Skip to Content
ISO 27001Het ISMS uitgelegd

Het ISMS: het hart van ISO 27001

ISMS staat voor Information Security Management System, in het Nederlands: managementsysteem voor informatiebeveiliging. Het is de kern van ISO 27001 . Geen softwarepakket of checklist, maar een systematische aanpak om informatiebeveiliging te organiseren. De norm is verkrijgbaar via NEN  en volgt de High Level Structure  van alle ISO-managementsystemen. Wil je eerst weten waar je staat? Begin met een nulmeting en gap-analyse.

Wat is een ISMS bij ISO 27001?

Een ISMS is geen softwarepakket dat je installeert. Het is geen map met documenten die je in een la legt. Het is een systematische aanpak om informatiebeveiliging te organiseren, te bewaken en te verbeteren.

Denk aan een ISMS als het besturingssysteem voor je informatiebeveiliging. Het bepaalt:

  • Welke informatie je moet beschermen
  • Welke risico’s er zijn
  • Welke maatregelen je neemt
  • Wie waarvoor verantwoordelijk is
  • Hoe je controleert of het werkt
  • Hoe je continu verbetert

Een ISMS is geen project met een begin en een eind. Het is een doorlopend proces dat meebeweegt met je organisatie. Zolang je informatie verwerkt, heb je een ISMS nodig.

Hoe ziet een ISMS eruit bij een IT-bedrijf van 15 mensen?

Abstract klinkt een ISMS als veel papier. Maar concreet is het overzichtelijk. Bij een softwarebedrijf met 15 medewerkers bestaat een werkend ISMS bijvoorbeeld uit deze onderdelen:

OnderdeelHoe het er concreet uitziet
InformatiebeveiligingsbeleidEén pagina in de bedrijfswiki met de uitgangspunten
RisicoregisterSpreadsheet met top 15 risico’s, eigenaar en maatregel
Statement of ApplicabilityLijst van de 93 Annex A maatregelen met keuze per maatregel
ToegangsbeheerWachtwoordmanager, MFA en een onboarding/offboarding-checklist
IncidentregisterTickets in het bestaande supportsysteem, met een vaste meldroute

Niemand is fulltime met security bezig. De CTO is ISMS-eigenaar en besteedt er een paar uur per week aan. De rest is verweven in bestaande processen.

Waarom een managementsysteem voor informatiebeveiliging (ISO 27001)?

Je kunt ook zonder systeem aan beveiliging doen: een firewall hier, een wachtwoordbeleid daar, af en toe een security-training. Maar dat leidt tot:

  • Gaten: Je mist risico’s omdat niemand het totaalplaatje ziet
  • Inconsistentie: De ene afdeling is streng, de andere laks
  • Ad-hoc reacties: Je blust brandjes in plaats van te voorkomen
  • Geen verbetering: Zonder meting weet je niet of het beter wordt

Een ISMS brengt structuur. Het dwingt je om systematisch naar risico’s te kijken, maatregelen te plannen, uit te voeren, te controleren en te verbeteren. Dit is de bekende Plan-Do-Check-Act (PDCA) cyclus die centraal staat in alle ISO-managementsystemen.

De PDCA-cyclus in ISO 27001

Het ISMS draait om continue verbetering via vier fasen:

Plan

In de planfase bepaal je wat je gaat doen:

Do

In de uitvoeringsfase implementeer je wat je hebt gepland:

  • Maatregelen implementeren
  • Procedures uitrollen
  • Mensen trainen
  • Systemen configureren
  • Documentatie opstellen

Check

In de controlefase verifieer je of het werkt:

Act

In de verbeterfase pak je tekortkomingen aan:

  • Afwijkingen corrigeren
  • Oorzaken analyseren
  • Verbeteringen doorvoeren
  • Lessen leren en borgen

Dan begint de cyclus opnieuw. Dit is geen eenmalige exercitie maar een doorlopend proces.

De componenten van een ISO 27001 ISMS

Een werkend ISMS bestaat uit verschillende onderdelen die samen een geheel vormen.

1. Beleid en procedures

Je hebt documentatie nodig die beschrijft hoe je informatiebeveiliging aanpakt:

  • Informatiebeveiligingsbeleid: De overkoepelende visie en uitgangspunten
  • Procedures: Hoe je specifieke processen uitvoert (incidentafhandeling, toegangsbeheer, etc.)
  • Werkinstructies: Gedetailleerde stappen voor specifieke taken

Dit hoeft geen dik handboek te zijn. Houd het praktisch. Een wiki of SharePoint met actuele informatie werkt vaak beter dan PDF’s die niemand leest.

