Informatiebeveiliging is geen luxe meer — het is een voorwaarde om te ondernemen. Klanten eisen het, opdrachtgevers stellen het als eis, en de NIS2-richtlijn maakt het voor steeds meer bedrijven verplicht. ISO 27001 is daarin de internationale goudstandaard.
Maar laat je niet afschrikken door consultantfacturen van €25.000 of meer. In dit stappenplan leg je het fundament voor een gecertificeerd Information Security Management System (ISMS) — zonder de dure tussenpersoon.
Wat is ISO 27001?
ISO 27001 is de internationale norm voor informatiebeveiliging. De norm beschrijft hoe organisaties een managementsysteem opzetten dat:
- risico’s voor informatiebeveiliging structureel identificeert en aanpakt
- vertrouwelijkheid, integriteit en beschikbaarheid van informatie borgt
- aantoonbaar voldoet aan wettelijke en contractuele eisen
De norm bestaat uit twee delen: de eigenlijke eisen (clausules 4–10) en Annex A, een catalogus van 93 beveiligingsmaatregelen (controls) verdeeld over 4 thema’s.
Waarom ISO 27001 voor MKB?
Slechts een klein percentage van de Nederlandse organisaties is gecertificeerd voor ISO 27001. Toch groeit de druk vanuit de markt snel:
| Situatie | Hoe ISO 27001 helpt |
|---|---|
| Grote opdrachtgever eist certificering | Directe toegang tot nieuwe contracten |
| NIS2-verplichting | Aantoonbare compliance framework |
| Datalek of cyberincident | Schadebeperking door bewezen beleid |
| Aanbesteding / tender | Onderscheidend voordeel t.o.v. concurrenten |
| Cyberverzekeraar | Lagere premie bij gecertificeerd ISMS |
Voor MKB-bedrijven met 10 tot 250 medewerkers is ISO 27001 haalbaar in 5 tot 9 maanden — mits je gestructureerd te werk gaat.
De kosten van ISO 27001 implementatie
Een externe consultant rekent typisch €18.000 tot €25.000 voor jaar 1, exclusief certificeringskosten. Dat is voor veel MKB-bedrijven een drempel.
De werkelijke kostenfactoren zijn:
Externe consultant (variabel)
- Implementatiebegeleiding: €8.000–€15.000
- Documentatiepakketten: €2.000–€5.000
- Gap-analyse: €1.500–€3.000
Certificeringskosten (vast)
- Fase 1-audit (documentatietoets): €1.500–€2.500
- Fase 2-audit (implementatietoets): €3.000–€6.000
- Jaarlijkse surveillance-audits: €1.500–€3.000/jaar
Wat je zelf kunt doen Met de juiste software en een gestructureerde aanpak vervangt je het overgrote deel van het consultantwerk. Tools zoals Control One bieden begeleide workflows, documentatietemplates en risicobeheer voor een fractie van die kosten.
Het stappenplan: ISO 27001 implementeren in 8 stappen
Stap 1: Managementcommitment — de basis van alles
ISO 27001 slaagt of faalt bij het management. Clausule 5 van de norm eist aantoonbaar leiderschap: de directie moet het beleid vaststellen, resources toewijzen en het ISMS integreren in de bedrijfsstrategie.
Wat je concreet doet:
- Stel een Information Security Officer (ISO) aan (intern of gedeeld)
- Stel een informatiebeveiligingsbeleid op — ondertekend door de directie
- Definieer het budget en de tijdlijn
Tip: Koppel informatiebeveiliging aan bestaande bedrijfsdoelen. “Wij willen onze top-5 klanten behouden” is een sterkere motivatie dan “wij moeten compliant zijn.”
Stap 2: Bepaal de scope van je ISMS
De scope bepaalt welke onderdelen van je organisatie onder het ISMS vallen. Dit kan je hele bedrijf zijn, maar ook een specifieke afdeling, dienst of locatie.
Vragen om de scope te bepalen:
- Welke systemen verwerken gevoelige informatie?
- Welke processen raken klantdata?
- Welke locaties of cloudservices zijn relevant?
Leg de scope vast in een scopedocument. Een te brede scope maakt implementatie zwaar; een te smalle scope kan je certificering minder waardevol maken voor opdrachtgevers.
Stap 3: Gap-analyse — waar sta je nu?
Voordat je maatregelen implementeert, brengt je in kaart wat er al is en wat ontbreekt. Dit heet een gap-analyse of nulmeting.
