Wat is ISO 27001?
ISO 27001 is de internationale norm voor informatiebeveiliging. De norm beschrijft hoe je een managementsysteem voor informatiebeveiliging (ISMS) opzet, met 93 beheersmaatregelen uit Annex A als gereedschapskist. Het certificaat is drie jaar geldig, met jaarlijks een controle-audit. ISO 27001 is ontwikkeld door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC), vandaar de volledige naam ISO/IEC 27001.
Waar ISO 9001 draait om kwaliteitsmanagement, richt ISO 27001 zich op het beschermen van informatie tegen bedreigingen. Denk aan hackers, medewerkers die per ongeluk gevoelige data delen, of systemen die uitvallen. De norm biedt een raamwerk om die risico’s te identificeren en te beheersen. De huidige versie is ISO/IEC 27001:2022 , in Nederland verkrijgbaar via NEN .
| Kenmerk | Detail |
|---|---|
| Volledige naam | ISO/IEC 27001:2022 |
| Uitgever | ISO/IEC, in Nederland via NEN |
| Aantal maatregelen | 93 (in 4 categorieën, Annex A) |
| Geldigheid certificaat | 3 jaar, met jaarlijkse controle-audit |
| Verplicht? | Niet wettelijk, vaak contractueel of via NIS2 |
Waarom ISO 27001 steeds belangrijker wordt
Datalekken halen dagelijks het nieuws en cyberaanvallen worden steeds geraffineerder. Organisaties slaan meer informatie op dan ooit, verspreid over systemen, cloudplatformen en apparaten. Die informatie is waardevol, ook voor kwaadwillenden.
Volgens het Cybersecuritybeeld Nederland van het NCSC nemen cyberdreigingen in frequentie en impact toe. Ransomware-aanvallen treffen regelmatig Nederlandse bedrijven. De gemiddelde kosten van een datalek lopen volgens IBM’s Cost of a Data Breach Report wereldwijd in de miljoenen euro’s.
Het gaat niet alleen om cyberaanvallen. Informatiebeveiliging omvat ook menselijke fouten, zoals een e-mail met klantgegevens naar de verkeerde ontvanger. Of fysieke bedreigingen, zoals brand in een serverruimte. ISO 27001 dwingt je om naar al deze scenario’s te kijken en maatregelen te treffen.
De kern van ISO 27001: het ISMS
Centraal in ISO 27001 staat het Information Security Management System, afgekort tot ISMS. Dit is geen softwarepakket dat je installeert, maar een systematische aanpak om informatiebeveiliging te organiseren. Het ISMS beschrijft hoe je risico’s identificeert, welke maatregelen je treft, hoe je controleert of die maatregelen werken, en hoe je continu verbetert.
Een goed ISMS is geen statisch document dat in een la verdwijnt. Het is een levend systeem dat meebeweegt met je organisatie. Wanneer je een nieuwe dienst lanceert, een overname doet, of overstapt naar een nieuwe cloudleverancier, moet je ISMS die veranderingen reflecteren.
De British Standards Institution (BSI) , een van de grootste certificerende instanties ter wereld, omschrijft het ISMS als “het hart van ISO 27001”. Alle andere elementen van de norm, van risicobeoordeling tot interne audits, draaien om dit centrale systeem.
De drie pijlers van ISO 27001
ISO 27001 beschermt informatie langs drie dimensies, bekend als de CIA-driehoek: Confidentiality, Integrity en Availability. In het Nederlands: vertrouwelijkheid, integriteit en beschikbaarheid.
- Vertrouwelijkheid: informatie is alleen toegankelijk voor wie daartoe bevoegd is. Salarisgegevens zien alleen HR en de medewerker zelf.
- Integriteit: informatie blijft juist en volledig. Een door een hacker aangepaste factuur tast de integriteit aan.
- Beschikbaarheid: informatie is er wanneer je die nodig hebt. Een e-mailsysteem dat dagenlang plat ligt is een beschikbaarheidsprobleem.
Een effectief ISMS houdt rekening met alle drie. Soms staan ze op gespannen voet: extreme beveiliging beperkt de beschikbaarheid. De juiste balans vinden is de kern.
Is ISO 27001 verplicht?
Er bestaat geen Nederlandse wet die ISO 27001 certificering verplicht stelt. Toch is er groeiende druk om het te hebben, en in veel situaties is het de facto verplicht. De Algemene Verordening Gegevensbescherming (AVG) verplicht “passende technische en organisatorische maatregelen”. ISO 27001 wordt door de Autoriteit Persoonsgegevens gezien als bewijs dat je informatiebeveiliging serieus neemt.
