Steeds meer Nederlandse MKB-bedrijven werken toe naar meerdere ISO-certificeringen tegelijk. De combinatie van ISO 9001 (kwaliteitsmanagement) en ISO 27001 (informatiebeveiliging) is daarbij bijzonder populair — zeker bij IT-dienstverleners, softwarebedrijven en organisaties die klantdata verwerken. Toch implementeren veel bedrijven beide normen als twee aparte systemen, met dubbele documentatie, twee auditrondes en twee keer zoveel beheerlasten.
Dat kan slimmer. In dit artikel lees je hoe je een geïntegreerd managementsysteem (IMS) opzet dat beide normen afdekt, welke elementen je kunt samenvoegen en waar de normen van elkaar verschillen.
Waarom ISO 9001 en ISO 27001 goed samengaan
Beide normen zijn opgebouwd volgens de High Level Structure (HLS) — ook wel Annex SL genoemd. Dit is een gemeenschappelijk raamwerk dat ISO gebruikt voor alle nieuwe en herziene managementsysteemnormen. De structuur is identiek: context van de organisatie (clausule 4), leiderschap (5), planning (6), ondersteuning (7), uitvoering (8), evaluatie (9) en verbetering (10).
Dat betekent dat de basisstructuur van je QMS direct bruikbaar is als fundament voor je ISMS (Information Security Management System). Je hoeft niet opnieuw te beginnen — je bouwt voort.
Gedeelde elementen
| Element | ISO 9001 | ISO 27001 | Integreerbaar? |
|---|---|---|---|
| Beleidsverklaring | Kwaliteitsbeleid | Informatiebeveiligingsbeleid | Ja, als één gecombineerd document |
| Risicoanalyse | Risico’s en kansen (6.1) | Informatiebeveiligingsrisico’s (6.1) | Gedeeltelijk — methodiek deelbaar |
| Interne audit | Clausule 9.2 | Clausule 9.2 | Ja, gecombineerde auditprogramma’s |
| Directiebeoordeling | Clausule 9.3 | Clausule 9.3 | Ja, één gecombineerde vergadering |
| Nonconformiteiten | Clausule 10.2 | Clausule 10.1 | Ja, één registratiesysteem |
| Bewustzijn en training | Clausule 7.3 | Clausule 7.3 | Ja, gecombineerde trainingen |
Waar zitten de verschillen?
Integratie werkt niet voor alles. ISO 27001 heeft specifieke vereisten die buiten het bereik van ISO 9001 vallen.
Annex A: de beveiligingscontroles
Het meest opvallende verschil is Annex A van ISO 27001. Dit is een catalogus van 93 beveiligingscontroles (in de versie van 2022) verdeeld over vier categorieën: organisatorisch, mensen, fysiek en technologisch. Deze controls zijn uniek voor informatiebeveiliging en hebben geen equivalent in ISO 9001.
De Statement of Applicability (SoA) — het document waarin je voor elke control aangeeft of hij van toepassing is en waarom — is puur een ISO 27001-vereiste.
Risicomethode
ISO 9001 is flexibel over de risicomethode. ISO 27001 vereist een formele risicobeoordelingsmethode die informatieactiva, dreigingen, kwetsbaarheden en impacts systematisch in kaart brengt. Je kunt dit combineren met je bestaande risicoregister, maar je hebt aanvullende diepte nodig.
Tip: Gebruik één risicoregister met aparte kolommen voor kwaliteitsrisico’s en informatiebeveiligingsrisico’s. Zo houdt je overzicht zonder twee afzonderlijke systemen te beheren.
Stappenplan voor de integratie
Stap 1: Gap-analyse op beide normen
Voordat je integreert, brengt je de huidige staat in kaart. Welke elementen van ISO 9001 heb je al staan? Wat ontbreekt er voor ISO 27001? Een gecombineerde gap-analyse geef je een helder startpunt.
Stap 2: Geïntegreerde documentstructuur opzetten
Maak een gecombineerd kwaliteits- en informatiebeveiligingshandboek dat verwijst naar gedeelde procedures. Procedures die specifiek zijn voor één norm, blijven apart. Gedeelde procedures — zoals de interne auditprocedure of de procedure voor corrigerende maatregelen — worden geharmoniseerd.