Doorloop alle 93 controls uit Annex A en noteer per control:
- Geïmplementeerd — en aantoonbaar effectief
- Gedeeltelijk — aanwezig maar onvoldoende gedocumenteerd
- Ontbreekt — moet nog worden geïmplementeerd
Een typisch MKB-bedrijf scoort bij aanvang 30–50% van de controls als “aanwezig”. De gap-analyse geef je een prioriteitenlijst voor de rest van de implementatie.
Stap 4: Risicoanalyse en risicobehandeling
Dit is het hart van ISO 27001. De norm eist geen specifieke methode, maar wél een gedocumenteerde, consistente aanpak.
De basis van je risicoanalyse:
- Inventariseer informatie-assets — systemen, data, processen, mensen
- Identificeer dreigingen — ransomware, phishing, insider threats, stroomuitval
- Identificeer kwetsbaarheden — verouderde software, ontbrekende encryptie, zwakke wachtwoorden
- Bepaal risicoscore — kans × impact (bijv. 1–5 schaal)
- Bepaal risicobereidheid — welke risico’s accepteert je, welke behandelt je?
- Kies behandeloptie — mitigeren, accepteren, overdragen (verzekering), vermijden
Documenteer alles in een risicoregister. Dit document wordt tijdens de audit intensief beoordeeld.
Stap 5: Stel de Verklaring van Toepasselijkheid (VvT) op
De Statement of Applicability (SoA) — in het Nederlands: Verklaring van Toepasselijkheid — is een verplicht document dat aangeeft welke van de 93 Annex A-controls je toepast en welke niet.
Voor elke control vermeldt je:
- Toepasselijk ja/nee
- Reden van uitsluiting (als niet van toepassing)
- Implementatiestatus
- Verwijzing naar bewijs (beleid, procedure, technische maatregel)
De VvT is het verbindende document tussen je risicoanalyse en je daadwerkelijke maatregelen. Een auditor begint hier altijd.
Stap 6: Implementeer de beveiligingsmaatregelen
Nu ga je aan de slag met de daadwerkelijke controls. Focus op de maatregelen met de hoogste risicoscore en de meest aantoonbare waarde.
Prioritaire controls voor MKB:
| Categorie | Control | Waarom prioriteit |
|---|---|---|
| Toegangsbeheer | A.5.15 – Toegangsbeleid | Meest aangevallen vector |
| Eindpuntbeveiliging | A.8.7 – Malwareprotectie | Ransomware-risico |
| Beheer van kwetsbaarheden | A.8.8 – Patchbeheer | 60% incidenten via ongepatchte systemen |
| Incidentbeheer | A.5.26 – Responsprocedure | Wettelijke meldplicht (AVG/NIS2) |
| Back-ups | A.8.13 – Back-up | Herstel na ransomware |
| Bewustwording | A.6.3 – Security awareness | Menselijke factor = grootste risico |
Maak voor elke control beleid en procedures die beschrijven hoe je organisatie dit aanpakt. Technische implementatie alleen is onvoldoende — de documentatie is het bewijs.
Stap 7: Interne audit en directiebeoordeling
Voordat je een externe certificeringsaudit aanvraagt, doorloopt je twee verplichte interne stappen:
Interne audit (clausule 9.2) Een medewerker of externe partij — niet degene die het ISMS heeft gebouwd — toetst of het systeem werkt zoals beschreven. Bevindingen worden vastgelegd in een auditrapport met correctieve acties.
Directiebeoordeling (clausule 9.3) De directie beoordeelt het ISMS formeel: zijn de doelstellingen gehaald, wat zijn de verbeterpunten, welke resources zijn nodig voor het komende jaar? Dit wordt gedocumenteerd in notulen.
Bewijsperiode: de certificeringsinstantie verwacht dat je ISMS minimaal 3 maanden aantoonbaar in werking is geweest. Plan je interne audit dus vroeg genoeg.
Stap 8: Externe certificeringsaudit — fase 1 en fase 2
De certificeringsaudit verloopt in twee fasen:
Fase 1 — Documentatietoets (Stage 1) De auditor beoordeelt je documentatie op afstand of op locatie: scope, risicoanalyse, VvT, beleid en procedures. Je ontvangt een auditverslag met eventuele tekortkomingen die je vóór fase 2 moet oplossen.
