ISO 27001: wat het is, wat er voor certificering nodig is en of uw organisatie het nodig heeft

ISO 27001 is de internationale norm voor beheersystemen voor informatiebeveiliging. Het is wereldwijd de meest erkende beveiligingscertificering, die door zakelijke klanten, toezichthouders en verzekeraars wordt aanvaard als bewijs van een systematische, gecontroleerde aanpak van het beheer van informatiebeveiligingsrisico’s.

Volgens het Kaseya State of the MSP-rapport voor 2026 behoren naleving van regelgeving en rapportage tot de top tien van servicebehoeften van MSP-klanten in 2026, en is ISO 27001 de certificering waar het meest om wordt gevraagd door inkoopafdelingen van grote ondernemingen. Download het volledige rapport.

Voor IT-teams en MSP’s is ISO 27001 op twee fronten van belang: als interne beveiligingsnorm die het nastreven waard is, en als eis die zakelijke klanten steeds vaker aan hun dienstverleners stellen. Inzicht in wat de norm vereist, en of formele certificering daadwerkelijk noodzakelijk is of dat het naleven van de norm ook zonder certificering evenveel waarde oplevert, vormt het uitgangspunt voor elke goede beslissing. De compliance-tools van Kaseya ondersteunen organisaties in elke fase van dat besluitvormingsproces bij het in kaart brengen van tekortkomingen ten opzichte van ISO 27001 en het verzamelen van bewijsmateriaal.

Wat is ISO 27001?

ISO/IEC 27001 is een internationale norm die gezamenlijk is uitgegeven door de Internationale Organisatie voor Normalisatie (ISO) en de Internationale Elektrotechnische Commissie (IEC). De norm beschrijft de eisen voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van een informatiebeveiligingsbeheersysteem (ISMS), een gestructureerd kader voor het identificeren en beheren van informatiebeveiligingsrisico’s binnen een organisatie.

ISO 27001 is geen checklist met specifieke beveiligingsmaatregelen. Het is een norm voor managementsystemen. De norm schrijft voor dat een organisatie moet beschikken over een gedocumenteerd risicobeheerproces, maatregelen moet nemen die zijn afgestemd op de geïdentificeerde risico’s, de prestaties van haar ISMS moet meten en deze voortdurend moet verbeteren. De certificering wordt na een formele audit afgegeven door een geaccrediteerde externe certificeringsinstantie.

ISO 27001:2022 is de huidige versie, die in oktober 2022 is gepubliceerd. De deadline van oktober 2025 voor organisaties om over te stappen van ISO 27001:2013 is inmiddels verstreken. Elk geldig ISO 27001-certificaat moet verwijzen naar de versie van 2022. Organisaties die nog steeds de norm van 2013 aanhalen, moeten met de nodige voorzichtigheid worden benaderd door inkoopteams van ondernemingen, aangezien die certificeringen niet langer als geldig worden beschouwd.

Het gebruik ervan is sterk toegenomen. Volgens de ISO Survey 2024 bedroeg het aantal geldige ISO 27001-certificaten wereldwijd bijna 97.000, een aanzienlijke stijging ten opzichte van voorgaande jaren, aangezien organisaties in de financiële dienstverlening, de technologiesector en de gezondheidszorg certificering steeds vaker beschouwen als een basisvereiste op het gebied van beveiliging.

ISO 27001 versus ISO 27002

Deze twee normen vullen elkaar aan en worden vaak door elkaar gehaald.

ISO 27001 beschrijft de eisen waaraan een ISMS moet voldoen en wat het managementsysteem moet omvatten om in aanmerking te komen voor certificering. Het is de norm waaraan organisaties worden getoetst voor certificering.

ISO 27002 biedt richtlijnen voor de implementatie van de informatiebeveiligingsmaatregelen die in bijlage A van ISO 27001 worden genoemd. Het is een referentiedocument, geen norm waarop certificering mogelijk is. Organisaties worden gecertificeerd volgens ISO 27001, waarbij ISO 27002 als implementatierichtlijn wordt gebruikt.

Beschouw ISO 27001 als de norm (wat er moet zijn) en ISO 27002 als de implementatiegids (hoe je het moet opzetten). Om een ISO 27001-audit te doorstaan, is het niet nodig om ISO 27002 direct te implementeren, maar de richtlijnen zijn in de praktijk nuttig voor elke organisatie die voor het eerst aan de slag gaat met het implementeren van beheersmaatregelen.

