerd als opvolger van de versie uit 2013. In Nederland is de norm verkrijgbaar via NEN als NEN-EN-ISO/IEC 27001.
Waarom informatiebeveiliging zo belangrijk is geworden
De digitalisering van de afgelopen decennia heeft ons leven fundamenteel veranderd. Organisaties slaan meer informatie op dan ooit tevoren, vaak verspreid over meerdere systemen, cloudplatformen en apparaten. Deze informatie is waardevol, niet alleen voor de organisatie zelf, maar ook voor kwaadwillenden.
Volgens het Cybersecuritybeeld Nederland van het NCSC nemen cyberdreigingen in frequentie en impact toe. Ransomware-aanvallen, waarbij criminelen systemen gijzelen en losgeld eisen, treffen regelmatig Nederlandse bedrijven. De gemiddelde kosten van een datalek lopen volgens IBM’s Cost of a Data Breach Report wereldwijd in de miljoenen euro’s.
Maar het gaat niet alleen om cyberaanvallen. Informatiebeveiliging omvat ook bescherming tegen menselijke fouten, zoals een medewerker die per ongeluk een e-mail met klantgegevens naar de verkeerde ontvanger stuurt. Of tegen fysieke bedreigingen, zoals brand of wateroverlast in een serverruimte. ISO 27001 dwingt je om naar al deze scenario’s te kijken en maatregelen te treffen.
De kern van ISO 27001: het ISMS
Centraal in ISO 27001 staat het Information Security Management System, afgekort tot ISMS. Dit is geen softwarepakket dat je installeert, maar een systematische aanpak om informatiebeveiliging te organiseren. Het ISMS beschrijft hoe je risico’s identificeert, welke maatregelen je treft, hoe je controleert of die maatregelen werken, en hoe je continu verbetert.
Een goed ISMS is geen statisch document dat in een la verdwijnt. Het is een levend systeem dat meebeweegt met je organisatie. Wanneer je een nieuwe dienst lanceert, een overname doet, of overstapt naar een nieuwe cloudleverancier, moet je ISMS die veranderingen reflecteren.
De British Standards Institution (BSI) , een van de grootste certificerende instanties ter wereld, omschrijft het ISMS als “het hart van ISO 27001”. Alle andere elementen van de norm, van risicobeoordeling tot interne audits, draaien om dit centrale systeem.
De drie pijlers: vertrouwelijkheid, integriteit en beschikbaarheid
ISO 27001 beschermt informatie langs drie dimensies, vaak aangeduid met de Engelse afkorting CIA: Confidentiality, Integrity en Availability. In het Nederlands spreken we van vertrouwelijkheid, integriteit en beschikbaarheid.
Vertrouwelijkheid betekent dat informatie alleen toegankelijk is voor degenen die daartoe bevoegd zijn. Salarisgegevens horen alleen zichtbaar te zijn voor HR en de betreffende medewerker, niet voor willekeurige collega’s. Klantgegevens mogen niet op straat belanden.
Integriteit houdt in dat informatie juist en volledig blijft. Als een factuur wordt aangepast door een hacker, of als een databasefout leidt tot corrupte gegevens, is de integriteit aangetast. Je moet kunnen vertrouwen op de correctheid van je informatie.
Beschikbaarheid gaat over de toegankelijkheid van informatie wanneer je die nodig hebt. Als je e-mailsysteem dagenlang plat ligt, of als je geen toegang hebt tot kritieke bedrijfsapplicaties, heb je een beschikbaarheidsprobleem. Dit kan net zo schadelijk zijn als een datalek.
Een effectief ISMS houdt met alle drie de pijlers rekening. Soms staan ze op gespannen voet: extreme beveiliging kan de beschikbaarheid beperken, terwijl maximale toegankelijkheid de vertrouwelijkheid kan ondermijnen. Het vinden van de juiste balans is een kernuitdaging.
Is ISO 27001 verplicht?
Er bestaat geen Nederlandse wet die ISO 27001 certificering verplicht stelt. Toch is er een groeiende druk om het te hebben, en in sommige situaties is het de facto verplicht.
