Skip to Content
ISO 27001Het ISMS uitgelegd

Het ISMS: het hart van ISO 27001

Als je mensen vraagt wat ISO 27001  is, krijg je vaak antwoorden als “een beveiligingscertificaat” of “een checklist voor security”. De norm is verkrijgbaar via NEN  en volgt de High Level Structure  van alle ISO-managementsystemen. Maar de kern van ISO 27001 is iets anders: het Information Security Management System, afgekort tot ISMS.

Wat is een ISMS?

Een ISMS is geen softwarepakket dat je installeert. Het is geen map met documenten die je in een la legt. Het is een systematische aanpak om informatiebeveiliging te organiseren, te bewaken en te verbeteren.

Denk aan een ISMS als het besturingssysteem voor je informatiebeveiliging. Het bepaalt:

  • Welke informatie je moet beschermen
  • Welke risico’s er zijn
  • Welke maatregelen je neemt
  • Wie waarvoor verantwoordelijk is
  • Hoe je controleert of het werkt
  • Hoe je continu verbetert

Een ISMS is geen project met een begin en een eind. Het is een doorlopend proces dat meebeweegt met je organisatie. Zolang je informatie verwerkt, heb je een ISMS nodig.

Waarom een managementsysteem?

Je kunt ook zonder systeem aan beveiliging doen: een firewall hier, een wachtwoordbeleid daar, af en toe een security-training. Maar dat leidt tot:

  • Gaten: Je mist risico’s omdat niemand het totaalplaatje ziet
  • Inconsistentie: De ene afdeling is streng, de andere laks
  • Ad-hoc reacties: Je blust brandjes in plaats van te voorkomen
  • Geen verbetering: Zonder meting weet je niet of het beter wordt

Een ISMS brengt structuur. Het dwingt je om systematisch naar risico’s te kijken, maatregelen te plannen, uit te voeren, te controleren en te verbeteren. Dit is de bekende Plan-Do-Check-Act (PDCA) cyclus die centraal staat in alle ISO-managementsystemen.

De PDCA-cyclus

Het ISMS draait om continue verbetering via vier fasen:

Plan

In de planfase bepaal je wat je gaat doen:

Do

In de uitvoeringsfase implementeer je wat je hebt gepland:

  • Maatregelen implementeren
  • Procedures uitrollen
  • Mensen trainen
  • Systemen configureren
  • Documentatie opstellen

Check

In de controlefase verifieer je of het werkt:

Act

In de verbeterfase pak je tekortkomingen aan:

  • Afwijkingen corrigeren
  • Oorzaken analyseren
  • Verbeteringen doorvoeren
  • Lessen leren en borgen

Dan begint de cyclus opnieuw. Dit is geen eenmalige exercitie maar een doorlopend proces.

De componenten van een ISMS

Een werkend ISMS bestaat uit verschillende onderdelen die samen een geheel vormen.

1. Beleid en procedures

Je hebt documentatie nodig die beschrijft hoe je informatiebeveiliging aanpakt:

  • Informatiebeveiligingsbeleid: De overkoepelende visie en uitgangspunten
  • Procedures: Hoe je specifieke processen uitvoert (incidentafhandeling, toegangsbeheer, etc.)
  • Werkinstructies: Gedetailleerde stappen voor specifieke taken

Dit hoeft geen dik handboek te zijn. Houd het praktisch. Een wiki of SharePoint met actuele informatie werkt vaak beter dan PDF’s die niemand leest.

2. Risicoregister

Het risicoregister is het hart van je ISMS. Het bevat:

  • Geïdentificeerde risico’s
  • Beoordeling van kans en impact
  • Gekozen behandeling (mitigeren, accepteren, overdragen, vermijden)
  • Verantwoordelijke per risico
  • Status van maatregelen

Lees meer over risicobeoordeling op de risicoanalyse-pagina.

3. Statement of Applicability (SoA)

Het Statement of Applicability, ook wel Verklaring van Toepasselijkheid (VvT), documenteert voor elke Annex A maatregel of je deze toepast en waarom. Het is verplicht en uniek voor ISO 27001.

4. Registraties

Registraties zijn het bewijs dat je systeem werkt:

  • Incidentregistraties
  • Auditverslagen
  • Notulen van directiebeoordeling
  • Trainingsregistraties
  • Resultaten van risicobeoordelingen

De auditor wil bewijs zien. Zonder registraties kun je niet aantonen dat je doet wat je zegt te doen.

5. Verbeterregistratie

Je moet bijhouden welke afwijkingen je hebt gevonden, welke corrigerende maatregelen je hebt genomen, en of die effectief waren. Dit toont continue verbetering aan.

Een ISMS opzetten: praktische stappen

Stap 1: Bepaal de scope

Waarvoor geldt je ISMS? De hele organisatie? Alleen een specifieke dienst? De scope moet logisch en verdedigbaar zijn.