Wat er voor een ISO 27001-certificering nodig is

De certificeringseisen zijn onderverdeeld in de artikelen 4 tot en met 10. Aan elk artikel moet worden voldaan om gecertificeerd te worden.

Artikel 4, Context van de organisatie: Bepaal de reikwijdte van het ISMS. Breng de interne en externe factoren in kaart die hierop van invloed zijn, de belanghebbenden met eisen op het gebied van informatiebeveiliging, en welke informatiebronnen onder de reikwijdte vallen.

Artikel 5, Leiderschap: Het hoger management moet blijk geven van actieve betrokkenheid bij het ISMS. Dit houdt in dat het een gedocumenteerd beleid inzake informatiebeveiliging onderschrijft, rollen en verantwoordelijkheden toewijst en ervoor zorgt dat het programma over voldoende middelen beschikt.

Artikel 6, Planning: Voer een formele risicobeoordeling op het gebied van informatiebeveiliging uit. Breng de risico’s voor informatieactiva in kaart, beoordeel de waarschijnlijkheid en mogelijke gevolgen ervan, en stel een risicobeheersingsplan op waarin wordt vastgelegd hoe elk risico wordt aangepakt: of het nu wordt geaccepteerd, beperkt, overgedragen of vermeden.

Artikel 7, Ondersteuning: Controleer of het ISMS over de benodigde middelen beschikt, of het personeel over de juiste vaardigheden beschikt, of het bewustzijn van de beveiligingsverantwoordelijkheden actief wordt onderhouden en of de documentatie op de juiste wijze wordt beheerd.

Paragraaf 8, Uitvoering: het risicobeheersingsplan uitvoeren. Hier worden de beheersmaatregelen uit bijlage A toegepast en worden de in het plan beschreven operationele beveiligingsactiviteiten daadwerkelijk uitgevoerd.

Artikel 9, Prestatiebeoordeling: De prestaties van het ISMS moeten worden gecontroleerd en gemeten aan de hand van vastgestelde doelstellingen. Er moeten interne audits worden uitgevoerd. Het management moet het ISMS met vaste tussenpozen evalueren.

Artikel 10, Verbetering: Pak eventuele afwijkingen aan, neem corrigerende maatregelen en zorg ervoor dat het ISMS in de loop van de tijd voortdurend wordt verbeterd.

De certificeringsaudit zelf bestaat uit twee fasen. Fase 1 is een documentcontrole: is het ISMS aanwezig en is het adequaat opgezet? In fase 2 wordt de implementatie beoordeeld: functioneert het ISMS daadwerkelijk zoals het is opgezet? Na de eerste certificering vinden er jaarlijks toezichtsaudits plaats, met een volledige hercertificeringsaudit na drie jaar.

Voor organisaties die vanaf een laag uitgangsniveau beginnen, duurt het volledige traject – van het in kaart brengen van de tekortkomingen tot het behalen van een ISMS-certificering – doorgaans zes tot achttien maanden en vereist het aanzienlijke investeringen in professionele dienstverlening, tijd van interne medewerkers en hulpmiddelen.

Bijlage A: de 93 veiligheidsmaatregelen

Bijlage A van ISO 27001:2022 bevat 93 beheersmaatregelen, ingedeeld in vier thema’s.

Organisatorische maatregelen (37): beleid, rollen en verantwoordelijkheden, informatie over bedreigingen, informatiebeveiliging in projectbeheer, relaties met leveranciers, procedures voor incidentbeheer en bedrijfscontinuïteitsplanning.

Personeelsmaatregelen (8): screening vóór indiensttreding, arbeidsvoorwaarden met betrekking tot informatiebeveiliging, voorlichting en bewustwording op het gebied van beveiliging, disciplinaire procedures en beleid inzake werken op afstand.

Fysieke beveiligingsmaatregelen (14): fysieke beveiligingsperimeters, beveiliging van apparatuur, beleid inzake het leeghouden van bureaus en schermen, en veilige verwijdering van apparatuur.

Technologische beveiligingsmaatregelen (34): Toegangscontrole, authenticatiemechanismen, beheer van cryptografische sleutels, veilige ontwikkelingspraktijken, kwetsbaarheidsbeheer, monitoring van de netwerkbeveiliging, back-up en herstel, logboekregistratie en versleuteling.

