ISO 27001 certificering

ISO 27001 is de internationale standaard voor de certificering van informatiebeveiliging. Met een ISO 27001 certificaat laat je zien dat belangrijke informatie bij jou in goede handen is. Je hebt maatregelen getroffen om de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens te beschermen. En je bent voorbereid op incidenten, zoals een datalek. Vandaar dat een ISO 27001 certificering tegenwoordig de standaard is voor iedere organisatie die met belangrijke gegevens omgaat.

ISO 27001 behalen

QVOX neemt je bij de hand met een maatwerk advies voor de ISO 27001-certificering, dat is afgestemd op jouw situatie en wensen. Doorloop de volgende stappen om je ISO 27001 certificering te behalen:

  • GAP-analyse: snel zicht in de acties die je moet nemen;
  • Risico analyse: de risico's op het gebied van IT, fysieke beveiliging, mens én organisatie inzichtelijk 
  • ISMS opzetten: een praktisch ISMS dat aan de certificeringseisen voldoet;
  • Beveiligingsmaatregelen implementeren: acties nemen met awareness en instructie op maat. Live of via e-learning;
  • Interne audit ISO 27001: een controle op alle normeisen van ISO 27001, zodat je weet waar je staat en goed voorbereid bent op de externe audit;
  • Directiebeoordeling: verplichte jaarlijkse evaluatie van het ISMS; 
  • Externe audit: de officiële certificeringsaudit

ISO 27001 audit

ISO 27001 biedt een raamwerk om op een systematische manier risico's voor informatiebeveiliging in kaart te brengen én daarvoor passende maatregelen te treffen. De ISO 27001 certificering kun je behalen door een externe audit te laten afnemen door een erkende certificerende instantie. QVOX werkt met alle erkende instanties en wij adviseren bij de keuze voor een passende certificerende instantie.  

ISO 27001 behalen: wat moet je doen en wat zijn de kosten?


In 5 minuten nemen wij je mee door de belangrijkste vragen over ISO 27001. Gewoon, zonder poespas. Wat moet je doen, met welke kosten krijg je te maken en wat levert het je op?

Je kunt ook luisteren naar vliegensvlugge afleveringen over andere ISO-normen. Die sessies vind je op onze podcast-pagina of op Spotify via #QTALK. 

Podcast: ISO 27001 in 5 minuten
Aan de slag met ISO 27001
Awareness, training & opleiding
Awareness, training & opleiding:

In de QVOX Academy vind je opleiding en training om je kennis op het gebied van informatiebeveiliging en ISO 27001 te vergroten. Klassikaal, in company en via e-learning. En er is meer! Wij bieden met onze AIM2SECURE - Security Awareness App ook een online awareness training, waarmee je snel het risicobewustzijn kunt vergroten en de resultaten real time kunt monitoren!  

Projecten
Projecten:

Wil je tijdelijke ondersteuning met een duidelijk doel of de zorg voor je ISO 27001-certificering uitbesteden? Dan is onze projectaanpak de beste oplossing.

Samen stellen wij een projectteam vast en ondersteunen wij je op maat. Onze ervaren projectmanagers leiden je met een helder projectplan naar een succesvolle ISO 27001 certificering. En we kunnen daarbij ook de praktische ondersteuning bieden. Onze tip? Begin met een GAP Analyse en we bekijken samen wat het beste bij jou past. 

Security As A Service
Security As A Service:

Is het het lastig om intern een security officer aan te stellen? Dan is Security As A Service misschien iets voor jouw organisatie. Bij Security As A Service nemen wij deze rol over met de zekerheid van continuïteit tegen een vast maand- of kwartaalbedrag. 

Je krijgt een serviceplanning op maat, zodat vooraf duidelijk is wat je mag verwachten. En indien nodig combineren wij dit met aanvullende services zoals een pentest of gebruik van de AIM2SECURE Security Awareness App. 

Wil je meer weten over ISO 27001 certificering?

Neem contact met ons op en wij regelen een gratis kennismakingsgesprek met een van onze adviseurs om jouw situatie door te nemen. 

