ISO 27001 is de internationale norm voor informatiebeveiliging. De norm beschrijft hoe een organisatie een Information Security Management System (ISMS) opzet, beheert en continu verbetert. Met een ISO 27001-certificering laat een organisatie zien dat zij informatiebeveiliging structureel en aantoonbaar heeft ingericht op basis van risico’s, beheersmaatregelen en periodieke evaluatie.

Hoe ziet het certificeringsproces voor ISO 27001 eruit?

Het certificeringsproces bestaat meestal uit twee fasen. In fase 1 beoordeelt de certificerende instelling onder meer de documentatie, de scope en de opzet van het ISMS. In fase 2 wordt getoetst of het managementsysteem in de praktijk werkt, bijvoorbeeld via interviews, dossierbeoordeling en steekproeven op maatregelen en processen. Bij een positief oordeel volgt certificering. Daarna vinden periodieke opvolgaudits plaats en na de certificatiecyclus een hercertificatie.

Wat is het verschil tussen ISO 27001 en NEN 7510?

ISO 27001 is een internationale norm voor informatiebeveiliging die breed toepasbaar is in verschillende sectoren. NEN 7510 is gericht op informatiebeveiliging in de zorg en sluit aan op ISO 27001, maar bevat aanvullende eisen en uitwerkingen die specifiek zijn voor de Nederlandse zorgsector. Voor zorgorganisaties is daarom vaak niet alleen ISO 27001 relevant, maar juist NEN 7510.

ISO 27001 certificering

Q: Wat zijn de voordelen van ISO 27001?

ISO 27001 helpt organisaties om informatiebeveiliging gestructureerd te organiseren en risico’s beter te beheersen. Een certificering kan bijdragen aan vertrouwen bij klanten en ketenpartners, ondersteuning bieden bij aanbestedingen en contracteisen, en helpen om aantoonbaar aandacht te geven aan beschikbaarheid, integriteit en vertrouwelijkheid van informatie. ISO 27001 kan daarnaast ondersteunend zijn bij privacy en compliance, maar vervangt wettelijke verplichtingen zoals de AVG niet.

Q: Voor welke organisaties is ISO 27001 relevant?

ISO 27001 is relevant voor organisaties die vertrouwelijke, bedrijfskritische of privacygevoelige informatie verwerken en informatiebeveiliging aantoonbaar moeten beheersen. Denk aan IT-dienstverleners, softwarebedrijven, datacenters, zorgorganisaties, financiële instellingen, zakelijke dienstverleners en organisaties die werken met persoonsgegevens, klantdata of kritieke procesinformatie. Ook organisaties die te maken hebben met eisen van klanten, toezichthouders of aanbestedingen kiezen vaak voor ISO 27001.

Q: Uit welke eisen bestaat ISO 27001?

ISO 27001 bevat eisen voor het opzetten, uitvoeren, onderhouden en verbeteren van een managementsysteem voor informatiebeveiliging. Belangrijke onderwerpen zijn de context van de organisatie, scopebepaling, leiderschap, beleid, rollen en verantwoordelijkheden, risicobeoordeling, risicobehandeling, informatiebeveiligingsdoelstellingen, ondersteuning en bewustzijn, operationele beheersing, monitoring, interne audits, directiebeoordeling, corrigerende maatregelen en continue verbetering. Daarnaast beoordeelt de organisatie welke beheersmaatregelen uit Bijlage A van toepassing zijn en legt zij die keuze vast in de Verklaring van Toepasselijkheid.

Q: Wat kost ISO 27001 certificering?

De kosten van ISO 27001-certificering hangen af van onder meer de omvang van de organisatie, de complexiteit van processen en IT, het aantal locaties, de scope van het ISMS en de mate waarin informatiebeveiliging al is ingericht. De totale kosten bestaan meestal uit advies en begeleiding, interne inzet, eventuele verbetermaatregelen en de auditkosten van de certificerende instelling.

Q: Hoe lang duurt een ISO 27001 traject?

De doorlooptijd van een ISO 27001-traject verschilt per organisatie. Dit hangt onder meer af van de startsituatie, beschikbare capaciteit, scope, complexiteit van de organisatie en de mate waarin processen, risicoafwegingen en beheersmaatregelen al zijn uitgewerkt. Organisaties die al verder zijn met governance, risicomanagement en compliance doorlopen het traject meestal sneller.

