Skip to Content
ISO 27001Onderhouden na certificering

ISO 27001 onderhouden na certificering

Het ISO 27001  certificaat is binnen. Maar daarmee begint het eigenlijk pas. Het certificaat is 3 jaar geldig, met jaarlijkse surveillance-audits waarin een geaccrediteerde instantie  controleert of je ISMS nog werkt. De NEN-versie  van de norm beschrijft in hoofdstuk 10 de eis van continue verbetering. Zonder actief onderhoud loop je het risico je certificaat te verliezen.

De meeste organisaties besteden na certificering 10-20% van de tijd die ze in de initiële implementatie hebben gestoken aan jaarlijks onderhoud. Dat is significant minder, maar het is niet nul.

De 3-jarige ISO 27001 certificeringscyclus

JaarType auditWat wordt getoetstKosten (indicatie)
1Certificeringsaudit (fase 1 + 2)Volledig ISMS€8k-€25k
2Surveillance-auditSelectie van ISMS-onderdelen€4k-€12k
3Surveillance-auditAndere selectie van onderdelen€4k-€12k
4HercertificeringsauditVolledig ISMS opnieuw€6k-€20k

Over 3 jaar moet de auditor alle onderdelen van je ISMS hebben gezien. Bij elke surveillance kiest de auditor een andere selectie. Meer over kosten: kosten en tijdlijn.

Wat moet je jaarlijks doen voor ISO 27001?

Verplichte activiteiten

ActiviteitFrequentieGeschatte tijd
Interne auditMinimaal jaarlijks3-10 dagen (afhankelijk van scope)
ManagementreviewMinimaal jaarlijks1 dag voorbereiding + vergadering
Risicoanalyse actualiserenJaarlijks + bij grote veranderingen2-5 dagen
Statement of Applicability (SoA) reviewenJaarlijks1-2 dagen
Beleid en procedures reviewenJaarlijks2-5 dagen
Incidenten registreren en opvolgenDoorlopend1-4 uur per incident
Bewustzijnstraining medewerkersJaarlijks1-2 dagen organisatie
LeveranciersbeoordelingJaarlijks1-3 dagen

Interne audit

De interne audit is je eigen controle voordat de externe auditor komt. Je checkt of procedures worden gevolgd, of maatregelen werken, en of het ISMS actueel is.

Wie voert het uit?

  • Een getrainde interne auditor (mag niet zijn eigen werk auditen)
  • Of een externe partij die je interne audit uitvoert

Wat check je?

  • Worden de 93 Annex A-maatregelen die je hebt geselecteerd nageleefd?
  • Zijn procedures actueel en worden ze gevolgd?
  • Zijn risico-beoordelingen up-to-date?
  • Worden incidenten gemeld en afgehandeld?
  • Is er bewijs van continue verbetering?

Managementreview

De directie bespreekt minimaal jaarlijks de status van het ISMS. Vaste agendapunten:

  • Status van acties uit vorige review
  • Veranderingen in dreigingen en risico’s
  • Resultaten van interne audits
  • Incidenten en hun afhandeling
  • Prestatie van het ISMS (KPI’s)
  • Verbetermogelijkheden
  • Zijn beleid en doelen nog actueel?

Output: Besluiten en acties, vastgelegd in notulen. De auditor vraagt altijd om deze notulen.

Je ISO 27001 ISMS actueel houden bij veranderingen

Je ISMS moet meebewegen met je organisatie. Bij deze veranderingen moet je je ISMS bijwerken:

VeranderingImpact op ISMS
Nieuwe cloudleverancier of SaaS-toolRisicoanalyse bijwerken, leveranciersbeleid toepassen
Overname of fusieScope herzien, nieuwe systemen en data in scope brengen
Thuiswerken / hybride werkenBeleid voor remote access, fysieke beveiliging thuiswerkplek
Nieuwe wetgeving (bijv. NIS2)Compliance-eisen bijwerken, maatregelen aanpassen
Groot beveiligingsincidentRoot cause analyse, maatregelen aanpassen, communicatie
Nieuwe dienst of productRisicoanalyse, privacy impact assessment indien nodig
Personele wijzigingen (CISO vertrekt)Rollen en verantwoordelijkheden bijwerken, kennisborging

De meest voorkomende reden voor problemen bij surveillance-audits: het ISMS is niet meegegroeid met de organisatie. Je hebt nieuwe systemen, nieuwe mensen, nieuwe processen — maar het ISMS beschrijft nog de situatie van twee jaar geleden.

Veelgemaakte fouten na ISO 27001 certificering

Het ISMS in de la leggen

Na de intensieve certificeringsperiode is de verleiding groot om even te ontspannen. Maar als je 11 maanden niets doet en dan in maand 12 alles moet inhalen voor de surveillance-audit, wordt het stressvol en oppervlakkig.

Oplossing: Plan vaste momenten (maandelijks of per kwartaal) voor ISMS-onderhoud. Spreek het af met het team en zet het in de agenda.

Interne audit als formaliteit behandelen

Een interne audit die bestaat uit “alles is in orde, geen bevindingen” is een rode vlag voor de auditor. Een goed werkend ISMS vindt altijd verbeterpunten.

Oplossing: Neem de interne audit serieus. Laat het uitvoeren door iemand die kritisch durft te kijken. Externe hulp is een optie.

Bewustzijnstraining vergeten

Bij de implementatie train je iedereen. Maar nieuwe medewerkers krijgen geen training, en bestaande medewerkers zijn het na een jaar vergeten.

Oplossing: Integreer beveiligingsbewustzijn in het onboardingproces. Plan jaarlijkse opfriscursus of phishing-simulatie.

Incidenten niet registreren

Kleine incidenten (fout gestuurde e-mail, verloren USB-stick) worden niet geregistreerd omdat ze “niet ernstig genoeg” lijken. Maar de auditor verwacht een incidentregistratie met trendanalyse.

Oplossing: Maak melden laagdrempelig. Elk incident registreren, hoe klein ook. Analyseer trends per kwartaal.

Risicoanalyse niet actualiseren

De risicoanalyse uit jaar 1 beschrijft nog steeds een on-premise serveromgeving, terwijl je inmiddels volledig naar de cloud bent gemigreerd.

Oplossing: Herzie de risicoanalyse minimaal jaarlijks en bij elke significante verandering.

Wat kost ISO 27001 onderhoud per jaar?

KostenpostKlein (10-50 FTE)Middelgroot (50-250 FTE)Groot (250+ FTE)
Interne tijd (jaarlijks)80-150 uur150-300 uur300-600 uur
Externe audit (surveillance)€4k-€8k€6k-€12k€10k-€20k
Externe ondersteuning€2k-€5k€5k-€15k€10k-€30k
Tools en software€1k-€5k€3k-€10k€5k-€20k
Totaal per jaar€8k-€20k€15k-€40k€30k-€80k

Meer over kosten: kosten en tijdlijn.

Meer informatie

RisicoanalyseISO 27001 vs. NEN 7510