De Algemene Verordening Gegevensbescherming (AVG) , die sinds 2018 van kracht is, verplicht organisaties om “passende technische en organisatorische maatregelen” te nemen voor de bescherming van persoonsgegevens. De AVG schrijft niet voor welke maatregelen dat precies zijn, maar ISO 27001 wordt door de Autoriteit Persoonsgegevens gezien als een bewijs dat je informatiebeveiliging serieus neemt.
Voor bepaalde sectoren gelden aanvullende eisen. De financiële sector valt onder toezicht van De Nederlandsche Bank (DNB) , die via richtlijnen als Good Practice Informatiebeveiliging hoge eisen stelt aan informatiebeveiliging. Hoewel DNB geen specifieke certificering eist, helpt ISO 27001 om aan te tonen dat je aan de verwachtingen voldoet.
In de zorg speelt de NEN 7510 een vergelijkbare rol. Deze Nederlandse norm voor informatiebeveiliging in de zorg is gebaseerd op ISO 27001, maar bevat aanvullende eisen die specifiek zijn voor de zorgsector.
Waar ISO 27001 vaak wordt gevraagd:
- Bij aanbestedingen van overheidsorganisaties
- Door grote enterprise-klanten als contractvoorwaarde
- In sectoren die werken met gevoelige data (financieel, zorg, juridisch)
- Door partners en leveranciers in de keten
Wat kost ISO 27001 certificering?
De kosten variëren sterk, afhankelijk van de grootte en complexiteit van je organisatie. Een klein IT-bedrijf met tien medewerkers betaalt aanzienlijk minder dan een multinational met duizenden werknemers en complexe IT-infrastructuur.
De totale investering bestaat uit verschillende onderdelen. Allereerst is er de voorbereidingsfase, waarin je je ISMS opzet. Veel organisaties schakelen hier een adviseur voor in, wat kan oplopen van enkele duizenden euro’s voor een klein bedrijf tot tienduizenden euro’s voor grotere organisaties. Daarnaast zijn er de kosten voor de certificeringsaudit zelf, uitgevoerd door een geaccrediteerde certificerende instantie zoals Kiwa , TÜV , BSI , of DNV .
| Bedrijfsgrootte | Indicatie totale kosten eerste jaar |
|---|---|
| Klein (1-25 medewerkers) | €8.000 - €20.000 |
| Middelgroot (25-100 medewerkers) | €20.000 - €50.000 |
| Groot (100+ medewerkers) | €50.000 - €150.000+ |
Na certificering zijn er jaarlijkse kosten voor surveillance audits en onderhoud van het systeem. Reken op ongeveer 30-40% van de initiële auditkosten per jaar.
Lees meer over de gedetailleerde kostenopbouw.
Hoelang duurt het om gecertificeerd te raken?
Ook de doorlooptijd varieert, maar een realistisch traject voor een gemiddelde organisatie duurt zes tot twaalf maanden. Kleinere organisaties met relatief eenvoudige IT-omgevingen kunnen soms sneller klaar zijn, terwijl complexe organisaties met meerdere locaties en systemen langer nodig hebben.
De implementatie bestaat uit verschillende fasen. Eerst breng je je huidige situatie in kaart met een gap-analyse. Vervolgens ontwerp en implementeer je je ISMS, inclusief alle benodigde procedures, maatregelen en documentatie. Daarna moet je het systeem enige tijd in werking hebben voordat de auditor langskomt, zodat je kunt aantonen dat het daadwerkelijk functioneert.
Een veelgemaakte fout is onderschatting van de benodigde tijd. ISO 27001 implementatie is geen project dat je “erbij” doet. Het vraagt serieuze aandacht van medewerkers op verschillende niveaus in de organisatie.
Het verschil tussen ISO 27001 en ISO 27002
Een vraag die vaak opkomt: wat is het verschil tussen ISO 27001 en ISO 27002 ?
ISO 27001 is de norm waarop je gecertificeerd kunt worden. Het beschrijft de eisen voor een ISMS en bevat in Annex A een lijst met beheersmaatregelen (controls) die je kunt implementeren.
ISO 27002 is een aanvullende richtlijn die gedetailleerde implementatieadviezen geeft voor diezelfde beheersmaatregelen. Waar ISO 27001 zegt “je moet toegangsbeheer hebben”, legt ISO 27002 uit hoe je dat praktisch kunt inrichten.
