Een Information Security Management System (ISMS) klinkt als iets voor grote multinationals met een eigen IT-afdeling. De realiteit is anders: juist het MKB heeft baat bij een gestructureerd systeem dat informatierisico’s beheersbaar maakt. Dit artikel laat zien hoe je een ISMS opzet dat werkbaar is voor een organisatie van 10 tot 250 medewerkers, zonder te verdrinken in documentatie of consultancykosten.
Wat is een ISMS en waarom heb je het nodig?
Een ISMS is geen softwarepakket en ook geen eenmalig project. Het is een beheersysteem — een set van beleidsregels, processen, verantwoordelijkheden en controles waarmee je de beveiliging van informatie structureel bewaakt en verbetert. De basis is de ISO 27001-norm, die beschrijft wat zo’n systeem moet omvatten.
Waarom is dit relevant voor MKB? Klanten, banken en grote opdrachtgevers vragen steeds vaker om aantoonbare informatiebeveiliging. Een datalek kan een klein bedrijf letterlijk de kop kosten — zowel financieel als reputationeel. Een ISMS geef je grip op de risico’s voordat ze toeslaan.
| Zonder ISMS | Met ISMS |
|---|---|
| Beveiliging ad hoc geregeld | Structurele risicobeheersing |
| Geen duidelijke eigenaren | Toegewezen verantwoordelijkheden |
| Incidenten worden reactief afgehandeld | Proactieve detectie en procedure |
| Moeilijk aantoonbaar richting klanten | Certificaat of auditrapport beschikbaar |
| Elke medewerker werkt anders | Gedocumenteerde werkwijzen |
De vijf bouwstenen van een werkbaar ISMS
Een ISMS bestaat uit meer dan documenten. Het bestaat uit vijf samenhangende bouwstenen die je stap voor stap neerzet.
1. Scope bepalen Begin niet met alles. Bepaal welke systemen, locaties en processen binnen het ISMS vallen. Voor een klein bedrijf kan dat de volledige organisatie zijn; voor een groter MKB is een afgebakende businessunit verstandiger om mee te starten.
2. Risicoanalyse uitvoeren Breng in kaart welke informatie je verwerkt, welke dreigingen er bestaan en hoe groot de kans en impact zijn. Dit hoeft geen ingewikkelde spreadsheet te zijn — een gestructureerde risicoregister met tien tot twintig relevante risico’s volstaat voor de meeste mkb-organisaties.
3. Beheersmaatregelen kiezen ISO 27001 biedt in Bijlage A een lijst van 93 mogelijke beheersmaatregelen. Je hoeft ze niet allemaal te implementeren. Je kiest die maatregelen die passen bij je risico’s en documenteert waarom je andere weglaat (de zogenoemde Statement of Applicability).
4. Beleid en procedures schrijven Documenteer de afspraken: wie heeft toegang tot welke systemen, hoe ga je om met een beveiligingsincident, hoe worden leveranciers beoordeeld? Houd documenten beknopt en praktisch — een beleidsdocument van twee pagina’s dat medewerkers lezen, is waardevoller dan een handboek van vijftig pagina’s dat in een la verdwijnt.
5. Beheer en verbetering Een ISMS is geen foto, maar een film. Plan interne audits, voer directiebeoordelingen uit en registreer verbeteracties. Dit is de Plan-Do-Check-Act-cyclus (PDCA) die het systeem levend houdt.
Veelgemaakte fouten bij ISMS-implementatie
Veel MKB-bedrijven lopen tegen dezelfde valkuilen aan. Door ze te kennen, voorkomt je kostbare omwegen.
Te breed beginnen. Organisaties proberen in één keer alles te regelen en raken overweldigd. Start met een beperkte scope en breid daarna uit.
Documentatie als doel zien. ISO 27001 vereist gedocumenteerde informatie, maar de auditor beoordeelt of je systeem werkt — niet of je map met beleidsstukken dik genoeg is.
De directie buiten de deur houden. ISO 27001 vereist expliciet leiderschap en commitment van het topmanagement. Zonder draagvlak op directieniveau verzandt elke implementatie.
Alles zelf willen doen. Een ISMS-platform met ingebouwde templates, risicoanalyse en auditbegeleiding bespaart gemiddeld 60 tot 70 procent van de implementatietijd vergeleken met een handmatige aanpak.
Tip: Gebruik de ISO 27001-norm zelf als checklist. Elk hoofdstuk (4 t/m 10) beschrijft wat je ISMS moet omvatten. Loop ze één voor één door en stel per hoofdstuk vast wat je al heeft en wat er nog ontbreekt.
Tijdlijn en inspanning voor MKB
Een realistische tijdlijn voor een MKB-implementatie ziet er als volgt uit:
| Fase | Duur | Inspanning |
|---|---|---|
| Scope en context bepalen | 1–2 weken | 4–8 uur |
| Risicoanalyse uitvoeren | 2–4 weken | 8–20 uur |
| Maatregelen kiezen en documenteren | 4–8 weken | 20–40 uur |
| Training en bewustwording | Doorlopend | 2 uur per maand |
| Interne audit | 1 keer per jaar | 8–16 uur |
| Externe audit (certificering) | 2 dagen | Planning + voorbereiding |
De totale doorlooptijd van nul tot certificaat ligt voor een MKB-organisatie gemiddeld tussen de vier en twaalf maanden, afhankelijk van de complexiteit en de beschikbare capaciteit.
Hulpmiddelen die het verschil maken
Je hoeft het ISMS-traject niet alleen te doorlopen. Er zijn drie typen hulpmiddelen die de implementatie aanzienlijk versnellen:
ISMS-platforms (zoals Control One) bieden een gestructureerde omgeving met risicoregisters, documenttemplates, taakbeheer en voortgangsrapportages. Ze maken zichtbaar wat er nog ontbreekt vóór de externe audit.
Gap-analyses helpen je te bepalen waar je staat ten opzichte van de norm. Een goede gap-analyse aan het begin van het traject bespaart je verrassingen aan het einde.
Gecertificeerde auditors voeren de externe certificeringsaudit uit. Kies een accreditatiebody die ISO 17021 gecertificeerd is — in Nederland zijn dat onder andere DNV, Bureau Veritas, Lloyd’s Register en BSI.
Veelgestelde vragen
Moet ik alle 93 maatregelen uit Bijlage A implementeren? Nee. Je bent verplicht te documenteren welke maatregelen van toepassing zijn en welke je weglaat en waarom. Dit heet de Statement of Applicability (SoA). Maatregelen die niet relevant zijn voor je organisatie, kun je uitsluiten mits je de uitsluiting motiveert.
Hoe lang mag mijn ISMS-implementatie duren? Er is geen wettelijk minimum, maar je hebt wel minimaal drie maanden aantoonbare werking van je systeem nodig voordat een externe auditor een certificaat kan afgeven. Plan dus minimaal vier tot vijf maanden vóór de gewenste certificeringsdatum.
Heeft een MKB-bedrijf een aparte CISO nodig? Niet per se. ISO 27001 vereist dat iemand verantwoordelijk is voor informatiebeveiliging, maar dat kan de directeur, een IT-medewerker of een externe adviseur zijn. Wat telt, is dat de rol belegd is en dat die persoon de bevoegdheid en middelen heeft om het systeem te beheren.
Klaar om te starten? Control One begeleidt je door het volledige implementatieproces.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.