Skip to Content
ISO 27001Eisen van de norm

Eisen van ISO 27001

De ISO/IEC 27001:2022 norm  beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Op deze pagina lopen we alle hoofdstukken door en leggen we uit wat de norm van je vraagt.

Net als andere moderne ISO-managementsysteemnormen volgt ISO 27001 de High Level Structure (HLS) . Dit betekent dat de opbouw identiek is aan die van ISO 9001 en ISO 14001, wat het combineren van meerdere certificeringen eenvoudiger maakt.

De norm heeft tien hoofdstukken. Hoofdstuk 1 tot en met 3 zijn inleidend: ze beschrijven het toepassingsgebied, verwijzen naar gerelateerde normen, en definiëren termen. De echte eisen staan in hoofdstuk 4 tot en met 10. Daarnaast bevat de norm een Annex A met 93 beheersmaatregelen, die we op een aparte pagina behandelen.

Hoofdstuk 4: Context van de organisatie

Het vierde hoofdstuk vraagt je om je eigen organisatie en omgeving te doorgronden. Voordat je kunt bepalen hoe je informatie moet beschermen, moet je begrijpen in welke context je opereert.

4.1 De organisatie en haar context begrijpen

Elke organisatie opereert in een unieke context. ISO 27001 vraagt dat je de interne en externe factoren identificeert die relevant zijn voor je ISMS.

Externe factoren zijn zaken buiten je organisatie die invloed hebben op je informatiebeveiliging. Denk aan wet- en regelgeving zoals de AVG , het dreigingslandschap dat voortdurend evolueert, de verwachtingen van klanten en partners, en technologische ontwikkelingen. Het NCSC  publiceert regelmatig analyses van actuele dreigingen die je kunt gebruiken als input.

Interne factoren zijn kenmerken van je eigen organisatie: je bedrijfscultuur, je IT-infrastructuur, de competenties van je medewerkers, je organisatiestructuur, en je strategische doelstellingen. Een startup met tien developers heeft een andere context dan een ziekenhuis met duizenden medewerkers.

In de praktijk documenteer je deze context in een korte analyse. Dit hoeft geen uitgebreid rapport te zijn, maar je moet kunnen aantonen dat je hebt nagedacht over deze factoren en dat je ISMS daarop is afgestemd.

4.2 Belanghebbenden en hun behoeften begrijpen

Informatiebeveiliging raakt veel partijen. ISO 27001 vraagt dat je identificeert wie je belanghebbenden zijn en wat zij van je verwachten op het gebied van informatiebeveiliging.

Typische belanghebbenden zijn klanten die verwachten dat hun data veilig wordt beheerd, medewerkers die verwachten dat hun persoonsgegevens beschermd zijn, toezichthouders die verwachten dat je aan wet- en regelgeving voldoet, aandeelhouders die continuïteit en reputatie belangrijk vinden, en partners die afhankelijk zijn van de beschikbaarheid van je diensten.

Voor elke belanghebbende bepaal je welke eisen zij hebben. Dit kunnen contractuele eisen zijn, wettelijke eisen, of impliciete verwachtingen. Deze eisen vormen input voor je risicobeoordeling en je beveiligingsmaatregelen.

4.3 De scope van het ISMS bepalen

De scope beschrijft waarvoor je ISMS geldt: welke onderdelen van je organisatie, welke locaties, welke systemen en processen vallen eronder?

Je kunt kiezen voor een brede scope die de hele organisatie omvat, of een beperktere scope die zich richt op specifieke activiteiten of afdelingen. Veel organisaties kiezen ervoor om te beginnen met een beperkte scope, bijvoorbeeld hun cloudplatform of hun softwareontwikkelingsactiviteiten, en later uit te breiden.

Bij het bepalen van de scope moet je rekening houden met de context en de eisen van belanghebbenden. De scope moet logisch en geloofwaardig zijn. Je kunt niet willekeurig onderdelen uitsluiten die duidelijk relevant zijn voor de informatiebeveiliging van wat wel in scope is.

De scope moet gedocumenteerd worden en beschikbaar zijn. De auditor zal de scope als uitgangspunt nemen voor de audit.

4.4 Het ISMS

Tot slot vraagt hoofdstuk 4 dat je daadwerkelijk een ISMS opzet, implementeert, onderhoudt en continu verbetert. Dit is de kern van de norm: niet alleen beleid schrijven, maar een werkend systeem hebben dat je informatiebeveiliging structureel beheert.