ISO 27001 certificering vraagt om meer dan documenten en losse maatregelen. In grotere en complexere organisaties komen verantwoordelijkheden, risico’s, klant- en contracteisen, leveranciers, processen en besluitvorming samen.

QVOX helpt om daar structuur in te brengen. We maken vraagstukken overzichtelijk, richten het managementsysteem praktisch in en zorgen dat informatiebeveiliging bestuurbaar wordt. Dat doen we voor IT-dienstverleners, technische organisaties en andere bedrijven waar de context ertoe doet. Het resultaat is een werkbaar systeem, passende beheersmaatregelen en een organisatie die goed voorbereid is op certificering.

Vraag een gratis adviesgesprek

Wat houdt ISO 27001 certificering in?

ISO 27001 in het kort

ISO 27001 is een internationale norm voor een managementsysteem voor informatiebeveiliging. Daarmee organiseert een organisatie hoe informatiebeveiliging wordt gestuurd, gecontroleerd en verbeterd. De kern van de norm is risicomanagement. De organisatie brengt in beeld welke informatie, systemen en processen beschermd moeten worden, welke risico’s daarbij horen en welke keuzes nodig zijn om die risico’s beheerst te houden.

Hoe de norm is opgebouwd

ISO 27001 bestaat uit twee delen.

Het eerste deel is het managementsysteem. Daarin staan onderwerpen zoals governance, beleid, rollen, verantwoordelijkheden, scope, risicobeoordeling, evaluatie, interne audits en verbetering.
Het tweede deel bestaat uit de beheersmaatregelen uit Annex A. Dat zijn concrete maatregelen, zoals toegangsbeheer, logging, back-up, classificatie, leveranciersafspraken, awareness en incidentmanagement.

Governance, ISMS en beheersmaatregelen

Deze onderdelen hangen met elkaar samen, maar hebben ieder een eigen functie. Samen vormen deze onderdelen de basis van een werkend ISO 27001-systeem.

Governance gaat over sturing en besluitvorming. Hier wordt bepaald welke risico’s prioriteit krijgen, welke eisen zwaar wegen, wie verantwoordelijk is en wie besluiten neemt over beleid, investeringen, uitzonderingen en risicobehandeling.
Het managementsysteem, het ISMS, zorgt voor structuur en borging. Daarin staat hoe informatiebeveiliging wordt georganiseerd, gevolgd en verbeterd.
De beheersmaatregelen geven concreet invulling aan de gekozen beheersing. Daarmee wordt zichtbaar hoe risico’s in de praktijk worden aangepakt.

Wat certificering betekent

ISO 27001 heeft een preventief en een correctief karakter. De norm helpt om beveiligingsproblemen te voorkomen en geeft tegelijk structuur voor het signaleren van incidenten, reageren op verstoringen, herstellen en verbeteren. Bij certificering beoordeelt een onafhankelijke certificerende instelling of de organisatie voldoet aan de eisen van ISO 27001 en of het systeem in de praktijk werkt.

Voor welke organisaties ISO 27001 relevant is

ISO 27001 is relevant voor organisaties waar informatiebeveiliging onderdeel is van de dagelijkse bedrijfsvoering. Dat geldt voor grotere IT-dienstverleners, technische bedrijven in bouw, industrie en installatie, en voor organisaties die werken met klantdata, projectinformatie, leveranciers, cloudomgevingen en bedrijfskritische systemen.

De relevantie van ISO 27001 is de afgelopen jaren sterk toegenomen. Informatiebeveiliging raakt niet alleen systemen, maar ook continuïteit, leveringszekerheid, contractverplichtingen en het vertrouwen van klanten en opdrachtgevers. Voor organisaties die digitaal werken en afhankelijk zijn van een keten van klanten, leveranciers en dienstverleners is informatiebeveiliging een vast onderdeel van professioneel organiseren geworden. ISO 27001 is daarvoor de standaard. De norm geeft structuur aan het beoordelen van risico’s, het kiezen van maatregelen, het beleggen van verantwoordelijkheden en het opvolgen van incidenten.