2. Risicoregister

Het risicoregister is het hart van je ISMS. Het bevat:

  • Geïdentificeerde risico’s
  • Beoordeling van kans en impact
  • Gekozen behandeling (mitigeren, accepteren, overdragen, vermijden)
  • Verantwoordelijke per risico
  • Status van maatregelen

Lees meer over risicobeoordeling op de risicoanalyse-pagina.

3. Statement of Applicability (SoA)

Het Statement of Applicability, ook wel Verklaring van Toepasselijkheid (VvT), documenteert voor elke Annex A maatregel of je deze toepast en waarom. Het is verplicht en uniek voor ISO 27001.

4. Registraties

Registraties zijn het bewijs dat je systeem werkt:

  • Incidentregistraties
  • Auditverslagen
  • Notulen van directiebeoordeling
  • Trainingsregistraties
  • Resultaten van risicobeoordelingen

De auditor wil bewijs zien. Zonder registraties kun je niet aantonen dat je doet wat je zegt te doen.

5. Verbeterregistratie

Je moet bijhouden welke afwijkingen je hebt gevonden, welke corrigerende maatregelen je hebt genomen, en of die effectief waren. Dit toont continue verbetering aan.

Een ISO 27001 ISMS opzetten: praktische stappen

Een ISMS bouw je stap voor stap op. De tabel geeft de hoofdlijn; het volledige traject met fasen, tips en valkuilen staat in het stappenplan.

StapWat je doet
1. Scope bepalenBegin niet te breed; documenteer wat onder het ISMS valt
2. ManagementcommitmentMaak de directie eigenaar, niet alleen sponsor
3. Nulmeting en gap-analyseBreng in kaart wat je al hebt en wat mist
4. RisicobeoordelingHet fundament: bepaal je risico’s voordat je maatregelen kiest
5. SoA opstellenLoop alle 93 Annex A maatregelen langs
6. Maatregelen implementerenPrioriteer op risico, begin met quick wins
7. Mensen trainenAwareness die relevant en herhalend is
8. Systeem draaienMinimaal 3 maanden operationeel voor bewijs
9. Interne auditLaat een onafhankelijk persoon je ISMS toetsen
10. DirectiebeoordelingDe directie beoordeelt het ISMS formeel

Het ISO 27001 ISMS levend houden

Na certificering begint het echte werk. Een ISMS dat verstoft in een la is waardeloos. Zo houd je het levend:

Dagelijks

  • Incidenten registreren
  • Toegangsverzoeken verwerken
  • Wijzigingen beoordelen

Wekelijks/maandelijks

  • Security-overleg
  • Kwetsbaarheden reviewen
  • Awareness-activiteiten

Kwartaal/jaarlijks

  • Risicoregister updaten
  • Interne audits
  • Directiebeoordeling
  • Beleid reviewen

Bij veranderingen

  • Nieuwe systemen of processen? Update je ISMS
  • Reorganisatie? Herzie rollen en verantwoordelijkheden
  • Nieuw dreigingslandschap? Herbeoordeel risico’s

Praktische tip: Integreer ISMS-activiteiten in bestaande processen. Security-review bij change management, risico-check bij projecten, awareness bij onboarding. Zo wordt het onderdeel van de cultuur, niet een extra taak.

Veelvoorkomende fouten bij het ISO 27001 ISMS

Te veel documentatie

Organisaties denken soms dat meer papier beter is. Het tegendeel is waar. Een ISMS moet werkbaar zijn. Liever een dunne procedure die iedereen kent dan een dik handboek dat niemand leest.

Geen eigenaarschap

Als niemand zich verantwoordelijk voelt, gebeurt er niets. Wijs eigenaren aan voor risico’s, maatregelen en processen.

Eenmalige exercitie

Een ISMS opzetten voor de audit en daarna vergeten. Dan zak je bij de volgende surveillance-audit en heb je niets aan je certificaat.

Alleen IT

Informatiebeveiliging is niet alleen een IT-aangelegenheid. HR, facilitair, management, en eindgebruikers spelen allemaal een rol.

Kopiëren van templates

Een ISMS van internet plukken en je naam erop zetten werkt niet. De auditor prikt erdoorheen, en belangrijker: het past niet bij jouw organisatie.

Meer informatie

Annex A (93 maatregelen)Risicoanalyse