Hoofdstuk 5: Leiderschap

Het vijfde hoofdstuk richt zich op de rol van het management. ISO 27001 benadrukt dat informatiebeveiliging geen IT-aangelegenheid is die je kunt delegeren aan de IT-afdeling; het vraagt actieve betrokkenheid van de top.

5.1 Leiderschap en commitment

De directie moet leiderschap en commitment tonen. Dit betekent niet alleen een handtekening zetten onder het beveiligingsbeleid, maar daadwerkelijk betrokken zijn bij het ISMS.

Concreet vraagt de norm dat de directie zorgt voor de middelen die nodig zijn, dat beveiligingsdoelstellingen worden vastgesteld en geïntegreerd in bedrijfsprocessen, dat het ISMS de beoogde resultaten bereikt, en dat medewerkers worden gestimuleerd om bij te dragen aan de effectiviteit van het ISMS.

De auditor zal tijdens de audit vragen naar de betrokkenheid van het management. Dit kan bijvoorbeeld blijken uit notulen van directiebeslissingen over informatiebeveiliging, de toewijzing van budget en personeel, en de actieve deelname aan de directiebeoordeling.

5.2 Informatiebeveiligingsbeleid

De directie moet een informatiebeveiligingsbeleid vaststellen. Dit beleid formuleert de intenties en richting van de organisatie op het gebied van informatiebeveiliging.

Het beleid moet passend zijn bij de organisatie en haar context, een kader bieden voor het stellen van doelstellingen, een commitment bevatten om aan relevante eisen te voldoen, en een commitment bevatten om het ISMS continu te verbeteren.

Het beleid moet worden gecommuniceerd naar medewerkers en, waar passend, naar andere belanghebbenden. Het moet beschikbaar zijn als gedocumenteerde informatie.

Een informatiebeveiligingsbeleid hoeft geen lang document te zijn. Eén tot twee pagina’s is vaak voldoende, zolang het de essentie vastlegt. Belangrijker dan lengte is dat het beleid echt de visie van de organisatie weerspiegelt en niet een standaardtekst is die van internet is gekopieerd.

5.3 Rollen, verantwoordelijkheden en bevoegdheden

De directie moet ervoor zorgen dat verantwoordelijkheden en bevoegdheden voor relevante rollen zijn toegewezen en gecommuniceerd.

Specifiek moet iemand verantwoordelijk zijn voor het zorgen dat het ISMS voldoet aan de eisen van de norm, en voor het rapporteren over de prestaties van het ISMS aan de directie. Dit hoeft geen fulltime functie te zijn, maar er moet duidelijkheid zijn over wie dit doet.

In de praktijk wijzen veel organisaties een Information Security Officer (ISO) of Chief Information Security Officer (CISO) aan. Bij kleinere organisaties kan deze rol gecombineerd worden met andere functies.

Hoofdstuk 6: Planning

Het zesde hoofdstuk gaat over vooruitkijken: welke risico’s en kansen zijn er, wat willen we bereiken, en hoe gaan we om met veranderingen?

6.1 Acties om risico’s en kansen aan te pakken

Dit is een van de meest onderscheidende onderdelen van ISO 27001. De norm vraagt om een formele risicobeoordeling voor informatiebeveiliging.

Je moet een risicobeoordeling uitvoeren die de vertrouwelijkheid, integriteit en beschikbaarheid van informatie als uitgangspunt neemt. Deze beoordeling moet reproduceerbaar zijn en consistente resultaten opleveren.

Het proces omvat het identificeren van risico’s, het analyseren van de kans en impact, het evalueren van risico’s om te bepalen welke behandeling nodig is, en het selecteren van passende behandelopties. Behandelopties zijn: het risico mitigeren door maatregelen te nemen, het risico accepteren, het risico overdragen (bijvoorbeeld via een verzekering), of het risico vermijden door de activiteit te staken.

De risicobeoordeling moet worden gedocumenteerd, en de resultaten moeten worden geaccepteerd door de risico-eigenaren. Dit zijn de personen in de organisatie die verantwoordelijk zijn voor de betreffende assets of processen.

ISO 27005  biedt gedetailleerde richtlijnen voor risicomanagement binnen de context van ISO 27001. Er zijn ook andere methodieken bruikbaar, zoals OCTAVE, FAIR, of de risicomethodiek van het NCSC .

6.1.3 Risicobehandeling en het Statement of Applicability

Voor elk risico dat je wilt mitigeren, moet je beheersmaatregelen selecteren. ISO 27001 bevat in Annex A een referentielijst met 93 beheersmaatregelen, georganiseerd in vier categorieën: organisatorische, menselijke, fysieke, en technologische maatregelen.

