ISO 27001 is de internationale norm voor informatiebeveiliging. Een certificering laat klanten, toezichthouders en partners zien dat je informatiebeveiliging serieus en aantoonbaar op orde is. De norm oogt fors, maar met een heldere route is het goed behapbaar.
1. Bepaal je startpunt (nulmeting)
Voordat je iets inricht, wil je weten waar je staat. Een gap-analyse tegen ISO/IEC 27001:2022 en de Annex A-maatregelen maakt zichtbaar wat al op orde is en waar het werk zit. Dit voorkomt dat je energie steekt in dingen die er al zijn.
2. Baken de scope af
Wat valt er binnen je managementsysteem (ISMS)? Welke organisatieonderdelen, locaties, processen en systemen? Een te brede scope maakt het traject onnodig zwaar; een te smalle scope levert een certificaat op dat klanten niet overtuigt.
3. Voer een risicobeoordeling uit
ISO 27001 is risicogebaseerd. Inventariseer je informatie, dreigingen en kwetsbaarheden, waardeer de risico’s en bepaal hoe je ze behandelt. Dit is de motor onder het hele systeem, geen formaliteit.
4. Stel de Statement of Applicability (SoA) op
De SoA legt vast welke Annex A-maatregelen van toepassing zijn en waarom, of waarom niet. Het is een van de eerste documenten waar de auditor naar vraagt.
5. Richt beleid en maatregelen in
Vertaal de gekozen maatregelen naar werkbaar beleid en procedures. De valkuil: documenten schrijven die niemand leest. Zorg dat beleid aansluit op hoe je echt werkt.
6. Laat het systeem draaien
Een certificerende instelling wil bewijs zien dat het ISMS werkt. Dat betekent dat je het een periode laat lopen: incidenten registreren, de PDCA-cyclus doorlopen, en:
- een interne audit uitvoeren (verplicht onder clausule 9.2);
- een directiebeoordeling houden.
7. Pre-assessment en certificeringsaudit
Een pre-assessment (of stage 1-audit) brengt aan het licht of je klaar bent. Daarna volgt de stage 2-audit, waarna bij een positief oordeel het certificaat wordt verleend.
De grootste valkuil
Veel trajecten lopen vast omdat ze worden behandeld als een documentatieproject in plaats van een verbetertraject. Een certificaat dat los staat van de dagelijkse praktijk is bij de eerste hertoets zo weer weg. Bouw het systeem dus rond hoe je organisatie werkt, niet andersom.
Wil je begeleiding die verder gaat dan een stapel documenten? Bekijk onze dienst Implementatie ISO 27001 of plan een kennismaking.