Bewustwording en training bij ISO 27001
Technische maatregelen beschermen systemen. Mensen beschermen informatie. ISO 27001 erkent dat en stelt in Annex A maatregel A.6.3 verplicht: alle medewerkers ontvangen passende bewustwording en training op het gebied van informatiebeveiliging. De NEN-versie van de norm stelt dat dit een doorlopende activiteit is, niet een eenmalige checkbox bij indiensttreding.
Security awareness is ook een van de onderdelen die de auditor bij elke interne audit en externe audit actief toetst: zijn medewerkers getraind, is dat gedocumenteerd, en werkt het programma?
Wat eist ISO 27001 op het gebied van bewustzijn?
ISO 27001 stelt twee overlappende eisen:
Clausule 7.3 (Bewustzijn) eist dat medewerkers zich bewust zijn van:
- Het informatiebeveiligingsbeleid
- Hun bijdrage aan de effectiviteit van het ISMS
- De gevolgen van niet voldoen aan de eisen
A.6.3 (Security awareness en training) eist dat medewerkers passende awareness-training ontvangen die aansluit bij hun functie en bij actuele dreigingen. Ververs het programma regelmatig.
De norm schrijft geen specifieke trainingsvormen voor. Een schriftelijke policy die medewerkers ondertekenen, een e-learningmodule, een live sessie of een phishing-simulatie: alles telt, mits het aantoonbaar is en past bij de risico’s.
Wat werkt en wat niet
Een eenmalige PowerPoint bij indiensttreding voldoet technisch aan de eis, maar werkt in de praktijk slecht. Mensen vergeten het meeste binnen een week. Effectieve security awareness is herhalend, relevant en gevarieerd.
| Aanpak | Effect | Aandachtspunt |
|---|---|---|
| Eenmalige training | Laag | Snel vergeten, geen gedragsverandering |
| Jaarlijkse e-learning | Gemiddeld | Goed als aanvulling, niet als enige maatregel |
| Phishing-simulaties | Hoog | Meten gedrag, niet alleen kennis |
| Kwartaalbriefings in team | Hoog | Hoog bereik, laagdrempelig |
| Actuele security-updates bij incidenten | Hoog | Context maakt informatie relevant |
| Onboarding-module + jaarlijkse opfris | Hoog | Basiscombo voor kleinere organisaties |
Een awareness-programma opzetten
Je hoeft geen uitgebreid lesprogramma te ontwikkelen. Een programma dat werkt voor de meeste kleine en middelgrote organisaties bestaat uit drie lagen:
Laag 1: Basiskennis (bij indiensttreding) Elke nieuwe medewerker doorloopt een korte introductie: wat is het informatiebeveiligingsbeleid, hoe meld je een incident, wat doe je bij een verdachte e-mail, hoe gebruik je de wachtwoordmanager. Maximaal 30 minuten. Registreer de afronding.
Laag 2: Periodieke opfris (jaarlijks) Elk jaar een update: wat zijn de actuele dreigingen, welke incidenten hebben we gehad, wat veranderde er in het beleid? Dit kan een korte vergadering, een e-learning of een nieuwsbrief zijn, mits gedocumenteerd.
Laag 3: Gerichte campagnes (ad hoc) Na een phishing-simulatie, na een intern incident, of bij nieuwe wetgeving (zoals NIS2). Gerichte communicatie die aansluit op een actuele aanleiding.
Phishing-simulaties
Phishing-simulaties sturen nep-phishingmails naar medewerkers en meten hoeveel mensen klikken. Ze zijn effectief als leermoment, niet als straf. Na een simulatie volgt direct feedback: dit was een testmail, hier had je op kunnen letten.
Populaire aanbieders zijn KnowBe4 , Proofpoint Security Awareness en Cofense . Er zijn ook Nederlandse alternatieven. De keuze hangt af van je budget en het gewenste rapportageniveau.
Phishing-simulaties zijn niet verplicht onder ISO 27001, maar ze leveren bewijs op van de effectiviteit van je bewustwordingsprogramma. Dat is precies wat de auditor wil zien: niet alleen dat je trainde, maar dat het werkt.
Gebruik phishing-simulaties als leertools, niet als middel om medewerkers te betrappen of te bestraffen. Een cultuur van angst is een beveiligingsrisico: mensen melden incidenten niet uit schaamte.
Bewijs voor de audit
De auditor vraagt bij elke audit naar bewijs van security awareness. Zorg dat je het volgende kunt tonen:
| Bewijs | Hoe je het vastlegt |
|---|---|
| Trainingsregistraties | Lijst met namen, datum en afgeronde module |
| Onboardingafronding | Ondertekende bewustwordingsverklaring of completion-record in HR-systeem |
| Phishing-simulatierapporten | Exporteer de resultaten uit je simulatieplatform |
| Inhoud van het programma | Agenda, presentatie of e-learningmodule bewaren |
| Feedbackmomenten | Notulen van security-briefing of e-mail aan alle medewerkers |
Bewaar de registraties minimaal drie jaar, zodat je bij de hercertificeringsaudit ook bewijs hebt van de voorgaande jaren.
Security awareness in de praktijk bij kleine organisaties
Een klein IT-bedrijf van 12 medewerkers hoeft geen uitgebreid LMS-systeem aan te schaffen. Een werkbaar programma kan er zo uitzien:
- Bij onboarding: 30-minuten sessie met de IT-verantwoordelijke. Medewerker ondertekent dat hij het beveiligingsbeleid heeft ontvangen en begrepen.
- Kwartaal 1: Korte update in maandelijks teamoverleg (10 minuten) over meest recente phishing-trends.
- Kwartaal 2: Phishing-simulatie via KnowBe4 of vergelijkbare tool.
- Kwartaal 3: Herhaling teamoverleg.
- Kwartaal 4: Jaarlijkse review van het beleid, gecommuniceerd naar alle medewerkers.
Totaal: minder dan vijf uur per medewerker per jaar, maar wel doorlopend en aantoonbaar.
Meer informatie
- Annex A — A.6.3 en de menselijke maatregelen
- Interne audit — Wat de auditor controleert op awareness
- Eisen van de norm — Clausule 7.3 over bewustzijn
- Stappenplan — Fase 6: bewustzijn en training
- SANS Security Awareness — Trainingsplatform
- NCSC - Cyberweerbaarheid verhogen — Nederlandse overheidsrichtlijnen