Je bent niet verplicht om alle 93 maatregelen te implementeren, maar je moet wel voor elke maatregel onderbouwen waarom je deze wel of niet toepast. Dit leg je vast in het Statement of Applicability (SoA), een verplicht document dat uniek is voor ISO 27001.

Het SoA bevat een overzicht van alle Annex A maatregelen, met per maatregel de vermelding of deze is geselecteerd, de rechtvaardiging voor de selectie of uitsluiting, en de implementatiestatus. Het SoA is een belangrijk document voor de auditor; het geeft een overzicht van hoe jij de norm hebt geïnterpreteerd.

Lees meer over de beheersmaatregelen op de Annex A pagina.

6.2 Doelstellingen en plannen om deze te bereiken

Je moet doelstellingen voor informatiebeveiliging vaststellen. Deze doelstellingen moeten consistent zijn met het beveiligingsbeleid, meetbaar zijn (indien praktisch), rekening houden met de beveiligingseisen en de resultaten van de risicobeoordeling, en worden gemonitord en gecommuniceerd.

Voorbeelden van doelstellingen zijn: het behalen van een bepaald percentage security awareness onder medewerkers, het reduceren van het aantal beveiligingsincidenten, het bereiken van een bepaalde uptime voor kritieke systemen, of het binnen een bepaalde tijd oplossen van kwetsbaarheden.

Voor elke doelstelling moet je plannen wat er gedaan wordt, welke middelen nodig zijn, wie verantwoordelijk is, wanneer het klaar moet zijn, en hoe de resultaten worden geëvalueerd.

6.3 Plannen van wijzigingen

Wanneer je wijzigingen doorvoert aan het ISMS, moet dit op een geplande manier gebeuren. Ad-hoc wijzigingen zonder overzicht leiden tot inconsistenties en kwetsbaarheden.

Hoofdstuk 7: Ondersteuning

Het zevende hoofdstuk behandelt de ondersteunende elementen die nodig zijn voor een effectief ISMS: middelen, competenties, bewustzijn, communicatie en gedocumenteerde informatie.

7.1 Middelen

De organisatie moet de middelen beschikbaar stellen die nodig zijn voor het ISMS. Dit omvat financiële middelen, maar ook mensen, technologie en infrastructuur.

7.2 Competentie

Medewerkers die werk uitvoeren dat de informatiebeveiligingsprestaties beïnvloedt, moeten competent zijn. De organisatie moet bepalen welke competenties nodig zijn, zorgen dat medewerkers die competenties hebben (door opleiding, training of ervaring), en bewijs bewaren van de competenties.

Dit geldt niet alleen voor security specialisten, maar voor iedereen wiens werk impact heeft op informatiebeveiliging, van developers tot systeembeheerders, van management tot eindgebruikers.

7.3 Bewustzijn

Alle relevante medewerkers moeten zich bewust zijn van het informatiebeveiligingsbeleid, hun bijdrage aan de effectiviteit van het ISMS, en de gevolgen van het niet voldoen aan de eisen.

Security awareness training is een belangrijk onderdeel hiervan. Dit kan variëren van periodieke e-learning modules tot workshops, van phishing simulaties tot posters en nieuwsbrieven. Het doel is dat informatiebeveiliging deel wordt van de cultuur, niet alleen een set regels.

7.4 Communicatie

Je moet bepalen wat, wanneer, met wie en hoe er intern en extern wordt gecommuniceerd over het ISMS. Dit omvat zowel routine communicatie (zoals awareness updates) als communicatie bij incidenten.

7.5 Gedocumenteerde informatie

ISO 27001 vraagt om specifieke gedocumenteerde informatie. Dit omvat documenten die de norm expliciet vereist, zoals de scope, het beleid, de risicobeoordeling, het SoA, en de doelstellingen. Daarnaast moet je registraties bijhouden die bewijs leveren dat processen worden gevolgd en resultaten worden bereikt.

De documentatie moet worden beheerst: je moet zorgen voor versiebeheer, goedkeuringsprocedures, beschikbaarheid voor wie het nodig heeft, en bescherming tegen ongeautoriseerde wijzigingen.

De norm schrijft niet voor hoe je documenteert. Een wiki, een SharePoint, een GRC-tool, of zelfs een goed georganiseerde mappenstructuur kunnen voldoen, zolang de informatie vindbaar, actueel en beheerst is.

Houd documentatie praktisch. Het doel is werkende informatiebeveiliging, niet dikke handboeken. Documenteer wat nodig is, niet meer.

Hoofdstuk 8: Uitvoering

Het achtste hoofdstuk gaat over het daadwerkelijk uitvoeren van wat je hebt gepland.

