top of page

IT-beheersing

ISO 27001

ISO 27001 in de praktijk: van vinklijst naar waardecreatie

Informatiebeveiliging is allang geen uitsluitend IT-feestje meer. Bestuurders worden aangesproken op datalekken, klanten eisen zekerheid in de keten en toezichthouders letten scherper dan ooit op besturing en continuïteit. ISO 27001 helpt die druk om te zetten in grip. Niet met nog een stapel documenten, maar met een werkend managementsysteem dat past bij de organisatie, de risico’s en de ambities. In deze blog nemen we je mee langs de essentie van ISO 27001, de vernieuwingen uit de 2022-revisie en vooral, hoe je het verschil maakt in de dagelijkse praktijk van audit, risk en control.

 

Wat ISO 27001 wel is (en wat niet)

De kern van ISO 27001 is eenvoudig en herkenbaar: bepaal wat je wilt beschermen, beoordeel je risico’s, kies passende beheersmaatregelen en verbeter continu. De norm is opgebouwd rond de Plan–Do–Check–Act-cyclus en stelt eisen aan context, leiderschap, planning, ondersteuning, uitvoering, prestatiemeting, interne audit, managementreview en verbetering. In de ISO-standaard staat een set informatiebeveiligingsmaatregelen waaruit je onderbouwd selecteert. Het gaat dus niet om het afvinken van elk punt dat je tegenkomt, maar om het maken van keuzes die passen bij je eigen risico’s. Dat is meteen de belangrijkste misvatting die veel organisaties hebben: ISO 27001 is risicogedreven, niet controlegedreven. De Statement of Applicability (SoA) is daarom geen bijlage achterin, maar het dagelijkse stuurdocument waarin je vastlegt welke maatregelen je wel en niet toepast, met redenen onderbouwd en met vastgelegd eigenaarschap.

Die risicogedreven aanpak vraagt om discipline en om realisme. Het heeft geen toegevoegde waarde om elk denkbaar risico met ingewikkelde formules te kwantificeren als het management vooral behoefte heeft aan duidelijke scenario’s, heldere drempelwaarden en beslispunten. De kracht van ISO 27001 zit juist in het verbinden van beleid, processen en gedrag. Pas als teams weten wie waarvoor verantwoordelijk is, hoe ze afwijkingen dienen te melden en wanneer ze moeten escaleren, ontstaat echte beheersing.

 

Wat is er veranderd in 2022?

De 2022-revisie heeft de structuur aangescherpt en de maatregelen geactualiseerd. In plaats van een losse lijst werk je nu met vier duidelijke domeinen: organisatorisch, mensgericht, fysiek en technologisch. Nieuwe maatregelen sluiten beter aan op moderne risico’s, zoals ontwikkelen met security-by-design, het gebruik van cloudservices en de paraatheid van ICT voor bedrijfscontinuïteit. Denk aan onderwerpen als threatintelligence, configuratiemanagement, informatie-verwijdering, data-masking, data-lekkagepreventie, monitoringactiviteiten, webfiltering, fysieke beveiligingsmonitoring en secure coding. De toevoeging van attributen, labels die aangeven met welk concept of welke eigenschap een maatregel samenhangt, maakt het eenvoudiger om de SoA logisch te ordenen en om KPI’s te koppelen aan wat je werkelijk belangrijk vindt.

De praktische uitkomst is dat de ISO-standaard beter aansluit op hoe organisaties vandaag werken: cloud-gebaseerd, in ketens en met agile teams. Tegelijkertijd ligt de lat hoger. Aantoonbaarheid telt. Je zult moeten laten zien dat maatregelen niet alleen bestaan op papier, maar dat ze ook effectief zijn in de praktijk.

 

De businesscase: waarom dit meer is dan certificeren

Organisaties investeren in ISO 27001 om meerdere redenen, en die zijn niet allemaal extern gedreven. Natuurlijk helpt het bij het aantonen van beheersing richting klanten, leveranciers en toezichthouders. Maar net zo belangrijk is de interne winst: minder dubbel werk, duidelijk eigenaarschap en besluitvorming op basis van feiten in plaats van aannames. Incidenten zullen nooit helemaal verdwijnen, maar een goed ingericht managementsysteem beperkt de impact en verkort de hersteltijd.

Wie ISO 27001 inzet als middel om prestaties te verbeteren, wint het meest. Dat vraagt om meer dan een project richting certificering; het vraagt om verankering in de organisatie en in de besturing. De norm wordt dan geen formaliteit, maar een taal om met elkaar te praten over risico’s, prioriteiten en keuzes.

 

Een route die werkt, zonder stapels lijstjes

Het begint met een scope die klopt. Te breed maakt het onwerkbaar, te smal maakt het zinloos. Koppel de scope daarom aan de waardeketen: welke processen, locaties, systemen en ketenpartners dragen direct bij aan de waarde die je levert? Zodra die afbakening staat, volgt een gesprek over context en belanghebbenden. Wat zijn de strategische doelen, wat is de risk appetite, welke wettelijke en contractuele eisen gelden? Het is opvallend hoeveel duidelijkheid ontstaat als je dit inzichtelijk maakt; veel discussies later in het traject verdwijnen dan vanzelf.