Zo werkt ISO 27001 certificering

Een goed ISO 27001-traject begint met inzicht in de organisatie, de informatiestromen, de risico’s en de bestuurlijke context. Vanuit dat inzicht wordt het managementsysteem ingericht, worden risico’s beoordeeld en beheersmaatregelen gekozen die passen bij de organisatie.

1. Analyse van context, risico’s en uitgangssituatie

Het traject begint met een scherp beeld van de organisatie. Welke informatie, systemen en processen zijn kritisch? Welke afhankelijkheden zijn er in de keten? Welke eisen gelden vanuit klanten, contracten, wetgeving en interne sturing? Daarbij kijken we naar governance, bestaande maatregelen, rollen, verantwoordelijkheden en de manier waarop risico’s nu al worden beoordeeld en opgevolgd.

2. Inrichten van governance, ISMS en risicobehandeling

Vanuit die analyse volgt de inrichting of aanscherping van het managementsysteem. Daarbij gaat het om scope, beleid, rollen, verantwoordelijkheden, risicobeoordeling, risicobehandeling, Statement of Applicability, doelstellingen en aantoonbaarheid. Hier ontstaat de structuur waarmee informatiebeveiliging wordt gestuurd, bewaakt en verbeterd.

3. Uitwerken en invoeren van beheersmaatregelen

Op basis van de risico’s en de gekozen risicobehandeling worden passende beheersmaatregelen uitgewerkt en ingevoerd. Denk aan maatregelen rond toegangsbeheer, logging, back-up, leveranciersbeheersing, classificatie, awareness en incidentmanagement.

4. Toetsen, evalueren en voorbereiden op de audit

Een managementsysteem krijgt pas waarde als zichtbaar is of het werkt. Daarom volgt toetsing via interne audits, controles, evaluaties en managementreview. Daarmee wordt duidelijk wat goed staat, waar nog hiaten zitten en wat nodig is richting fase 1 en fase 2 audit.

5. Certificering en borging daarna

Na een succesvolle externe audit volgt certificering. Daarna begint de borging. Informatiebeveiliging vraagt onderhoud, evaluatie en doorontwikkeling. De meerwaarde van ISO 27001 zit in een systeem dat actueel blijft en helpt om risico’s blijvend te beheersen.

Waar organisaties vaak op vastlopen

De grote uitdaging is dat de norm een papieren systeem wordt, terwijl de feitelijke informatiebeveiliging nauwelijks verbetert. In veel ISO 27001-trajecten gaat veel aandacht naar documenten, tabellen en tooling. Dat helpt om het ISMS op te bouwen, structuur aan te brengen en de norm beter te begrijpen. Tegelijk ontstaat het risico dat de organisatie vooral bezig is met het systeem, terwijl de bescherming van informatie achterblijft.

Daarbij spelen vaak twee problemen. Het eerste probleem is dat organisaties vastlopen in de complexiteit van de norm en in begrippen zoals BIV-classificatie, BIA, ISMS en beheersmaatregelen. Het tweede probleem is dat het zicht op de praktijk vervaagt. Welke informatie is echt kritisch? Hoe ziet het informatielandschap eruit? Welke dreigingen zijn reëel? Waar zitten kwetsbaarheden? En welke restrisico’s blijven bestaan?

Dan groeit de aantoonbaarheid, maar niet altijd de veiligheid. De beschikbaarheid, integriteit en vertrouwelijkheid van informatie verbeteren dan nauwelijks. Juist daar moet de aandacht liggen. Informatiebeveiliging vraagt om scherp inzicht in het informatielandschap, realistische risicoafweging en voorbereiding op het moment waarop een incident zich echt voordoet.

QVOX werkt met organisaties aan de verbetering van de informatiebeveiliging en bewaakt tegelijk de opbouw en consistentie van het ISMS. Zo groeit het inzicht in het informatielandschap, de dreigingen, de zwakheden en de restrisico’s.

Hoe QVOX ondersteunt bij ISO 27001 certificering

QVOX ondersteunt organisaties op een manier die past bij het doel, de context en de beschikbare capaciteit. Dat kan gaan om training en opleiding, tijdelijke projectmatige ondersteuning, interim inzet, begeleiding richting certificering of een beheercontract op maat.