Stap 3: Geïntegreerd auditprogramma
Plan je interne audits zo dat ze beide normen dekken. Train interne auditoren op beide normen. Dit bespaart tijd en vermindert de auditlast voor medewerkers.
Stap 4: Gecombineerde directiebeoordeling
Voer één directiebeoordeling uit die zowel de KPI’s van het QMS als die van het ISMS bespreekt. Zorg voor aparte agendapunten per norm, maar gebruik één vergadering en één notulenverslag.
Stap 5: Certificeringsaudit plannen
Bespreek met je certificeringsinstelling of zij een gecombineerde audit kunnen uitvoeren. Veel grote instellingen bieden dit aan, wat aanzienlijk scheelt in auditkosten en voorbereiding.
Wat levert de combinatie op?
Organisaties die een geïntegreerd managementsysteem implementeren, rapporteren gemiddeld 30 tot 40 procent minder beheerlasten dan bij twee separate systemen. De besparingen zitten in minder dubbele documentatie, gecombineerde trainingen en één auditcyclus.
Daarnaast heeft de combinatie commerciële waarde. Zakelijke klanten — met name in de publieke sector en financiële dienstverlening — vragen steeds vaker om bewijs van zowel kwaliteitsmanagement als informatiebeveiliging. Twee certificaten in één adem kunnen noemen versterkt je positie in aanbestedingen.
Praktisch aan de slag met Control One
Een platform als Control One ondersteunt geïntegreerde managementsystemen. Je beheert je QMS en ISMS in één omgeving: gedeelde documentbibliotheken, gecombineerde auditplanners en één risicoregister. Dat scheelt tijd en voorkomt dat je dezelfde informatie op twee plaatsen bijhoudt.
Meer weten over de afzonderlijke normen? Lees onze pagina’s over ISO 9001 en ISO 27001.
Veelgestelde vragen
Moet ik ISO 9001 eerst implementeren voordat ik ISO 27001 start? Nee, je kunt beide normen parallel implementeren. Als je al een ISO 9001-systeem heeft, is dat een voordeel — je bouwt voort op bestaande structuren.
Kan ik voor beide normen bij dezelfde certificeringsinstelling terecht? Ja, de meeste grote certificeringsinstellingen certificeren op beide normen. Een gecombineerde audit is bij veel instellingen mogelijk en efficiënter.
Hoeveel extra werk kost ISO 27001 bovenop ISO 9001? Reken op 40 tot 60 procent van het werk dat een standalone ISO 27001-implementatie zou kosten, afhankelijk van hoe volwassen je QMS al is.
Is een geïntegreerd managementsysteem moeilijker te onderhouden? Op de lange termijn niet — het is juist eenvoudiger omdat je één systeem onderhoudt in plaats van twee.
Conclusie
ISO 9001 en ISO 27001 zijn twee normen die uitstekend samengaan dankzij hun gedeelde HLS-structuur. Door te integreren, bespaart je aanzienlijk op documentatie, trainingen en auditkosten. Het vraagt een zorgvuldige opzet, maar de investering verdient zich terug.
Klaar om een geïntegreerd managementsysteem op te zetten? Bekijk hoe Control One je daarbij ondersteunt.
Klaar om te starten met ISO 9001?
Control One structureert je kwaliteitsmanagementsysteem: procesoverzichten, KPI’s, interne audits en directiebeoordeling. Alles op één plek.
Gerelateerde artikelen
Continu verbeteren met ISO 9001: de PDCA-cyclus
Plan-Do-Check-Act is de motor van ISO 9001. Hoe maak je de PDCA-cyclus werkend in je organisatie?
Een effectief kwaliteitsbeleid opstellen voor ISO 9001
Het kwaliteitsbeleid is de strategische verklaring van je QMS. Zo schrijft je er een die écht werkt.
Documentbeheer in ISO 9001: wat is verplicht?
ISO 9001 stelt eisen aan gedocumenteerde informatie. Wat is verplicht en hoe organiseert je het efficiënt?
ISO 9001 certificaat behouden: jaarlijkse verplichtingen
Certificering is een begin, niet een eindpunt. Wat je jaarlijks moet doen om ISO 9001 gecertificeerd te blijven.