Daarna komt governance. Leg beleid, rollen en beslisprocessen vast, maar houd het licht en bruikbaar. Benoem wie beslist over risicoacceptatie, wie eigenaar is van specifieke maatregelen en hoe afwijkingen worden geregistreerd en opgevolgd. Kies vervolgens een risicomethodiek die past bij je organisatie. Je hoeft niet te vervallen in schijnnauwkeurigheid met mathematische modellen; scenario’s die het management herkent werken vaak beter. Een goede inventarisatie van informatie-assets, van applicaties tot integraties en uitbestede diensten, maakt de analyse concreet. Koppel elk asset aan een eigenaar en leg vast wat de vertrouwelijkheid, integriteit en beschikbaarheid betekenen in die context.

De SoA is hiervoor het geëigende document. Selecteer maatregelen op basis van risico’s en leg per maatregel de scope, de eigenaar, de manier van testen en de indicatoren vast. Daarmee wordt de SoA een werkdocument dat richting geeft aan prioriteiten en dat teams helpt om keuzes uit te leggen.

 

De implementatie volgt dan stukje bij beetje, ingeweven in de bestaande processen: wijzigingsbeheer, toegangsbeheer, back-ups, logging, incidentafhandeling, leveranciersmanagement en secure development. Training en bewustwording zijn geen losse campagnes, maar onderdeel van de manier van werken. Teams moeten weten wat ze doen, waarom ze het doen en wanneer ze hulp inschakelen.

Tot slot maak je de cirkel rond met meten, interne audits en managementreviews. Niet om achteraf vinger te wijzen, maar om continu te verbeteren. Kies een paar sturende indicatoren en bespreek die structureel. Laat data het gesprek leiden, leg besluiten vast en borg de opvolging.

 

De rol van Internal Audit: toetsen op effectiviteit

Internal Audit voegt de meeste waarde toe waar naleving overgaat in inzicht en leren. Het begint bij de vraag of de gekozen maatregelen logisch voortkomen uit de risico’s. Sluit een maatregel aan op het proces, of is het een generiek voorschrift dat vooral werk toevoegt? Vervolgens kijk je naar de werking in de praktijk. Wordt de maatregel consequent toegepast en is het gedrag geborgd? In veel gevallen helpt het om data centraal te zetten: denk aan doorlooptijden van patches, trends in mislukte aanmeldingen, resultaten van hersteltests of de doorlooptijd van kritieke kwetsbaarheden vanaf ontdekking tot fix. Zulke gegevens helpen om conclusies te onderbouwen en om verbeteracties scherp te formuleren.

Zachte factoren tellen ook. Hoe reageren teams op incidenten? Is er ruimte om fouten te melden zonder gezichtsverlies? Worden lessons learned zichtbaar toegepast in procedures en tools? Door aandacht te hebben voor cultuur en gedrag krijgt de auditbevinding meer diepte en is de kans op duurzame verbetering groter. Vergeet ten slotte de keten niet. Contractuele afspraken met leveranciers zijn belangrijk, maar ze zeggen weinig als je niet ook de feitelijke prestaties volgt. Vraag rapportages op, bespreek openstaande bevindingen en test waar nodig cruciale maatregelen zelf.

 

Meten wat ertoe doet en ernaar sturen

Meten heeft alleen zin als je ernaar stuurt. Veel organisaties verdrinken in dashboards, maar missen richting. Kies daarom enkele indicatoren die iets zeggen over snelheid, herstelvermogen en discipline. Doorlooptijden van patches per risicoklasse geven bijvoorbeeld inzicht in wendbaarheid. Herstelpercentages en hersteltijden bij back-ups vertellen of je klaar bent voor het moment dat het misgaat. Toegangsbeheer laat zich goed volgen via uitzonderingen op het least-privilege-principe en de snelheid waarmee accounts na uitdiensttreding worden beëindigd. In de keten kun je kijken naar het aandeel kritieke leveranciers met een actueel assurance-rapport en naar de veroudering van openstaande bevindingen. In DevOps-omgevingen zegt het percentage ‘builds’ dat wordt geblokt door kritieke kwetsbaarheden veel over de volwassenheid van secure development. Het gaat niet om veel meten, maar om gericht meten en consistent bespreken en waar nodig verbeteren.