De ondersteuning kan bestaan uit een nulmeting of GAP-analyse, het opzetten of verbeteren van een ISMS, het aanscherpen van governance, risicomanagement, rollen, processen en documentatie, het selecteren en invoeren van beheersmaatregelen, interne audits en auditvoorbereiding. Daarbij werkt QVOX met tooling van de organisatie, zoals Microsoft 365, Jira, Confluence of AFAS Control Framework, of met eigen applicaties als dat beter past.

De adviseurs van QVOX werken vanuit teamverband. Zo blijven rollen zuiver, is er scheiding tussen adviseur en intern auditor en blijft continuïteit in het traject geborgd. QVOX is gecertificeerd volgens ISO 9001 en ISO 27001 en werkt sinds 1996 voor organisaties die betrouwbare en praktische ondersteuning zoeken.

Waarom organisaties voor QVOX kiezen

QVOX werkt vanuit onderling vertrouwen en verbindt zich aan de doelen van de organisatie. We verhelderen waar het echt om gaat, maken complexe vraagstukken kleiner en nemen verantwoordelijkheid in de uitvoering, ook als het traject lastig of spannend wordt.

Het pad naar certificering

QVOX is een advies- en opleidingsbureau. We ondersteunen organisaties bij implementatie, verbetering, certificering en het beheer van managementsystemen. Ook na certificering helpen we met onderhoud, interne audits en doorontwikkeling. De certificering zelf wordt uitgevoerd door een onafhankelijke certificerende instelling.

Meer over QVOX

ISO 27001: wat is het, wat kost het en wat levert het op?

In deze korte podcast van 5 minuten hoor je wat ISO 27001 inhoudt, wat certificering ongeveer kost, wat het je organisatie oplevert en hoe QVOX helpt bij de invoering en certificering.

luister naar de podcast

Het pad naar certificering helder uitgelegd

Van normkeuze tot certificering: deze whitepaper neemt je stap voor stap mee in wat je moet regelen aan het begin van een certificeringstraject. Van de juiste norm en certificerende instelling tot grip op audits en de stappen daarna. Helder geschreven voor organisaties die praktische keuzes moeten maken en hun traject goed willen voorbereiden.

Download de whitepaper

Meer weten?

Vraag een offerte aan

offerte aanvragen

Bel ons

+31 088 858 11 22

Hoe lang duurt een ISO 27001-traject?

De doorlooptijd hangt af van de startsituatie, de omvang van de organisatie, de complexiteit van processen en de mate waarin governance, risicomanagement en beheersmaatregelen al zijn ingericht.

Wanneer de basis al grotendeels aanwezig is, kan het traject sneller verlopen. In andere situaties is meer tijd nodig om keuzes te maken, processen in te richten en voldoende bewijs op te bouwen.

Een realistisch traject vraagt meestal enkele maanden. De precieze duur hangt af van de uitgangspositie, de beschikbare interne capaciteit en het tempo waarin keuzes worden gemaakt.

Wat kost ISO 27001 certificering?

De kosten van ISO 27001 certificering hangen af van de omvang van de organisatie, de scope, het aantal locaties, de bestaande volwassenheid en de ondersteuning die nodig is.

De investering bestaat meestal uit interne inzet, externe begeleiding, certificatiekosten en eventuele verbeteracties. In complexere organisaties spelen ook projectleiding, extra afstemming, inrichting van processen en beheer na certificering een rol.

QVOX helpt om daarin gerichte keuzes te maken. Zo blijft het traject beheersbaar en sluit de investering aan op wat de organisatie echt nodig heeft.

Aansluiting bij NEN 7510, BIO2 en ISO 27701

ISO 27001 biedt voor veel organisaties een sterke basis voor informatiebeveiliging. De norm geeft structuur aan governance, risicomanagement, beheersmaatregelen en continue verbetering. Juist daarom is er veel overlap met kaders als NEN 7510 en BIO2. Die bouwen in belangrijke mate voort op dezelfde basis, maar werken die verder uit voor de context van de zorg en de overheid.

ISO 27001 vormt ook de basis voor ISO 27701, waarin privacymanagement wordt toegevoegd aan deze structuur. Daarmee is ISO 27001 voor veel organisaties een logisch vertrekpunt om informatiebeveiliging en privacy aantoonbaar, beheerst en in samenhang in te richten.

