Informatiebeveiligingsbeleid bij ISO 27001
Het informatiebeveiligingsbeleid is een verplicht document bij ISO 27001 . De NEN-versie van de norm eist het in clausule 5.2. Het beleid beschrijft de intenties en richting van de organisatie op het gebied van informatiebeveiliging. Niet de technische details — die horen in procedures — maar de visie, de uitgangspunten en het commitment van de directie.
Een goed beleid past op één of twee pagina’s. Het is geen afvinklijst voor de auditor, maar een tekst die medewerkers begrijpen en die echt de koers beschrijft. Het beleid vormt de top van je verplichte documentatie.
Wat eist clausule 5.2?
ISO 27001 hoofdstuk 5.2 stelt dat de directie een informatiebeveiligingsbeleid vaststelt dat:
| Eis | Wat het betekent |
|---|---|
| Passend is voor de organisatie en haar context | Het beleid sluit aan bij je sector, grootte en risicoprofiel — geen generieke template |
| Een kader biedt voor doelstellingen | Vanuit het beleid stel je meetbare beveiligingsdoelstellingen af |
| Een commitment bevat om aan eisen te voldoen | Expliciet vermeld: de organisatie voldoet aan relevante wet- en regelgeving |
| Een commitment bevat om continu te verbeteren | PDCA-houding is expliciet vastgelegd |
| Beschikbaar is als gedocumenteerde informatie | Versie, datum en goedkeuring zijn vastgelegd |
| Gecommuniceerd is naar medewerkers | Iedereen weet dat het beleid bestaat en weet waar het staat |
| Beschikbaar is voor belanghebbenden | Klanten of toezichthouders kunnen het opvragen |
Het beleid moet door de directie worden vastgesteld, niet door de IT-afdeling. ISO 27001 legt de verantwoordelijkheid voor informatiebeveiliging expliciet bij het management. De handtekening van de CEO of directeur is geen formaliteit — het is een normatieve eis.
Structuur van een informatiebeveiligingsbeleid
Er is geen verplichte opmaak. Hieronder staat een structuur die de meeste auditoren herkennen en die alle normeisen afdekt.
| Sectie | Inhoud |
|---|---|
| Doel en scope | Waarvoor geldt dit beleid? (koppel aan het ISMS-scope) |
| Visie en commitment | Waarom vindt de organisatie informatiebeveiliging belangrijk? |
| Uitgangspunten | Vijf tot zeven basisregels die de koers bepalen |
| Doelstellingen | Twee tot vier meetbare doelen voor het lopende jaar |
| Rollen en verantwoordelijkheden | Wie is de ISMS-eigenaar? Wie is verantwoordelijk voor uitvoering? |
| Naleving en gevolgen | Wat zijn de consequenties van niet naleven? |
| Referenties | Verwijzing naar gerelateerde procedures en de norm |
| Beheer | Versie, datum, auteur, goedgekeurd door |
Concreet voorbeeld van een uitgangspunt
Abstract geformuleerde beleidspunten zeggen niets. Zorg dat elk uitgangspunt herkenbaar is voor medewerkers.
❌ Vaag: “De organisatie neemt passende technische en organisatorische maatregelen ter bescherming van informatie.”
✅ Concreet: “Medewerkers gebruiken een wachtwoordmanager en multi-factor authenticatie voor alle systemen met toegang tot klantgegevens. Wachtwoorden worden nooit per e-mail gedeeld.”
Het verschil: het concrete voorbeeld vertelt een medewerker direct wat hij of zij moet doen. De vage versie is een juridische formulering die bij een beveiligingsincident ook als dekmantel had kunnen dienen.
Beleid versus procedures: het verschil
Een veelgemaakte fout is het samenvoegen van beleid en procedures in één document. Ze dienen een ander doel.
| Document | Beantwoordt | Bijgewerkt |
|---|---|---|
| Beleid | Wat willen we bereiken en waarom? | Jaarlijks, of bij grote wijzigingen |
| Procedure | Hoe voeren we dat uit? | Vaker, bij proceswijzigingen |
| Werkinstructie | Welke exacte stappen zijn er? | Bij elke systeemwijziging |
Het beleid staat boven aan de documenthiërarchie. Een procedure voor toegangsbeheer beschrijft hoe je accounts aanmaakt en intrekt. Het beleid zegt: “Toegang wordt verleend op basis van het need-to-know-principe.” De procedure beschrijft het proces; het beleid beschrijft de richting.
Onderhoud van het beleid
ISO 27001 vraagt dat het beleid periodiek wordt herzien. De auditor controleert of het beleid actueel is en of de versiedatum klopt met de werkelijkheid van de organisatie.
Plan een jaarlijkse review als onderdeel van de directiebeoordeling. Stel de vragen:
- Weerspiegelt het beleid nog de huidige risico’s en context?
- Zijn de doelstellingen nog realistisch en relevant?
- Zijn er wettelijke of contractuele wijzigingen die het beleid raken?
- Zijn rollen en verantwoordelijkheden nog juist?
Het resultaat van de review leg je vast in de notulen van de directiebeoordeling. Als het beleid wijzigt, pas je de versie aan, laat je het opnieuw goedkeuren, en communiceer je de wijzigingen naar medewerkers.
Een beleid uit 2022 dat ongewijzigd staat terwijl je organisatie is gegroeid, gefuseerd of naar de cloud gegaan, is een rode vlag voor de auditor. Zorg dat het beleid de huidige werkelijkheid weerspiegelt.
Meer informatie
- Eisen van de norm — Clausule 5.2 uitgelegd
- Het ISMS — Het managementsysteem waarvan het beleid deel uitmaakt
- Verplichte documenten — Volledig overzicht van wat de norm eist
- Stappenplan — Wanneer maak je het beleid in het traject?
- ISO/IEC 27001:2022 — Officiële normtekst (ISO.org)
- NEN-EN-ISO/IEC 27001 — Nederlandse versie (NEN)