8.1 Operationele planning en beheersing

Je moet de processen plannen, implementeren en beheersen die nodig zijn om aan de ISMS-eisen te voldoen en om de acties uit te voeren die voortkomen uit de risicobeoordeling.

Dit betekent dat je niet alleen plannen maakt, maar ze ook daadwerkelijk uitvoert, documenteert wat je doet, en controleert of het werkt zoals bedoeld.

8.2 Risicobeoordeling uitvoeren

De risicobeoordeling die je in hoofdstuk 6 hebt gepland, moet daadwerkelijk worden uitgevoerd en gedocumenteerd. Dit is geen eenmalige exercitie; je moet de beoordeling herhalen met geplande tussenpozen en wanneer significante wijzigingen optreden.

8.3 Risicobehandeling uitvoeren

De beheersmaatregelen die je hebt geselecteerd, moeten worden geïmplementeerd. Het risicobehandelingsplan moet worden uitgevoerd en de voortgang moet worden gedocumenteerd.

Hoofdstuk 9: Evaluatie van prestaties

Het negende hoofdstuk richt zich op het meten en evalueren of je ISMS effectief is.

9.1 Monitoring, meting, analyse en evaluatie

Je moet bepalen wat je wilt monitoren en meten, wanneer en hoe, en wie verantwoordelijk is. De resultaten moeten worden geanalyseerd en geëvalueerd.

Dit kan technische monitoring omvatten (zoals het aantal beveiligingsincidenten of de status van patches), maar ook evaluatie van processen (zoals de tijdigheid van risicobeoordelingen) en de effectiviteit van awareness programma’s.

9.2 Interne audit

Je moet met geplande tussenpozen interne audits uitvoeren om te controleren of het ISMS voldoet aan de eisen van de norm en aan je eigen eisen, en of het effectief is geïmplementeerd en onderhouden.

De interne auditor moet onafhankelijk zijn van wat geaudit wordt. Je mag niet je eigen werk auditen. Voor kleinere organisaties betekent dit vaak dat je een externe partij inschakelt, of dat je medewerkers van verschillende afdelingen elkaar laat auditen.

De resultaten van de interne audit moeten worden gedocumenteerd en gerapporteerd aan het management.

9.3 Directiebeoordeling

De directie moet het ISMS met geplande tussenpozen beoordelen. De directiebeoordeling moet ingaan op de status van acties uit vorige beoordelingen, veranderingen in interne en externe factoren, feedback over de beveiligingsprestaties, de resultaten van audits, en mogelijkheden voor verbetering.

De output van de directiebeoordeling omvat beslissingen over verbetermogelijkheden en noodzakelijke wijzigingen aan het ISMS. De resultaten moeten worden gedocumenteerd.

Hoofdstuk 10: Verbetering

Het tiende en laatste hoofdstuk gaat over continu beter worden.

10.1 Continue verbetering

Je moet de geschiktheid, adequaatheid en effectiviteit van het ISMS continu verbeteren. Dit is geen afgeronde activiteit maar een doorlopende houding.

10.2 Afwijkingen en corrigerende maatregelen

Wanneer een afwijking optreedt, moet je reageren door de afwijking te beheersen en te corrigeren, de gevolgen aan te pakken, de oorzaak te evalueren, te bepalen of vergelijkbare afwijkingen bestaan of kunnen optreden, en corrigerende maatregelen te nemen indien nodig.

De effectiviteit van de corrigerende maatregelen moet worden geëvalueerd. Alles moet worden gedocumenteerd: de aard van de afwijking, de genomen maatregelen, en de resultaten.

De relatie met Annex A

Annex A van ISO 27001 bevat een catalogus van 93 beheersmaatregelen, georganiseerd in vier categorieën:

  • Organisatorische maatregelen (37 controls): beleid, procedures, rollen en verantwoordelijkheden
  • Menselijke maatregelen (8 controls): screening, awareness, disciplinaire processen
  • Fysieke maatregelen (14 controls): toegangsbeveiliging, apparatuur, omgeving
  • Technologische maatregelen (34 controls): toegangsbeheer, cryptografie, netwerkbeveiliging

Deze maatregelen zijn geen eisen op zichzelf; je moet ze alleen toepassen als ze relevant zijn voor je risicoprofiel. Maar je moet wel elke maatregel overwegen en onderbouwen waarom je deze wel of niet toepast.

Lees meer over de specifieke maatregelen op de Annex A pagina.

Meer informatie

Het auditprocesAnnex A (93 maatregelen)