PLEIO werkt samen met QVOX voor ISO 27001 en ISO 27701

''Dankzij de betrokken adviseur van QVOX zijn we continu op de hoogte van wat er speelt en welke stappen we moeten doorlopen. We wilden ons laten certificeren en hebben eerst Google geraadpleegd: welke bedrijven kunnen ons ondersteunen? Met QVOX hadden we direct een klik. Er straalde vertrouwen uit. Zij zijn echt een partner die naast je gaan staan en met je door het hele proces lopen.’’

Lees hier het hele verhaal van PLEIO

FAQ

Veelgestelde vragen over ISO 27001-certificering behalen

Wat is ISO 27001?

ISO 27001 is de internationale norm voor een managementsysteem voor informatiebeveiliging. De norm helpt organisaties om informatiebeveiliging gestructureerd te organiseren, risico’s te beoordelen en passende maatregelen te treffen.

Wat zijn de kosten van een ISO 27001 certificering?

De kosten van een ISO 27001-certificering kunnen sterk verschillen. Dit hangt met name af van de complexiteit van de informatiesystemen en de grootte van de organisatie.

Voor een ISO 27001 kunnen de volgende kostensoorten aan de orde zijn:

ISO 27001 norm

Aanschaffen officiële norm NEN-EN-ISO/IEC 27001:2023 nl - circa € 185

ISO 27001 ondersteuning

De kosten van de ondersteuning zijn afhankelijk van de gewenste vorm van begeleiding en de omvang van de organisatie. Wil je veel zelf doen, al dan niet via training. Of wil je juist veel uitbesteden? Om dit goed te bepalen voeren wij een gratis kennismakingsgesprek en indien nodig een GAP Analyse.

ISO 27001 Opleiding en Awareness

Het is verstandig om budget vrij te houden voor het opleiden van de security officer, de interne auditor(en) en awarenesstraining voor de medewerkers. Je kunt echter ook besluiten dit uit te besteden aan QVOX. Dit is vaak financieel en kwalitatief aantrekkelijker.

ISO 27001 certificering

De certificerende instantie berekent certificeringskosten. Reken met ongeveer € 1.450 per dag excl. BTW. Een certificering kost de eerste keer minimaal 3 dagen, maar bij grotere bedrijven uiteraard meer. Bij kleine organisaties kost de jaarlijkse vervolgaudit ongeveer 1 dag. Na 3 jaar is er weer een iets uitgebreidere audit. Deze bedragen zijn indicatief.

Beveiligingsmaatregelen

Indien nodig moeten er beveiligingsmaatregelen genomen worden. Denk hierbij aan IT-maatregelen, maar ook aan fysieke maatregelen. De noodzaak om deze maatregelen te nemen zijn afhankelijk van de gekozen doelstellingen, wetgeving, eisen van klanten en risico's.

Software voor ISMS

Een ISMS kun je prima opstellen en bijhouden in een bestaande omgeving, zoals Microsoft365 (Sharepoint of Teams), Google Suite of Confluence. Er zijn ook specifieke softwareapplicaties om het ISMS in bij te houden. Dit is geen must en onze ervaringen zijn wisselend. Ons advies is om het ISMS bij te houden in de applicatie die je dagelijks gebruikt. Dat is een bekende omgeving en scheelt kosten.

Hoe lang duurt een ISO 27001 traject?

De doorlooptijd hangt af van de startsituatie, de omvang van de organisatie, de complexiteit van processen en de beschikbare interne capaciteit. Nadat het ISMS is opgezet neemt de implementatieperiode minimaal ca. 3 maanden tijd in beslag.

Wat is de juiste actuele ISO 27001 norm?

De juiste ISO 27001 norm is op dit moment versie 2023. De volledige officiële naam is NEN-EN-ISO/IEC 27001:2023 nl. De norm kost ongeveer € 185 en kun je bestellen bij de NEN.

Versie 2022 is inhoudelijk gelijk aan versie 2023. De titel van de norm is gewijzigd van 2022 in 2023 vanwege Europese erkenning en harmonisatie. In de praktijk worden de termen 2022 en 2023 door elkaar gebruikt.

De vorige versie van ISO 27001 is die uit 2017. Deze vervalt in 2025.

Uit welke eisen bestaat ISO 27001?