ISO 27001 norm: de basis voor het ISMS

ISO 27001 is dé basisnorm voor certificering van informatiebeveiliging. Deze norm is net als andere opgesteld volgens de High Level Structure (HLS) en kan daardoor eenvoudig gecombineerd worden met andere ISO-normen zoals ISO 9001 (kwaliteit) en ISO 14001 (milieu)

ISO 27001 is gericht op het managementsysteem voor informatiebeveiliging. De norm bevat een bijlage (Annex A), waarin specifieke maatregelen staan vermeld die meegenomen moeten worden in het managementsysteem. Deze bijlage is uitgebreid beschreven in ISO 27002.

ISO 27002 norm: de beveiligingsmaatregelen

In ISO 27001 wordt dieper ingegaan op de beveiligingsmaatregelen in ISO 27001, Annex A. De norm geeft een verdieping en specifieke instructies voor het gebruik van de maatregelen uit Annex A. Omdat het een hulpmiddel is kun je niet gecertificeerd worden volgens ISO 27002. 

De beveiligingsmaatregelen geef ongeveer 100 mogelijke maatregelen, die zijn opgedeeld in 4 hoofdstukken: Organisatie, Mens, Techniek en Fysiek. 

ISO 27701 (privacy) en andere normen

De ISO 27000-reeks bevat nog meer normen, zoals ISO 27701. Dit is een certificeringsnorm voor privacy die je kunt behalen bovenop ISO 27001. ISO 27701 geeft extra eisen op het gebied van privacy in lijn met de AVG (GDPR). Er zijn echter nog meer normen in de ISO 27000-reeks, zoals ISO 27006 voor cybersecurity & protection.

Certificering is voor de meeste organisaties geen dagelijkse kost. Maar wel voor QVOX. Daarom kiezen de meeste organisaties om een adviesbureau. Een goed adviesbureau kan werk uit handen nemen en de bedrijfsleiding ondersteunen bij het inrichten van een managementsysteem dat aansluit bij de organisatie én de juiste normen.

FAQ
FAQ

ISO 27001

Wat is ISO 27001?

De ISO 27001 norm is de internationale standaard voor certificering van informatiebeveiligingsmanagementsysteem (ISMS). Met een ISO 27001 certificaat toon je aan dat je informatiebeveiliging systematisch hebt toegepast in je bedrijfsvoering.

De norm bestaat uit een introductie (hoofdstuk 1-3), de certificeringseisen (hoofdstuk 4-10) en een lijst met beveiligingsmaatregelen die in overweging genomen moeten worden (Annex A). 

ISO 27001 is opgebouwd volgens de High Level Structure (HLS). Dit betekent dat de structuur overeenkomt met andere ISO-normen zoals ISO 9001 (kwaliteit) en ISO 14001 (milieu). 

De laatste versie van ISO 27001 is versie 2022. Deze is te bestellen bij www.nen.nl.  

Wat zijn de kosten van een ISO 27001 certificering?

De kosten van een ISO 27001-certificering kunnen sterk verschillen. Dit hangt met name af van de complexiteit van de informatiesystemen en de grootte van de organisatie.

Voor een ISO 27001 kunnen de volgende kostensoorten aan de orde zijn:

ISO 27001 norm

Aanschaffen officiële norm NEN-EN-ISO/IEC 27001:2023 nl - circa € 185

ISO 27001 ondersteuning

De kosten van de ondersteuning zijn afhankelijk van de gewenste vorm van begeleiding en de omvang van de organisatie. Wil je veel zelf doen, al dan niet via training. Of wil je juist veel uitbesteden? Om dit goed te bepalen voeren wij een gratis kennismakingsgesprek en indien nodig een GAP Analyse. 

ISO 27001 Opleiding en Awareness

Het is verstandig om budget vrij te houden voor het opleiden van de security officer, de interne auditor(en) en awarenesstraining voor de medewerkers. Je kunt echter ook besluiten dit uit te besteden aan QVOX. Dit is vaak financieel en kwalitatief aantrekkelijker.

ISO 27001 certificering

De certificerende instantie berekent certificeringskosten. Reken met ongeveer € 1.450 per dag excl. BTW. Een certificering kost de eerste keer minimaal 3 dagen, maar bij grotere bedrijven uiteraard meer. Bij kleine organisaties kost de jaarlijkse vervolgaudit ongeveer 1 dag. Na 3 jaar is er weer een iets uitgebreidere audit. Deze bedragen zijn indicatief.