Fase 2 — Implementatietoets (Stage 2) De auditor bezoekt je organisatie en toetst of de beschreven processen ook in de praktijk worden uitgevoerd. Hij interviewt medewerkers, bekijkt logs en systemen en beoordeelt bewijs.
Bij goedkeuring ontvang je het ISO 27001-certificaat, geldig voor 3 jaar met jaarlijkse surveillance-audits.
Tijdlijn: hoe lang duurt ISO 27001?
| Fase | Doorlooptijd |
|---|---|
| Voorbereiding + managementcommitment | 2–4 weken |
| Gap-analyse | 1–2 weken |
| Risicoanalyse + VvT | 2–4 weken |
| Implementatie maatregelen | 2–4 maanden |
| Bewijsperiode (minimum 3 maanden) | 3 maanden |
| Interne audit + correctieve acties | 2–4 weken |
| Externe audit fase 1 + 2 | 4–8 weken |
| Totaal | 5–9 maanden |
Zelf implementeren of consultant inschakelen?
| Zelf (met software) | Externe consultant | |
|---|---|---|
| Kosten | €500–€2.000/jaar | €18.000–€25.000 jaar 1 |
| Doorlooptijd | 5–9 maanden | 4–8 maanden |
| Interne kennis | Blijft in huis | Verdwijnt bij einde opdracht |
| Flexibiliteit | Hoog | Beperkt |
| Geschikt voor | MKB 10–250 medewerkers | Grote organisaties, complexe omgevingen |
De voornaamste reden om een consultant in te schakelen is complexiteit: als je informatieomgeving versnipperd is over meerdere locaties, systemen en landen. Voor de meeste Nederlandse MKB-bedrijven is zelfimplementatie met goede software volledig haalbaar.
Veelgestelde vragen over ISO 27001 implementatie
Is ISO 27001 verplicht voor mijn bedrijf? ISO 27001 is niet wettelijk verplicht voor de meeste bedrijven, maar wordt steeds vaker als contractuele eis gesteld door opdrachtgevers. Bedrijven die onder NIS2 vallen (vitale sectoren, >50 medewerkers of >€10M omzet) hebben een wettelijke zorgplicht voor informatiebeveiliging waarvoor ISO 27001 een erkend kader biedt.
Hoe lang is een ISO 27001 certificaat geldig? Een certificaat is 3 jaar geldig. Jaarlijks vindt een surveillance-audit plaats om te controleren of het ISMS nog steeds effectief functioneert. Na 3 jaar volgt een hercertificeringsaudit.
Kan ik ISO 27001 combineren met ISO 9001? Ja. Beide normen volgen de High Level Structure (HLS), een gemeenschappelijke opbouw voor managementsysteemnormen. Clausules 4–10 zijn vrijwel identiek. Je kunt documentatie combineren, geïntegreerde audits uitvoeren en één managementsysteem opzetten voor beide normen.
Welke certificeringsinstanties zijn erkend in Nederland? Erkende certificeringsinstanties in Nederland zijn onder andere DEKRA, Bureau Veritas, Lloyd’s Register, DNV en BSI. Kies een instantie die geaccrediteerd is door de Raad voor Accreditatie (RvA).
Hoe groot moet mijn team zijn voor ISO 27001? Er is geen minimumvereiste. Ook een bedrijf van 15 medewerkers kan ISO 27001 halen. Essentieel is dat iemand de rol van Information Security Officer (ISO) op zich neemt — parttime is voldoende voor kleine organisaties.
ISO 27001 implementeren met Control One
Control One is specifiek ontworpen voor MKB-bedrijven die ISO 27001 zelf willen implementeren. Het platform begeleidt je door elke stap:
- Begeleide risicoanalyse met vooraf ingevulde dreigingen en assets
- Verklaring van Toepasselijkheid als interactieve tabel, gekoppeld aan je risicoanalyse en exporteerbaar als PDF
- Beleid en procedures — meer dan 50 kant-en-klare templates aanpasbaar aan je organisatie
- Taakbeheer — toewijzen, bewaken en afsluiten van implementatietaken
- Auditbeheer — interne audits plannen, uitvoeren en documenteren
- Dashboarding — altijd inzicht in je voortgang richting certificering
Start gratis met Control One →
Dit artikel is voor het laatst bijgewerkt op 1 februari 2026. De informatie is gebaseerd op ISO/IEC 27001:2022.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.