Verplichte documenten bij ISO 27001
Veel organisaties denken dat ze dikke handboeken nodig hebben voor ISO 27001 . Dat is een misverstand. De norm schrijft een beperkte set verplichte documenten voor, aangevuld met registraties als bewijs dat processen worden gevolgd. Wat je daarboven maakt, is een keuze. Minder papier dat iedereen kent, werkt beter dan een archief dat niemand leest.
Op deze pagina vind je een compleet overzicht van wat ISO 27001 verplicht stelt, per clausule en voor Annex A. En net zo belangrijk: wat de norm niet verplicht.
Twee typen gedocumenteerde informatie
ISO 27001 onderscheidt twee soorten gedocumenteerde informatie:
| Type | Wat het is | Doel |
|---|---|---|
| Documenten | Beleid, procedures, plannen, scope | Beschrijven hoe je werkt |
| Registraties | Logs, notulen, rapporten, trainingsoverzichten | Bewijzen dat je doet wat je zegt |
Documenten beschrijf je vooraf. Registraties leg je achteraf vast. Beide zijn verplicht, maar voor verschillende clausules.
Verplichte documenten per clausule
De tabel hieronder laat zien welke documenten de norm expliciet verplicht, gegroepeerd per clausule. De tekst “[gedocumenteerde informatie]” in de norm is de aanwijzing dat iets verplicht is.
| Clausule | Verplicht document of registratie |
|---|---|
| 4.3 | Scope van het ISMS |
| 5.2 | Informatiebeveiligingsbeleid |
| 6.1.2 | Resultaten van de risicobeoordeling |
| 6.1.3 | Risicobehandelingsplan |
| 6.1.3 | Statement of Applicability (SoA) — verklaring van toepasselijkheid |
| 6.2 | Doelstellingen voor informatiebeveiliging |
| 7.2 | Bewijs van competentie (trainingsregistraties) |
| 8.1 | Bewijs van operationele planning en beheersing |
| 8.2 | Resultaten van risicobeoordelingen (actueel) |
| 8.3 | Resultaten van risicobehandeling |
| 9.1 | Resultaten van monitoring en meting |
| 9.2 | Auditprogramma en interne auditresultaten |
| 9.3 | Resultaten van directiebeoordelingen |
| 10.1 | Afwijkingen en corrigerende maatregelen |
De SoA (clausule 6.1.3) is het meest unieke document in ISO 27001. Geen andere ISO-managementsysteemnorm kent dit document. Het is ook het eerste document dat de auditor in fase 1 opvraagt. Meer uitleg op de pagina verklaring van toepasselijkheid.
Aanvullende verplichte registraties uit Annex A
Naast de clausule-eisen verplichten sommige Annex A-maatregelen ook registraties. Dit zijn de meest voorkomende:
| Annex A-maatregel | Verplichte registratie |
|---|---|
| A.5.9 Inventarisatie van informatie | Asset-register |
| A.5.12-5.13 Classificatie en labeling | Classificatieschema + bewijs van toepassing |
| A.5.24-5.28 Incidentmanagement | Incidentregister |
| A.6.1 Screening | Bewijs van achtergrondcontroles (conform privacywetgeving) |
| A.6.3 Security awareness | Trainingsregistraties |
| A.6.5 Einde dienstverband | Bewijs van intrekking toegangsrechten |
| A.8.8 Kwetsbaarheidsbeheer | Patchregistratie of kwetsbaarhedenlog |
Welke Annex A-maatregelen voor jou verplicht zijn, hangt af van je SoA. Sluit je een maatregel uit, dan vervalt ook de bijbehorende registratie-eis.
Wat is NIET verplicht
Veel organisaties documenteren meer dan de norm vraagt. Dit is begrijpelijk — meer papier voelt veiliger — maar het werkt averechts. Documenten die niemand leest zijn een bewijs dat het systeem niet werkt.
De norm stelt de volgende veelgenoemde zaken niet verplicht:
| Wat mensen denken dat verplicht is | Wat de norm werkelijk vraagt |
|---|---|
| Een apart handboek | Geen verplichting; integreer documenten in bestaande wiki of SharePoint |
| Procedures voor alle 93 Annex A-maatregelen | Alleen voor de maatregelen in je SoA, en alleen als de norm een procedure vraagt |
| Een volledig beschreven bedreigingencatalogus | Een gedocumenteerde, reproduceerbare risicobeoordeling |
| Een aparte ISMS-tool of GRC-software | Geen softwareverplichting; een goed georganiseerde mappenstructuur voldoet |
| Jaarlijkse medewerkerstraining als video | Elke vorm van bewustzijn die is gedocumenteerd; de vorm is vrij |
Een veelgemaakte fout bij kleine bedrijven: een uitgebreid template-pakket downloaden en invullen. De auditor toetst of de documentatie bij jouw organisatie past en aantoonbaar wordt gebruikt. Een slank, werkbaar systeem is sterker dan een dik archief dat niemand kent.
Documentatie slank houden: praktische tips
Eén document per onderwerp
Schrijf het informatiebeveiligingsbeleid niet van 20 pagina’s. Eén tot twee pagina’s die de uitgangspunten helder beschrijven, is voldoende. Procedures schrijf je in de taal die medewerkers begrijpen, niet in de taal van de norm.
Gebruik bestaande systemen
Beschik je over Microsoft 365 of Google Workspace? Gebruik SharePoint, Notion of Confluence als documentopslag. Je hebt geen aparte GRC-tool nodig voor een eerste certificering. Een versiebeheersysteem is wel verplicht — gebruik wat je al hebt.
Versiebeheer en goedkeuring zijn verplicht
ISO 27001 stelt dat documenten worden beheerst: er is een versie, een datum, een auteur en een goedkeuring. Dit hoeft niet ingewikkeld te zijn. Een voettekst met “Versie 1.2, goedgekeurd door [naam], [datum]” volstaat.
Koppel aan bestaande processen
Heb je al een onboardingproces? Voeg de securitycheck en het intrekken van toegangsrechten bij offboarding toe aan dat proces. Zo hoef je geen apart bewustzijnsbeleid te schrijven dat apart wordt beheerd.
De documentatieset in het stappenplan
De documentatieset bouw je op tijdens het implementatietraject. Je begint met de scope en het beleid (fase 1), de risicobeoordeling en SoA (fasen 3-4), en de procedures en registraties (fase 5-7). In fase 7 brengt je alles samen en controleer je of de set compleet is voordat de interne audit plaatsvindt.
Wil je weten welke documenten per fase gereed moeten zijn? Bekijk het volledige stappenplan.
Meer informatie
- Verklaring van toepasselijkheid — Het SoA stap voor stap
- Eisen van de norm — Alle clausules uitgelegd
- Stappenplan — Wanneer maak je welk document?
- Annex A — De 93 beheersmaatregelen
- NEN-EN-ISO/IEC 27001:2022 — Officiële normtekst (NEN)