Niet alle 93 controlemaatregelen zijn voor elke organisatie verplicht. De Statement of Applicability (SoA) is een verplicht document waarin de organisatie vastlegt welke controlemaatregelen van toepassing zijn op haar werkterrein en risicoprofiel, en eventuele uitsluitingen motiveert. Controlemaatregelen worden alleen uitgesloten wanneer ze daadwerkelijk niet van toepassing zijn op de bedrijfsactiviteiten van de organisatie, en niet om de inspanningen op het gebied van naleving te verminderen. Een auditor zal uitsluitingen nauwkeurig onder de loep nemen.

Certificering versus afstemming: wanneer loont formele certificering de moeite?

ISO 27001-certificering is een aanzienlijke investering. Het volledige traject, dat bestaat uit een gap-analyse, de ontwikkeling van een ISMS, interne audits, certificeringsaudits in fase 1 en fase 2 en doorlopende toezicht, vergt doorgaans zes tot achttien maanden aan inspanningen en een aanzienlijk budget.

Het is duidelijk de moeite waard om een officiële certificering te behalen wanneer:

• Zakelijke klanten eisen het. Grote organisaties in de financiële sector, de gezondheidszorg en de overheid stellen ISO 27001-certificering steeds vaker als criterium voor de selectie van leveranciers. Als belangrijke klanten of potentiële klanten dit eisen, is de zakelijke argumentatie duidelijk. Het risico dat een contract verloren gaat of dat men al in de beginfase van een aanbestedingsprocedure wordt uitgesloten, is reëel voor niet-gecertificeerde leveranciers.
• De harmonisatie van regelgeving maakt dit noodzakelijk. Bepaalde sectorspecifieke regelgeving in de EU en het VK verwijst naar ISO 27001 als een aanvaardbare manier om aan de voorschriften te voldoen. Voor organisaties die onder deze regelgeving vallen, is certificering wellicht de duidelijkste manier om aan te tonen dat ze aan de voorschriften voldoen.
• Marktonderscheid rechtvaardigt dit. In concurrerende markten waar zakelijke klanten verschillende aanbieders vergelijken, geeft ISO 27001-certificering blijk van een mate van beveiligingsvolwassenheid die veel concurrenten ontberen.

Een afstemming zonder formele certificering kan voldoende zijn wanneer:

• De belangrijkste drijfveer is het verbeteren van de interne beveiliging. Door de ISMS-structuur in te voeren, een risicobeoordeling uit te voeren en passende beheersmaatregelen te treffen, worden de meeste beveiligingsvoordelen al gerealiseerd zonder dat er een certificeringsaudit nodig is.
• De organisatie werkt aan certificering, maar is daar nog niet klaar voor. Het stapsgewijs opzetten van het ISMS met het oog op een certificeringsaudit is een legitieme strategie, met name voor kleinere organisaties of organisaties met beperkte interne middelen op het gebied van compliance.

Een praktisch voorbeeld: een MSP die 200 eindpunten van klanten beheert en meedingt naar een contract in de financiële dienstverlening voor het middensegment, zal vrijwel zeker zien dat ISO 27001-certificering op de kwalificatiechecklist voor leveranciers staat. Dezelfde MSP die MKB-klanten algemene IT-ondersteuning biedt, zal wellicht merken dat het aantonen van naleving – met gedocumenteerd beleid en een uitgevoerde risicobeoordeling – voldoet aan wat klanten daadwerkelijk vragen.

ISO 27001 voor MSP's

ISO 27001 is om twee specifieke redenen bijzonder relevant voor MSP’s.

MSP’s als risico in de toeleveringsketen. Zakelijke klanten hebben uit spraakmakende incidenten in de toeleveringsketen geleerd dat MSP’s een aanzienlijk aanvalsoppervlak vormen voor hun omgevingen. ISO 27001-certificering is het erkende bewijs dat een MSP beschikt over een systematisch, gecontroleerd beveiligingsprogramma. MSP’s die zakelijke contracten nastreven of bestaande zakelijke klanten willen behouden naarmate inkoopprocessen zich verder ontwikkelen, zullen certificering steeds vaker als een de facto vereiste beschouwen.