Per branche gelden aanvullende eisen of normen. De tabel laat zien waar ISO 27001 vaak om de hoek komt kijken.
| Branche / situatie | Wat er speelt |
|---|---|
| Zorg | NEN 7510, gebaseerd op ISO 27001 met extra zorgeisen |
| Financieel | Toezicht van DNB op informatiebeveiliging |
| Vitale en digitale sectoren | NIS2 / Cyberbeveiligingswet (Cbw) |
| Aanbestedingen en enterprise-klanten | ISO 27001 vaak als contractvoorwaarde |
In de zorg speelt de NEN 7510 een vergelijkbare rol: een Nederlandse norm, gebaseerd op ISO 27001, met aanvullende zorgeisen. Voor vitale en digitale sectoren is sinds 2024 de NIS2-richtlijn bepalend, in Nederland uitgewerkt in de Cyberbeveiligingswet.
Wat kost ISO 27001 certificering?
De kosten variëren sterk met grootte en complexiteit. Een klein IT-bedrijf betaalt veel minder dan een multinational. De grootste posten zijn de voorbereiding (vaak met adviseur) en de certificeringsaudit door een geaccrediteerde instantie zoals Kiwa , BSI of DNV .
| Bedrijfsgrootte | Indicatie totale kosten eerste jaar |
|---|---|
| Klein (1-25 medewerkers) | €11.000 - €30.000 |
| Middelgroot (25-100 medewerkers) | €32.000 - €85.000 |
| Groot (100+ medewerkers) | €85.000 - €275.000+ |
Na certificering reken je op jaarlijkse kosten voor surveillance audits en onderhoud. Lees de volledige opbouw op kosten en tijdlijn. Ben je een mkb’er? Bekijk dan ISO 27001 voor een klein bedrijf.
Hoelang duurt het om gecertificeerd te raken?
Een realistisch traject duurt zes tot twaalf maanden, afhankelijk van grootte en startpositie. Je begint met een nulmeting en gap-analyse, bouwt je ISMS op, en draait het systeem een tijd voordat de auditor langskomt. Een veelgemaakte fout is de benodigde tijd onderschatten: ISO 27001 doe je niet “erbij”. Het hele traject staat in het stappenplan.
Het verschil tussen ISO 27001 en ISO 27002
Op ISO 27001 kun je gecertificeerd worden. De norm beschrijft de eisen voor een ISMS en bevat in Annex A de beheersmaatregelen. ISO 27002 is een aanvullende richtlijn die uitlegt hoe je die maatregelen praktisch inricht. Op ISO 27002 kun je niet certificeren. Lees de volledige vergelijking.
De relatie met andere normen
ISO 27001 volgt de High Level Structure (HLS) , net als ISO 9001 (kwaliteit) en ISO 14001 (milieu). Daardoor combineer je normen eenvoudig in één geïntegreerd managementsysteem. Ben je al ISO 9001 gecertificeerd, dan hergebruik je directiebeoordeling, interne audit en documentbeheer.
Werk je voor de Amerikaanse markt of lever je een SaaS-dienst? Dan kom je vaak SOC 2 tegen als alternatief. Voor bedrijfscontinuïteit sluit ISO 22301 aan, en voor AI-systemen ISO 42001. Een breder overzicht staat op vergelijking met andere normen.
Voor wie is ISO 27001 relevant?
ISO 27001 is vooral relevant voor organisaties die met gevoelige informatie werken of die dat moeten aantonen aan klanten.
- IT-dienstverleners en softwarebedrijven die data of systemen van klanten beheren
- Organisaties met gevoelige gegevens, zoals financiële instellingen, zorg, advocaten en accountants
- Leveranciers in ketens waar grote klanten security-eisen stellen
- Startups en scale-ups die enterprise-klanten of aanbestedingen willen winnen
De voordelen zijn concreet: minder risico op incidenten, meer vertrouwen van klanten, structuur in je beveiliging, en een sterke basis voor compliance met de AVG en NIS2. ISO 27001 helpt ook bij de AVG-verantwoordingsplicht; lees meer op de pagina AVG en ISO 27001.
Volgende stappen
Bronnen
- ISO/IEC 27001:2022 – Information security management systems – International Organization for Standardization
- NEN-EN-ISO/IEC 27001 – Nederlands Normalisatie-instituut
- NCSC - Nationaal Cyber Security Centrum – Rijksoverheid
- Autoriteit Persoonsgegevens – Toezichthouder persoonsgegevens