Een van de meest gestelde vragen bij ISO 27001-implementaties: “Welke documenten moet ik eigenlijk hebben?” Het antwoord verrast veel organisaties — zowel positief als negatief. Positief, omdat de lijst korter is dan gevreesd. Negatief, omdat de documenten die er wél op staan, echt aanwezig en actueel moeten zijn. Dit artikel geef je de volledige lijst van wat ISO 27001 verplicht documenteert, inclusief praktische toelichting.
Wat bedoelt ISO 27001 met “gedocumenteerde informatie”?
ISO 27001 gebruikt de term “gedocumenteerde informatie” voor alles wat je moet vastleggen en bewaren. Dit omvat zowel documenten (beleid, procedures, instructies) als records (bewijs dat iets is gebeurd, zoals auditverslagen en trainingsregistraties). Het onderscheid is relevant: beleid kun je aanpassen; een auditverslag is een historisch gegeven dat je niet mag wijzigen.
De norm schrijft nergens voor hoe documenten eruit moeten zien, in welk format ze moeten zijn of hoe ze moeten worden genaamd. Een beleidsdocument in Word is even geldig als een pagina in een wiki of een sectie in je ISMS-platform. Wat telt, is dat de informatie beschikbaar, leesbaar en beheerd is.
De verplichte documenten per normhoofdstuk
Hieronder vind je de volledige lijst van documenten die ISO 27001:2022 expliciet vereist, geordend per normhoofdstuk.
| Normreferentie | Verplicht document of record |
|---|---|
| 4.3 | Scope van het ISMS |
| 5.2 | Informatiebeveiligingsbeleid |
| 6.1.2 | Risicobeoordelingsproces (methodiek) |
| 6.1.2 | Resultaten van de risicobeoordeling |
| 6.1.3 | Risicobehandelingsplan |
| 6.1.3 | Statement of Applicability (SoA) |
| 6.2 | Informatiebeveiligingsdoelstellingen |
| 7.2 | Bewijs van competentie (trainingsregistraties) |
| 8.1 | Resultaten van operationele plannen en beheersing |
| 8.2 | Resultaten van de risicobeoordeling (actueel) |
| 8.3 | Resultaten van de risicobehandeling (actueel) |
| 9.1 | Bewijs van monitoring en meting |
| 9.2 | Auditprogramma en auditverslagen (interne audit) |
| 9.3 | Resultaten van de directiebeoordeling |
| 10.1 | Bewijs van niet-conformiteiten en correctieve maatregelen |
Dit zijn de documenten en records die de norm expliciet noemt. Ontbreekt een van deze elementen, dan is dat een non-conformiteit bij de audit.
Welke documenten zijn aanbevolen maar niet verplicht?
Naast de verplichte lijst zijn er documenten die de norm niet expliciet eist, maar die in de praktijk onmisbaar zijn voor een werkend ISMS. Auditors verwachten ze doorgaans te zien omdat ze de werking van de Bijlage A-controls aantonen.
Veelgebruikte aanvullende documenten:
- Toegangsbeheerbeleid (ondersteunt controls 5.15–5.18)
- Wachtwoordbeleid (control 5.17)
- Incidentresponsprocedure (controls 5.24–5.28)
- Back-up- en herstelprocedure (control 8.13)
- Leveranciersbeleid en leveranciersregister (controls 5.19–5.22)
- Bewustzijnsplan en trainingskalender (control 6.3)
- Assetregister (control 5.9)
- Acceptabele gebruiksprocedure (control 5.10)
- Fysieke beveiligingsprocedure (controls 7.1–7.14)
- Change managementprocedure (control 8.32)
Het is niet nodig al deze documenten als aparte bestanden te hebben. Een goed ISMS-beleid kan meerdere onderwerpen in één document behandelen. Houd het compact: liever vijftien coherente documenten die medewerkers daadwerkelijk kennen, dan vijftig documenten die niemand leest.
Tip: Begin je documentatieset met de verplichte lijst uit de tabel hierboven. Voeg pas aanvullende documenten toe wanneer je een Bijlage A-control heeft geselecteerd die documentatie vereist. Zo bouwt je de documentatie op basis van je risicoanalyse, niet op basis van wat er op internet circuleren als “ISO 27001 documentatiepakketten”.
Documentbeheer: wat de norm verwacht
ISO 27001 vereist ook dat je gedocumenteerde informatie beheert. Dat betekent:
Versiebeheer. Elk document heeft een versienummer en een datum. Verouderde versies worden gemarkeerd als vervallen en niet meer actief gebruikt.
Goedkeuring. Beleidsdocumenten worden goedgekeurd door een bevoegde persoon — doorgaans de directie voor het informatiebeveiligingsbeleid, en de verantwoordelijke proceseigenaar voor overige documenten.
Toegankelijkheid. Relevante medewerkers kunnen de documenten raadplegen wanneer ze die nodig hebben. Een beleidsdocument dat alleen op de server van de IT-manager staat, voldoet niet.
Bescherming. Gevoelige documenten (zoals de risicoanalyse of de Statement of Applicability) worden beschermd tegen onbevoegde toegang en ongewenste wijziging.
Bewaartermijn. Records worden bewaard voor een periode die aansluit bij wettelijke vereisten en de auditcyclus. Voor ISO 27001-records is een minimale bewaartermijn van drie jaar gangbaar.
Veelgemaakte documentatiefouten
Te veel documenten maken. Meer is niet beter. Een organisatie van 20 medewerkers met 80 beleidsdocumenten heeft geen werkend ISMS — ze heeft een documentarchief. Proportionaliteit is een kernprincipe van ISO 27001.
Documenten kopiëren zonder aanpassing. Template-documentatie van internet is een startpunt, geen eindpunt. Elk document moet aansluiten op je specifieke organisatie, scope en risico’s. Een auditor herkent generieke templates onmiddellijk.
Geen eigenaar toewijzen. Elk document heeft een eigenaar die verantwoordelijk is voor actualisering. Zonder eigenaar veroudert documentatie stilzwijgend.
Records niet bewaren. Beleid schrijven is niet hetzelfde als aantonen dat beleid wordt gevolgd. Zorg dat records van uitgevoerde activiteiten (audits, reviews, trainingen) structureel worden opgeslagen en bewaard.
FAQ
Is de Statement of Applicability het moeilijkste document om op te stellen? De SoA wordt vaak als complex ervaren, maar de structuur is eenvoudig: voor elk van de 93 controls in Bijlage A geef je aan of hij van toepassing is, waarom (of waarom niet), en welke implementatiestatus er is. De inhoudelijke uitdaging zit in de motivatie voor uitsluitingen — die moet consistent zijn met je risicoanalyse.
Moeten alle documenten in het Nederlands zijn? ISO 27001 schrijft geen taal voor. De documenten moeten begrijpelijk zijn voor de medewerkers die ze gebruiken. Voor een Nederlandse organisatie met Nederlandstalig personeel is Nederlands de logische keuze; in internationale omgevingen kan Engels gangbaar zijn. De externe auditor moet de documenten kunnen beoordelen — controleer vooraf of je auditor met je gekozen taal kan werken.
Goede documentatie is het fundament onder een controleerbaar ISMS. Wie weet wat verplicht is, wat aanbevolen is en hoe hij het beheert, heeft geen honderden pagina’s nodig — maar wel de juiste tientallen.
Klaar om te starten? Control One begeleidt je door het hele implementatieproces.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.