 

Veelgemaakte fouten en hoe je ze voorkomt

De eerste valkuil is beginnen vanuit maatregelen in plaats van vanuit risico’s. Het levert een papieren werkelijkheid op, maar geen betere beveiliging. Start daarom bij de waardestromen en de scenario’s die je het meest pijn kunnen doen. Een tweede valkuil is het zien van het ISMS als documentenset. Zonder duidelijke koppeling naar processen en gedrag is het vooral window-dressing. Koppel elke maatregel aan een eigenaar, een moment in het proces en een manier van toetsen. Een derde misser is het beperken van de scope tot IT. Informatie zit overal: in processen, in mensen en in de keten. Betrek daarom ook afdelingen zoals HR, Legal, Inkoop en Operations en maak beveiliging organisatie breed. Een vierde probleem is een SoA die niet stuurt, bijvoorbeeld omdat hij alleen bestaat uit ja/nee-vinkjes. Voeg de reden van keuze, de scope, de testwijze en de KPI’s toe. Dan wordt het een volwaardig stuurdocument. Tot slot worden leveranciers vaak onderschat. Cloud en uitbesteding verplaatsen het risico niet; ze veranderen het. Leg eisen vast, toets de praktijk en plan een exit. Daarmee voorkom je verrassingen als de relatie verandert of eindigt.

 

ISO 27001 in een agile en cloud-realiteit

Agile en DevOps vragen om snelheid. Dat lijkt lastig te combineren met aantoonbare beheersing, maar in de praktijk versterken ze elkaar als je het goed inricht. Beveiligingsregels leg je vast als code. Baselines voor configuratie worden templates, waardoor afwijkingen automatisch aan het licht komen. De SoA koppel je aan pipelines en monitoring, zodat bewijsmateriaal ontstaat terwijl teams hun werk doen. In cloudomgevingen werkt het principe van gedeelde verantwoordelijkheid alleen als het expliciet is. Documenteer wat de provider doet en wat jij moet doen, en toets beide delen. Secure coding veranker je in de Definition of Done en je zet geautomatiseerde scans in om kwetsbaarheden vroeg te vinden. Infrastructure-as-Code behandel je net zo serieus als applicatiecode, inclusief reviews en scheiding van rollen. ISO 27001 schrijft niet voor hoe je dit precies doet, maar eist dat je kunt aantonen dat het werkt. Dat geeft ruimte om snelheid en beheersing te combineren.

 

Integratie met privacy en continuïteit

Veel organisaties combineren ISO 27001 met ISO 27701 en ISO 22301. Dat is logisch, want privacy en continuïteit raken direct aan informatiebeveiliging. Door beleid, rollen en KPI-structuren te koppelen, voorkom je dubbel werk en creëer je één besturingscyclus. Een datalek wordt dan niet alleen gezien als beveiligingsincident, maar ook als privacy-kwestie met meldplichten en als test voor je crisisorganisatie. Zo ontstaat samenhang die in audits zichtbaar waarde toevoegt.

 

Morgen beginnen zonder grote woorden

Als je morgen wilt beginnen, hoef je geen grote campagne te starten. Het helpt om vijf scenario’s te benoemen die je absoluut wilt voorkomen, bijvoorbeeld verlies van klantdata, langdurige uitval van een belangrijk systeem of misbruik van een admin-account. Leg vast waarom deze scenario’s belangrijk zijn, wie eigenaar is en welke maatregelen al bestaan. Werk je asset-inventaris bij voor de processen die hierop ingrijpen en wijs eigenaars toe. Pak de SoA erbij en breng hem op orde: beschrijf per maatregel de reden van toepassing, de scope, de eigenaar, de manier van toetsen en de indicatoren. Kies vervolgens een handvol stuurindicatoren en plan een vast overleg waarin je de trends bespreekt en besluiten vastlegt. Laat een interne audit uitvoeren op ontwerp en werking van enkele cruciale ketenprocessen, bijvoorbeeld klant-onboarding of change-management. Oefen ten minste één herstelscenario en vertaal de uitkomsten naar verbeteracties. Kijk tot slot naar de afspraken met leveranciers: staan beveiligingseisen, auditrechten en exit-criteria helder genoeg in de contracten en worden ze ook nageleefd?

 

Tot slot

ISO 27001 is geen certificaat om in de hal op te hangen. Het is een manier van werken waarin risico’s, maatregelen en gedrag elkaar versterken. Met een scherpe scope, een SoA die richting geeft en audits die de effectiviteit van maatregelen toetsen, groeit informatiebeveiliging uit tot wat het moet zijn: een enabler van je strategie. Wie vandaag begint met kleine, gerichte stappen, merkt snel dat gesprekken over beveiliging minder defensief worden en dat keuzes beter zijn onderbouwd. Dat is de echte winst: minder ruis, meer resultaat.

 

Wil je sparren over je ISO-aanpak, je SoA laten aanscherpen of een interne audit laten uitvoeren op je ISMS?

Neem contact met ons op

Meer weten? Neem dan contact met ons op. Wij helpen je graag verder!

©NFP-250028-378_edited.jpg
©NFP-250028-399_edited.jpg
Foto Guus achtergrond 2_edited_edited_ed
bottom of page