Beveiligingsmaatregelen

Indien nodig moeten er beveiligingsmaatregelen genomen worden. Denk hierbij aan IT-maatregelen, maar ook aan fysieke maatregelen. De noodzaak om deze maatregelen te nemen zijn afhankelijk van de gekozen doelstellingen, wetgeving, eisen van klanten en risico's.

Software voor ISMS

Een ISMS kun je prima opstellen en bijhouden in een bestaande omgeving, zoals Microsoft365 (Sharepoint of Teams), Google Suite of Confluence. Er zijn ook specifieke softwareapplicaties om het ISMS in bij te houden. Dit is geen must en onze ervaringen zijn wisselend. Ons advies is om het ISMS bij te houden in de applicatie die je dagelijks gebruikt. Dat is een bekende omgeving en scheelt kosten.

Hoe lang duurt een ISO 27001 certificeringstraject?

Een ISO 27001 certificering neemt gemiddeld 6 - 9 maanden tijd in beslag en bestaat uit de volgende fasen:

  1. GAP-analyse: circa 2 weken
  2. Risico analyse en ISMS opzetten: circa 2 - 3 maanden
  3. Implementatie ISMS en beveiligingsmaatregelen, interne audits en directiebeoordeing: circa 3 maanden
  4. Externe audit, audit review door CI en uitreiking certificaat: 4 - 6 weken

Afwijkingen hierop zijn uiteraard mogelijk. Wij kunnen in een persoonlijke kennismaking de mogelijkheden bespreken.  

Wat is de juiste actuele ISO 27001 norm?

De juiste ISO 27001 norm is op dit moment versie 2023. De volledige officiële naam is NEN-EN-ISO/IEC 27001:2023 nl. De norm kost ongeveer € 185 en kun je bestellen bij de NEN. 

Versie 2022 is inhoudelijk gelijk aan versie 2023. De titel van de norm is gewijzigd van 2022 in 2023 vanwege Europese erkenning en harmonisatie. In de praktijk worden de termen 2022 en 2023 door elkaar gebruikt. 

De vorige versie van ISO 27001 is die uit 2017. Deze vervalt in 2025. 

Uit welke eisen bestaat ISO 27001?

Welke eisen bevat ISO 27001, de norm voor informatiebeveiliging? Wij hebben de belangrijkste eisen voor je onder elkaar gezet:

  1. De context van de organisatie moet worden bepaald in een contextanalyse. Hierin neem je eisen en verwachtingen van in- en externe belanghebbenden (stakeholders), wetgeving, externe ontwikkelingen en specifieke interne issues die in de organisatie spelen voor informatiebeveiliging op.
  2. De scope (toepassingsgebied) van het informatiebeveiligingsmanagementsysteem moet duidelijk zijn vastgesteld. Denk hierbij aan certificaathouder, de locaties en de informatiesystemen die onder de ISO 27001 certificering vallen
  3. De directie moet leiderschap tonen door het informatiebeveiligingsbeleid vast te stellen, doelen te bepalen voor informatiebeveiliging, rollen en verantwoordelijkheden te verdelen, middelen ter beschikking te stellen en betrokkenheid te tonen.
  4. Risico’s en kansen moeten voor de organisatie worden vastgesteld. Ook moeten de noodzakelijke maatregelen worden bepaald, gepland en geïmplementeerd. Voor de risico analyse moet een procedure zijn vastgesteld, zodat toekomstige risico analyses gelijkwaardige resultaten opleveren. Ook zijn de uitkomsten van de risico analyse input voor Verklaring van toepasselijkheid (de maatregelen uit appendix A\ISO 27002).
  5. De beheersdoelen en maatregelen uit Appendix A van de normen moeten worden beoordeeld op relevantie, toepasselijk worden verklaard en waar vereist gedocumenteerd en geïmplementeerd. Dit is een belangrijk aspect van de ISO 27001 certificering.
  6. Ondersteunende processen met betrekking tot o.a. bewustzijn en competenties van personeel, inzet van middelen, infrastructuur, meetmiddelen, communicatie en documentatie moeten worden bepaald en ingevoerd.
  7. Het primaire proces moet voorzien in producten en diensten rekening houdend met de voorgaande onderwerpen uit de risico analyse.
  8. Meting en monitoring, o.a. via het meten van informatiebeveiligingsdoelen en KPI (Kritische Prestatie Indicatoren), incidenten, meten van informatiebeveiligingsprocessen, uitvoeren van interne audits
  9. Evaluaties, zoals de directiebeoordeling, effectiviteit van maatregelen uit de appendix/risicobeoordeling en geleverde informatiebeveiligingsprestaties.
  10. Leren van fouten, klachten, afwijkingen en treffen van corrigerende maatregelen.
  11. Realiseren van verbeteringen.
Hoe ziet het externe audit voor een ISO 27001-certificering eruit?