Uit het ISMS.online-onderzoek naar de stand van zaken op het gebied van informatiebeveiliging in 2025 blijkt dat de meeste organisaties het afgelopen jaar te maken hebben gehad met ten minste één beveiligingsincident waarbij een derde partij of leverancier betrokken was. Inkoopteams hebben dit opgemerkt. MSP’s zonder gestructureerde beveiligingsprogramma’s worden al uit de selectie gefilterd voordat het verkoopteam er überhaupt bij betrokken raakt.

MSP’s die compliance-diensten aan klanten leveren. MSP’s die klanten helpen bij het voldoen aan de ISO 27001-norm of bij het behalen van een ISO 27001-certificering, moeten de norm goed genoeg begrijpen om lacuneanalyses uit te voeren, de implementatie van beheersmaatregelen te begeleiden en klanten voor te bereiden op audits. Dit is een groeiende categorie van diensten. Middelgrote bedrijven vormen een van de snelst groeiende segmenten die ISO 27001-certificering nastreven, en velen van hen beschikken niet over de interne expertise om dit zelf te doen.

Compliance Manager GRC ISO 27001/2-beoordelingen binnen zijn raamwerkbibliotheek, waardoor MSP’s de ISO 27001-tekortkomingsanalyses van klanten, het in kaart brengen van controlemechanismen en het verzamelen van bewijsmateriaal via één centraal platform kunnen beheren. Een MSP die meerdere klanten tegelijkertijd begeleidt bij de voorbereiding op ISO 27001, heeft aanzienlijk meer baat bij een gestructureerde tool dan bij ad-hocspreadsheets en gedeelde schijven.

Hoe ISO 27001 zich verhoudt tot andere kaders

Een van de praktische voordelen van ISO 27001 is dat de norm aansluit bij andere belangrijke kaders. De inspanningen voor de implementatie leveren dus extra voordeel op: een organisatie die een degelijk ISMS voor ISO 27001 opzet, voldoet daarmee tegelijkertijd aan een groot deel van de vereisten van diverse andere regelgevingen.

NIST CSF. Sterke overeenstemming. Beide zijn risicogebaseerde benaderingen die gericht zijn op het systematisch beheren van informatiebeveiliging. Een organisatie met een ISO 27001-certificering zal merken dat aan de meeste eisen van het NIST CSF al wordt voldaan via haar ISMS. Het NIST-raamwerk leidt niet tot certificering, maar er wordt veelvuldig naar verwezen, met name door organisaties die contracten hebben met de Amerikaanse overheid of klanten hebben.

SOC 2. Er is een aanzienlijke overlap op het gebied van controlemaatregelen, met name wat betreft toegangscontrole, logboekregistratie, wijzigingsbeheer en beschikbaarheid. De auditmethodologie en de rapportagevorm verschillen aanzienlijk, maar ISO 27001-certificering versnelt de voorbereiding op SOC 2 aanzienlijk. Organisaties streven vaak naar beide.

AVG. ISO 27001 voldoet aan veel van de technische en organisatorische beveiligingseisen AVG. Een ISMS volgens ISO 27001 biedt solide bewijs voor de verplichting uit artikel 32 om passende beveiligingsmaatregelen te nemen. De specifieke privacy-eisen AVGgaan verder en hebben betrekking op de rechten van betrokkenen, de rechtsgrondslag en effectbeoordelingen inzake gegevensbescherming, maar het ISMS vormt de basis voor de beveiliging.

CIS-maatregelen. De maatregelen uit bijlage A van ISO 27001 komen grotendeels overeen met de CIS-maatregelen. Organisaties die CIS-maatregel IG2 of IG3 hebben geïmplementeerd, hebben daarmee al aan een aanzienlijk deel van de eisen uit bijlage A voldaan en zouden een certificeringsaudit daardoor beter moeten kunnen doorstaan.

NIS2. De beveiligingsmaatregelen uit artikel 21 van NIS2 sluiten nauw aan bij de ISMS-benadering van ISO 27001. Een ISO 27001-certificering staat niet gelijk aan naleving van NIS2, maar biedt wel een solide basis en voldoet aan een groot deel van de eisen die toezichthouders stellen op het gebied van gedocumenteerd, systematisch beveiligingsbeheer.

Voor een uitgebreidere vergelijking van ISO 27001 met SOC 2, NIST en PCI DSS, zie Belangrijkste nalevingsnormen en de verschillen daartussen.

Ontdek hoe Compliance Manager GRC de beoordeling en het nalevingsbeheer volgens ISO 27001.