Welke eisen bevat ISO 27001, de norm voor informatiebeveiliging? Wij hebben de belangrijkste eisen voor je onder elkaar gezet:

De context van de organisatie moet worden bepaald in een contextanalyse. Hierin neem je eisen en verwachtingen van in- en externe belanghebbenden (stakeholders), wetgeving, externe ontwikkelingen en specifieke interne issues die in de organisatie spelen voor informatiebeveiliging op.
De scope (toepassingsgebied) van het informatiebeveiligingsmanagementsysteem moet duidelijk zijn vastgesteld. Denk hierbij aan certificaathouder, de locaties en de informatiesystemen die onder de ISO 27001 certificering vallen
De directie moet leiderschap tonen door het informatiebeveiligingsbeleid vast te stellen, doelen te bepalen voor informatiebeveiliging, rollen en verantwoordelijkheden te verdelen, middelen ter beschikking te stellen en betrokkenheid te tonen.
Risico’s en kansen moeten voor de organisatie worden vastgesteld. Ook moeten de noodzakelijke maatregelen worden bepaald, gepland en geïmplementeerd. Voor de risico analyse moet een procedure zijn vastgesteld, zodat toekomstige risico analyses gelijkwaardige resultaten opleveren. Ook zijn de uitkomsten van de risico analyse input voor Verklaring van toepasselijkheid (de maatregelen uit appendix A\ISO 27002).
De beheersdoelen en maatregelen uit Appendix A van de normen moeten worden beoordeeld op relevantie, toepasselijk worden verklaard en waar vereist gedocumenteerd en geïmplementeerd. Dit is een belangrijk aspect van de ISO 27001 certificering.
Ondersteunende processen met betrekking tot o.a. bewustzijn en competenties van personeel, inzet van middelen, infrastructuur, meetmiddelen, communicatie en documentatie moeten worden bepaald en ingevoerd.
Het primaire proces moet voorzien in producten en diensten rekening houdend met de voorgaande onderwerpen uit de risico analyse.
Meting en monitoring, o.a. via het meten van informatiebeveiligingsdoelen en KPI (Kritische Prestatie Indicatoren), incidenten, meten van informatiebeveiligingsprocessen, uitvoeren van interne audits
Evaluaties, zoals de directiebeoordeling, effectiviteit van maatregelen uit de appendix/risicobeoordeling en geleverde informatiebeveiligingsprestaties.
Leren van fouten, klachten, afwijkingen en treffen van corrigerende maatregelen.
Realiseren van verbeteringen.

Hoe ziet een ISO 27001 traject eruit?

Een ISO 27001 traject begint meestal met een analyse van de context, risico’s en uitgangssituatie. Daarna volgen de inrichting van het managementsysteem, de keuze van beheersmaatregelen, interne audits en de voorbereiding op certificering.

Voor welke organisaties is ISO 27001 relevant?

ISO 27001 is relevant voor organisaties waar informatiebeveiliging raakt aan continuïteit, klantvertrouwen, contracteisen en beheersing van processen.

Wat zijn de voordelen van ISO 27001?

Informatiebeveiliging en cybersecurity worden steeds belangrijker. ISO 27001 biedt een framwork om hier systematisch mee om te gaan. Dit heeft als voordeel dat je tot een goed doordachte aanpak van informatiebeveiligingsrisico's komt én dat je dit op een internationaal erkende manier kunt laten certificeren.

Het gebruik van ISO 27001 is ook een goede basis om te voldoen aan NIS2, AVG (GDPR), NEN 7510 en SOC1/2. Veel maatregelen uit ISO 27001 worden ook als eis in verwerkingsovereenkomsten genoemd. Tenslotte is ISO 27001 een van de meest voorkomende nieuwe eisen bij opdrachtgevers en in aanbestedingen.

Wat houdt ISO 27001 certificering in?

Bij ISO 27001 certificering beoordeelt een onafhankelijke certificerende instelling of het managementsysteem voldoet aan de eisen van de norm en in de praktijk werkt.

Is ISO 27001 verplicht?

ISO 27001 is meestal niet wettelijk verplicht. In de praktijk wordt certificering wel vaak gevraagd door klanten, opdrachtgevers, ketenpartners of bij aanbestedingen.