De certificering voor ISO 27001 ziet er als volgt uit: 

  1. Nadat er een contract met een certificerende instantie (CI) is getekend plant de CI 2 auditmomenten in voor de fase 1 (documenten) en fase 2 (implementatie) beoordeling.
  2. Je ontvangt van de certificerende instantie een auditplanning voor fase 1 en fase 2. Dit bestaat uit een bevestiging van de datum en een voorstel voor het auditprogramma. 
  3. Tijdens het fase 1 bezoek wordt beoordeeld of het ISMS klaar is voor de audit. Als dit positief wordt afgesloten kan het fase 2 bezoek plaatsvinden.
  4. Tijdens het fase 2 bezoek wordt de toepassing van het ISMS en de beveiligingsmaatregelen beoordeeld door middel van interviews en een rondgang over de locatie. Hierbij wordt aandacht gegeven aan de organisatie van de informatiebeveiliging, de menselijke factor, technische maatregelen en fysieke beveiliging. Aan het eind van deze audit krijg je het oordeel van de auditor.
  5. Je ontvangt binnen circa een week het auditrapport met het oordeel en eventuele acties.
  6. Het rapport van de auditor wordt door de certificerende instantie beoordeeld en binnen enkele weken ontvang je het officiële certificaat dat 3 jaar geldig is.
  7. Na de eerste certificering vinden er jaarlijks geplande herbeoordelingen plaats en worden projecten bezocht.
Voor welke bedrijven is ISO 27001?

ISO 27001 is geschikt voor iedere organisatie die informatiebeveiliging systematisch wil borgen in relatie tot de eisen van hun klanten en stakeholders, wetgeving en risico’s.

Organisaties die ISO 27001 toepassen zijn onder andere organisaties die informatie verwerken die onder de Algemene Verordening Gegevensbescherming vallen, zoals datacenters, web-/softwaredevelopers, serviceproviders en verzekeraars. Maar ook financiële instellingen, energiemaatschappijen, installatiebedrijven en andere organisaties met persoonsinformatie krijgen te maken met ISO 27001.

Voor zorgorganisaties is in Nederland NEN 7510 gepubliceerd. Dit is een variant op ISO 27001 met zorgspecifieke eisen. Voor Nederlandse overheden is de BIO ontwikkeld, ook dat is een variant op ISO 27001. Ook andere branche normen hebben vaak een link of een overlap met ISO 27001. 

Wat zijn de voordelen van ISO 27001?

Informatiebeveiliging en cybersecurity worden steeds belangrijker. ISO 27001 biedt een framwork om hier systematisch mee om te gaan. Dit heeft als voordeel dat je tot een goed doordachte aanpak van informatiebeveiligingsrisico's komt én dat je dit op een internationaal erkende manier kunt laten certificeren.

Het gebruik van ISO 27001 is ook een goede basis om te voldoen aan NIS2, AVG (GDPR), NEN 7510 en SOC1/2. Veel maatregelen uit ISO 27001 worden ook als eis in verwerkingsovereenkomsten genoemd. Tenslotte is ISO 27001 een van de meest voorkomende nieuwe eisen bij opdrachtgevers en in aanbestedingen. 

Alles wat je moet weten over certificering


We kennen inmiddels duizenden normen die je kunt laten certificeren. Normen voor producten, processen, organisaties en zelfs voor personen. Vaak heeft een certificering betrekking op een bepaald onderwerp. Bijvoorbeeld de manier waarop er met kwaliteit wordt omgegaan, maar ook voor thema's zoals milieu en duurzaamheid, informatiebeveiliging en veiligheid op de werkvloer bestaan normen en certificeringen. Wil je meer over het certificeringsproces leren? Download onze whitepaper. 

QVOX Whitepaper: Certificering