Waarom een stappenplan voor ISO 27001?
ISO 27001-implementatie kan overweldigend lijken, vooral voor MKB-organisaties zonder dedicated informatiebeveiligingsteam. De standaard bevat 93 controls en tientallen documentatie-eisen. Een gestructureerd stappenplan maakt het traject overzichtelijk en voorspelbaar. Dit plan is gebaseerd op onze ervaring met tientallen succesvolle certificeringstrajecten bij organisaties van 20 tot 500 medewerkers.
Stap 1: Managementcommitment verkrijgen (Week 1–2)
Zonder actieve steun van het management mislukt ieder ISO 27001-traject. Het management moet de scope goedkeuren, budget toewijzen, een projectleider aanstellen en bereid zijn om deel te nemen aan de managementreview. Stel een businesscase op die de voordelen kwantificeert: klanteisen, juridische compliance (NIS2), risicoreductie en concurrentievoordeel.
Stap 2: Nulmeting en Gap-analyse uitvoeren (Week 2–6)
De gap-analyse brengt de huidige situatie in kaart ten opzichte van ISO 27001:2022. Voor elk van de 93 controls wordt vastgesteld of deze geïmplementeerd, gedeeltelijk geïmplementeerd of afwezig is. Het resultaat is een prioriteitenlijst en een realistische planning. Een ervaren Lead Auditor kan hierbij aangeven welke gaps kritiek zijn voor de certificeringsaudit.
Stap 3: Scope en toepasselijkheidsverklaring (Week 4–6)
Definieer de scope van het ISMS: welke locaties, afdelingen, systemen en processen vallen eronder? Een veelgemaakte fout is de scope te breed te nemen, waardoor het traject onnodig complex en kostbaar wordt. Stel vervolgens de Statement of Applicability (SoA) op: welke van de 93 controls zijn relevant voor uw organisatie en waarom zijn eventueel niet-relevante controls uitgesloten?
Stap 4: Risicobeoordeling uitvoeren (Week 5–8)
De risicobeoordeling is het hart van ISO 27001. Identificeer informatieassets, bedreigingen en kwetsbaarheden. Beoordeel de waarschijnlijkheid en impact van elk risico. Stel een risicobehandelplan op dat aangeeft welke risico's worden gemitigeerd (en met welke controls), geaccepteerd, vermeden of overgedragen. Gebruik een GRC-platform om dit proces reproduceerbaar en auditeerbaar te maken.
Stap 5: Beleidsdocumentatie opstellen (Week 6–14)
ISO 27001 vereist een aantal verplichte documenten: informatiebeveiligingsbeleid, risicobeoordelingsprocedure, risicobehandelplan, SoA, en doelstellingen. Daarnaast zijn procedures nodig voor incidentbeheer, toegangsbeheer, wijzigingsbeheer, back-up, en andere operationele processen. Focus op praktische, werkbare documenten — niet op papieren tijgers die niemand leest.
Stap 6: Technische maatregelen implementeren (Week 8–20)
Op basis van de gap-analyse en risicobeoordeling worden technische maatregelen geïmplementeerd of verbeterd. Denk aan multifactorauthenticatie, encryptie van data in rust en transit, centraal logbeheer, vulnerability scanning, en netwerksegmentatie. Prioriteer op basis van risico, niet op basis van technische complexiteit.
Stap 7: Bewustwording en training (Week 10–22)
Alle medewerkers moeten worden getraind in informatiebeveiligingsbewustzijn. Dit omvat het herkennen van phishing, veilig omgaan met wachtwoorden, meldprocedures voor incidenten, en het belang van het informatiebeveiligingsbeleid. Documenteer de training en houd deelnameregistraties bij — de auditor zal hiernaar vragen.
Stap 8: Interne audit (Week 20–24)
Voordat de externe auditor komt, voert u een interne audit uit. De interne auditor (intern of extern ingehuurd, maar onafhankelijk van de implementatie) beoordeelt of het ISMS conform ISO 27001 functioneert. Bevindingen worden gedocumenteerd en waar nodig worden corrigerende maatregelen getroffen. Dit is uw kans om problemen te ontdekken en op te lossen vóór de externe audit.
Stap 9: Managementreview (Week 22–24)
Het management voert een formele review uit van het ISMS. Onderwerpen zijn de resultaten van de interne audit, de status van risico's en maatregelen, incidenten en trends, en verbeterdoelstellingen. De managementreview wordt gedocumenteerd in notulen die de externe auditor zal opvragen.
Stap 10: Externe certificeringsaudit (Week 24–30)
De externe audit bestaat uit twee stages. Stage 1 is een documentatiereview waarbij de auditor de volledigheid en logica van uw ISMS beoordeelt. Stage 2 is de implementatieaudit waarbij de auditor ter plaatse verifieert of maatregelen daadwerkelijk worden toegepast. Bij een positief oordeel ontvangt u het ISO 27001-certificaat, geldig voor drie jaar met jaarlijkse surveillanceaudits.
Veelgemaakte fouten om te vermijden
De vijf meest voorkomende fouten zijn een te brede scope, te veel focus op documentatie zonder daadwerkelijke implementatie, het onderschatten van de interne ureninvestering, het overslaan van de managementreview, en het te laat inschakelen van de certificerende instelling. Begin minimaal acht weken voor de gewenste auditdatum met het plannen van de externe audit.
Hoe helpt iso2700x.nl?
Onze consultants begeleiden u door alle tien stappen, van managementcommitment tot certificaat. Met ons GRC-platform versnellen we de documentatiefase en maken we het ISMS beheersbaar op de lange termijn. Neem contact op voor een gratis adviesgesprek.