Tips:

  • Begin niet te breed als je net start
  • Sluit niets uit dat logisch bij de scope hoort
  • Documenteer de scope helder

Stap 2: Krijg managementcommitment

Een ISMS zonder steun van de directie is gedoemd te mislukken. Je hebt budget nodig, tijd van medewerkers, en de autoriteit om maatregelen door te voeren.

Tips:

  • Leg de business case uit: risicoreductie, klanteisen, compliance
  • Maak de directie eigenaar, niet alleen sponsor
  • Zorg voor zichtbare betrokkenheid

Stap 3: Voer een gap-analyse uit

Breng in kaart wat je al hebt en wat er mist. Dit geeft richting aan je implementatie.

Tips:

Stap 4: Voer een risicobeoordeling uit

Dit is het fundament. Zonder goed begrip van je risico’s kun je geen goede maatregelen selecteren.

Tips:

  • Kies een methodiek die past bij je organisatie
  • Betrek de juiste mensen (niet alleen IT)
  • Documenteer zorgvuldig

Lees meer op de risicoanalyse-pagina.

Stap 5: Stel het SoA op

Loop alle 93 Annex A maatregelen langs en bepaal per maatregel:

  • Is deze relevant voor onze risico’s?
  • Zo ja: hoe implementeren we hem?
  • Zo nee: waarom niet?

Stap 6: Implementeer maatregelen

Dit is waar het echte werk zit. Afhankelijk van je gap-analyse kan dit weken tot maanden duren.

Tips:

  • Prioriteer op basis van risico
  • Begin met quick wins
  • Documenteer wat je doet

Stap 7: Train je mensen

Beleid en procedures zijn waardeloos als mensen ze niet kennen of begrijpen. Awareness is cruciaal.

Tips:

  • Maak het relevant voor de doelgroep
  • Herhaal regelmatig
  • Test of het beklijft

Stap 8: Draai het systeem

Voordat je naar de auditor gaat, moet je systeem een tijdje draaien. Je hebt registraties nodig om aan te tonen dat het werkt.

Tips:

  • Minimaal 3 maanden operationeel
  • Voer een interne audit uit
  • Houd een directiebeoordeling

Stap 9: Interne audit

Laat iemand die onafhankelijk is je ISMS toetsen. Dit kan een collega zijn van een andere afdeling, of een externe partij.

Tips:

  • Audit met frisse ogen
  • Documenteer bevindingen
  • Pak afwijkingen aan voor de externe audit

Stap 10: Directiebeoordeling

De directie moet het ISMS formeel beoordelen. Dit is een verplicht onderdeel van de norm.

Tips:

  • Bereid een goede rapportage voor
  • Bespreek resultaten, risico’s, en verbeteringen
  • Leg beslissingen vast

Het ISMS levend houden

Na certificering begint het echte werk. Een ISMS dat verstoft in een la is waardeloos. Zo houd je het levend:

Dagelijks

  • Incidenten registreren
  • Toegangsverzoeken verwerken
  • Wijzigingen beoordelen

Wekelijks/maandelijks

  • Security-overleg
  • Kwetsbaarheden reviewen
  • Awareness-activiteiten

Kwartaal/jaarlijks

  • Risicoregister updaten
  • Interne audits
  • Directiebeoordeling
  • Beleid reviewen

Bij veranderingen

  • Nieuwe systemen of processen? Update je ISMS
  • Reorganisatie? Herzie rollen en verantwoordelijkheden
  • Nieuw dreigingslandschap? Herbeoordeel risico’s

Praktische tip: Integreer ISMS-activiteiten in bestaande processen. Security-review bij change management, risico-check bij projecten, awareness bij onboarding. Zo wordt het onderdeel van de cultuur, niet een extra taak.

Veelvoorkomende fouten

Te veel documentatie

Organisaties denken soms dat meer papier beter is. Het tegendeel is waar. Een ISMS moet werkbaar zijn. Liever een dunne procedure die iedereen kent dan een dik handboek dat niemand leest.

Geen eigenaarschap

Als niemand zich verantwoordelijk voelt, gebeurt er niets. Wijs eigenaren aan voor risico’s, maatregelen en processen.

Eenmalige exercitie

Een ISMS opzetten voor de audit en daarna vergeten. Dan zak je bij de volgende surveillance-audit en heb je niets aan je certificaat.

Alleen IT

Informatiebeveiliging is niet alleen een IT-aangelegenheid. HR, facilitair, management, en eindgebruikers spelen allemaal een rol.

Kopiëren van templates

Een ISMS van internet plukken en je naam erop zetten werkt niet. De auditor prikt erdoorheen, en belangrijker: het past niet bij jouw organisatie.

Meer informatie

Annex A (93 maatregelen)Risicoanalyse