Skip to Content
ISO 27001Begrippenlijst

Begrippenlijst ISO 27001

ISO 27001  heeft zijn eigen vocabulaire. Termen als SoA, ISMS en CIA-driehoek komen in elke bespreking terug, maar worden lang niet altijd uitgelegd. Op deze pagina staan 18 begrippen die je tegenkomt bij de eisen van de norm en het opzetten van een ISMS. De officiële definities staan in ISO/IEC 27000:2018 , verkrijgbaar via NEN .

De begrippen zijn gegroepeerd op thema. Klik een link in de definitie om door te lezen op de bijbehorende pagina.

Kerntermen

ISMS (Information Security Management System) Een managementsysteem voor informatiebeveiliging. Het ISMS is de centrale structuur van ISO 27001: het beschrijft hoe je risico’s identificeert, maatregelen implementeert, controleert of ze werken, en continu verbetert. Geen softwarepakket, maar een systematische aanpak. Meer uitleg op de pagina over het ISMS.

CIA-driehoek De drie pijlers van informatiebeveiliging: Confidentiality (vertrouwelijkheid), Integrity (integriteit) en Availability (beschikbaarheid). Vertrouwelijkheid betekent dat alleen bevoegden bij informatie kunnen. Integriteit betekent dat informatie juist en volledig blijft. Beschikbaarheid betekent dat informatie er is wanneer je hem nodig hebt. ISO 27001 beschermt informatie langs alle drie de dimensies.

Informatiebeveiligingsbeleid Een document dat de intenties en richting van de organisatie op het gebied van informatiebeveiliging beschrijft. De directie stelt het beleid vast. Het bevat geen technische details, maar de uitgangspunten en doelstellingen. ISO 27001 eist dit document expliciet in hoofdstuk 5.2. Lees meer over de inhoud op de pagina informatiebeveiligingsbeleid.

Scope (toepassingsgebied) Het deel van de organisatie waarop het ISMS van toepassing is. Je kunt kiezen voor de hele organisatie of een afgebakend deel, zoals één product, locatie of afdeling. De scope moet logisch zijn en door de auditor als geloofwaardig worden gezien. Zie scope bepalen voor voorbeelden.

Beheersmaatregel (control) Een maatregel die een risico verkleint of beheerst. ISO 27001 bevat in Annex A een catalogus van 93 beheersmaatregelen. Je selecteert de maatregelen die relevant zijn voor jouw risicoprofiel.

Risicotermen

Risicobeoordeling (risk assessment) Het proces waarbij je risico’s voor de informatiebeveiliging identificeert, analyseert en evalueert. ISO 27001 eist een formele, reproduceerbare risicobeoordeling. Het resultaat is een risicoregister met kansen, impacts en behandelbeslissingen. Uitgebreide uitleg op de pagina risicoanalyse.

Risicoacceptatie Een bewuste beslissing om een risico niet verder te mitigeren. Je accepteert het restrisico omdat de kosten van maatregelen niet opwegen tegen de risicoreductie, of omdat het risico binnen je risicobereidheid valt. ISO 27001 vraagt dat je risicobereidheid vooraf door de directie is vastgesteld.

Risicobereidheid (risk appetite) Het niveau van risico dat een organisatie bereid is te accepteren. De directie bepaalt dit voorafgaand aan de risicobeoordeling. Een financiële instelling heeft doorgaans een lagere risicobereidheid voor datalekken dan een bakkerij.

Restrisico (residual risk) Het risico dat overblijft nadat je maatregelen hebt getroffen. Geen enkele maatregel elimineert een risico volledig. De directie accepteert het restrisico formeel als onderdeel van het ISMS.

Kwetsbaarheid (vulnerability) Een zwakke plek in een systeem, proces of maatregel die een dreiging kan benutten. Bijvoorbeeld: verouderde software, ontbrekende toegangsbeveiliging, of een medewerker zonder security-training. Een kwetsbaarheid op zich is geen risico; pas als er ook een dreiging is die haar kan benutten, wordt het een risico.

Dreiging (threat) Een potentiële oorzaak van een ongewenste gebeurtenis die schade kan toebrengen aan informatie. Dreigingen kunnen intern zijn (een medewerker die per ongeluk data verwijdert) of extern (een hacker, brand, overstroming). Het NCSC  publiceert jaarlijks het Cybersecuritybeeld Nederland met actuele dreigingen.

Documenten en processen

SoA — Statement of Applicability (verklaring van toepasselijkheid) Een verplicht document bij ISO 27001 dat voor elke maatregel uit Annex A vastlegt of je hem toepast en waarom. De SoA is de brug tussen je risicoanalyse en je maatregelen. Zie de pagina verklaring van toepasselijkheid voor een voorbeeldrij.

Annex A De bijlage bij ISO 27001:2022 die 93 beheersmaatregelen bevat, georganiseerd in vier categorieën: organisatorisch (37), menselijk (8), fysiek (14) en technologisch (34). Je bent niet verplicht alle 93 te implementeren. Zie Annex A voor het volledige overzicht.

Risicoregister Een document of spreadsheet dat alle geïdentificeerde risico’s bijhoudt, inclusief kans, impact, behandelbeslissing, eigenaar en status. Het risicoregister is een levend document dat je minimaal jaarlijks actualiseert.

Directiebeoordeling (management review) Een periodieke formele vergadering waarin de directie de status van het ISMS beoordeelt. ISO 27001 eist dit in hoofdstuk 9.3. De notulen zijn een verplicht document en de auditor vraagt er altijd naar.

Interne audit Een systematische controle door de eigen organisatie (of een externe partij die dat uitvoert) om te verifiëren of het ISMS voldoet aan de eisen. De interne auditor moet onafhankelijk zijn van wat hij auditeert. Meer op de pagina interne audit.

Organisatorische rollen

ISMS-eigenaar (Information Security Manager) De persoon die verantwoordelijk is voor het opzetten, onderhouden en verbeteren van het ISMS. Bij kleine organisaties combineert deze rol zich met een andere functie, zoals CTO of IT-manager. ISO 27001 verplicht niet een specifieke titel, maar wel duidelijke toewijzing van verantwoordelijkheid (hoofdstuk 5.3).

Risico-eigenaar (risk owner) De persoon die verantwoordelijk is voor een specifiek risico: beslissen over de behandeling, bewaken van de voortgang en accepteren van het restrisico. Elk risico in het risicoregister heeft een eigenaar.

Geaccrediteerde certificerende instantie Een organisatie die bevoegd is om ISO 27001 certificaten uit te geven, zoals Kiwa , DNV  of BSI . De accreditatie wordt verleend door de Raad voor Accreditatie (RvA) . Alleen certificaten van geaccrediteerde instanties worden door klanten en toezichthouders erkend.

Meer informatie

AVG en ISO 27001Veelgestelde vragen