Je kunt alleen gecertificeerd worden voor ISO 27001, niet voor ISO 27002. Maar ISO 27002 is een waardevolle bron om te begrijpen hoe je de eisen van ISO 27001 kunt invullen.
De relatie met andere normen
ISO 27001 staat niet op zichzelf. Het maakt deel uit van een breder ecosysteem van managementsysteemnormen die allemaal de High Level Structure (HLS) volgen. Dit betekent dat de basisstructuur van ISO 27001 identiek is aan die van ISO 9001 (kwaliteit), ISO 14001 (milieu) en ISO 45001 (arbeidsveiligheid).
Deze gedeelde structuur maakt het relatief eenvoudig om meerdere normen te combineren in een geïntegreerd managementsysteem. Veel organisaties kiezen ervoor om ISO 27001 te combineren met ISO 9001, omdat kwaliteitsmanagement en informatiebeveiliging elkaar aanvullen. Als je al ISO 9001 gecertificeerd bent, heb je al een groot deel van de infrastructuur die ook voor ISO 27001 nodig is.
Daarnaast zijn er sectorspecifieke uitbreidingen op ISO 27001. Voor clouddienstverleners is er ISO 27017 , voor de bescherming van persoonsgegevens in de cloud ISO 27018 , en voor privacymanagement ISO 27701 .
Als je organisatie al ISO 9001 gecertificeerd is, heb je een voorsprong. De structuur van beide normen is identiek, en elementen als directiebeoordeling, interne audits en documentbeheer kun je combineren.
Voor wie is ISO 27001 relevant?
Hoewel elke organisatie baat kan hebben bij gestructureerde informatiebeveiliging, is ISO 27001 certificering vooral relevant voor:
IT-dienstverleners en softwarebedrijven die systemen beheren of software ontwikkelen voor klanten. Deze klanten willen zekerheid dat hun data in veilige handen is. Een ISO 27001 certificaat biedt die zekerheid en is vaak een voorwaarde om überhaupt in aanmerking te komen voor opdrachten.
Organisaties die werken met gevoelige gegevens, zoals financiële instellingen, zorginstellingen, advocatenkantoren en accountants. De vertrouwelijkheid van klantinformatie is hier cruciaal, en een beveiligingsincident kan leiden tot reputatieschade, boetes en verlies van klanten.
Leveranciers in ketens waar informatiebeveiliging een aandachtspunt is. Grote organisaties stellen steeds vaker eisen aan hun leveranciers op het gebied van security, en ISO 27001 is een erkende manier om aan die eisen te voldoen.
Startups en scale-ups die enterprise-klanten willen binnenhalen. Een ISO 27001 certificaat kan het verschil maken bij het winnen van grote contracten, omdat het laat zien dat je ondanks je omvang professioneel omgaat met beveiliging.
De voordelen samengevat
Organisaties die ISO 27001 implementeren, noemen vaak de volgende voordelen:
De vermindering van risico’s is het meest directe voordeel. Door systematisch naar bedreigingen te kijken en maatregelen te treffen, verklein je de kans op incidenten en beperk je de impact als er toch iets misgaat.
Het vertrouwen van klanten en partners groeit wanneer je kunt aantonen dat informatiebeveiliging serieus wordt genomen. Een certificaat van een onafhankelijke auditor is overtuigender dan eigen beweringen.
De structuur en duidelijkheid die het ISMS biedt, helpt organisaties om gefragmenteerde beveiligingsmaatregelen samen te brengen tot een coherent geheel. Medewerkers weten wat er van hen verwacht wordt, en het management heeft overzicht.
Tot slot helpt ISO 27001 bij compliance met wet- en regelgeving. Hoewel het certificaat geen garantie is dat je aan alle wetten voldoet, biedt het een solide basis en maakt het audits door toezichthouders eenvoudiger.
Volgende stappen
Bronnen
- ISO/IEC 27001:2022 – Information security management systems – International Organization for Standardization
- NEN-EN-ISO/IEC 27001 – Nederlands Normalisatie-instituut
- NCSC - Nationaal Cyber Security Centrum – Rijksoverheid
- Autoriteit Persoonsgegevens – Toezichthouder persoonsgegevens