ISO/IEC 27001 is de internationale norm voor een Information Security Management System (ISMS). De norm beschrijft hoe een organisatie informatiebeveiliging systematisch opzet, beheert en continu verbetert. De huidige versie is ISO/IEC 27001:2022 met 93 Annex A-maatregelen verdeeld over 4 thema's: Organisatorisch, Mensen, Fysiek en Technologisch.

Wat is het verschil tussen ISO 27001:2013 en ISO 27001:2022?

ISO 27001:2022 heeft Annex A teruggebracht van 114 naar 93 beheersmaatregelen, georganiseerd in 4 thema's (Organisatorisch, Mensen, Fysiek, Technologisch) in plaats van 14 secties. 11 maatregelen zijn nieuw, waaronder threat intelligence, ICT readiness for business continuity, data leakage prevention en secure coding. Bestaande 2013-certificaten moeten uiterlijk 31 oktober 2025 overgaan naar de 2022-versie.

Hoe lang duurt een ISO 27001-implementatie?

Voor het MKB is een realistisch traject 3 tot 6 maanden tot de externe certificeringsaudit (stage 2). De implementatiecoach van Control One splitst dit op in 28 concrete stappen, waardoor organisaties zelfstandig — zonder externe consultant — certificering kunnen behalen.

Wat is de Verklaring van Toepasselijkheid (VvT / SoA)?

De Verklaring van Toepasselijkheid (VvT) of Statement of Applicability (SoA) is een verplicht document in ISO 27001 dat per Annex A-maatregel vastlegt of deze van toepassing is, met onderbouwing. In Control One vul je de VvT interactief in per maatregel, gekoppeld aan je risicoanalyse, en exporteer je hem als PDF voor de audit.

Wat zijn de 4 thema's van Annex A in ISO 27001:2022?

De 93 Annex A-maatregelen in ISO 27001:2022 zijn verdeeld over 4 thema's: Organisatorisch (37 maatregelen, A.5), Mensen (8 maatregelen, A.6), Fysiek (14 maatregelen, A.7) en Technologisch (34 maatregelen, A.8).

Informatiebeveiliging

ISO 27001

Information Security Management System

Implementeer een ISMS volgens de internationale norm voor informatiebeveiliging. Control One begeleidt je van risicobeoordeling tot Annex A, stap voor stap.

Start met ISO 27001 Bekijk alle functies

Internationale norm

ISO/IEC 27001:2022

Information Security Management System

Hoofdstukken 4–10 7 clausules

Annex A · Beheersmaatregelen 93 totaal

Org.

Mensen

Fysiek

Tech.

100% gedekt door Control One

Wat is ISO 27001?

De internationale norm voor informatiebeveiliging

ISO 27001 is de meest erkende norm voor het beheren van gevoelige bedrijfsinformatie. Het biedt een systematische aanpak die mensen, processen en IT-systemen omvat via een risicomanagementproces.

Certificering toont aan klanten, partners en toezichthouders dat je organisatie informatiebeveiliging serieus neemt en internationaal erkende best practices volgt.

Bescherm gevoelige data

Systematische aanpak voor het beschermen van vertrouwelijke informatie tegen datalekken en cyberaanvallen.

Voldoe aan wet- en regelgeving

Demonstreer compliance met AVG, NIS2 en andere regelgeving via een erkend framework.

Win het vertrouwen van klanten

ISO 27001-certificering is wereldwijd erkend en geeft klanten vertrouwen in je informatiebeveiliging.

Verminder beveiligingsincidenten

Proactieve risicobeoordeling en beheersmaatregelen verminderen de kans op kostbare incidenten.

Enschede, Twente

Een team met een missie

Wij geloven dat compliance eenvoudig moet zijn. Niet als obstakel, maar als fundament voor groei van je organisatie.

Normstructuur

Hoofdstukken 1–10

Control One begeleidt je door elk hoofdstuk met een stapsgewijze coach, voortgangsregistratie en directe koppeling naar je documenten.

1–3

Inleiding

Inleiding van de norm

Hoofdstukken 1 t/m 3 vormen de algemene inleiding van de norm en bevatten geen implementatievereisten.

1 Toepassingsgebied — De scope en het doel van de norm.
2 Normatieve verwijzingen — Verwijzingen naar andere normen.
3 Termen en definities — Verklaringen van gebruikte begrippen.

Context van de organisatie

Breng de interne en externe context van je organisatie in kaart en identificeer de eisen van belanghebbenden. Stel de scope van je ISMS helder vast, inclusief grenzen, toepasselijkheid en interfaces.

Wat de norm vereist

Inzicht in interne en externe context, identificatie van belanghebbenden en hun eisen, en een helder gedefinieerd toepassingsgebied voor het ISMS.

Sleuteldocumenten

Scope document
Contextanalyse
Register van belanghebbenden

In Control One

Interactieve scopebepaling wizard, contextanalyse template en automatisch gegenereerd scope document dat aansluit op auditorsverwachtingen.

Start met dit hoofdstuk

Leiderschap

Zorg voor aantoonbare betrokkenheid van het management bij informatiebeveiliging. Stel een formeel informatiebeveiligingsbeleid vast en wijs rollen en verantwoordelijkheden duidelijk toe.

Wat de norm vereist

Managementcommitment aantonen, een informatiebeveiligingsbeleid vaststellen en rollen, verantwoordelijkheden en bevoegdheden toewijzen.

Sleuteldocumenten

Informatiebeveiligingsbeleid
Functiebeschrijvingen
Verantwoordelijkheidsmatrix

In Control One

Beleidsgenerator met goedkeuringsworkflow, verantwoordelijkheidsmatrix en rollenregister voor je ISMS-team.

Start met dit hoofdstuk

Planning

Pak risico's en kansen aan, stel doelen en plan wijzigingen.

Wat de norm vereist

Risico's en kansen identificeren, een risicobeoordelingsproces uitvoeren, doelstellingen vaststellen en wijzigingsplanning inrichten.

Sleuteldocumenten

Risicobeoordelingsrapport
Risicobewerkingsplan
Doelstellingenregister

In Control One

Geïntegreerde risico-engine met behandelingsplan, rapportage en voortgangsregistratie van IS-doelstellingen.

Start met dit hoofdstuk

Ondersteuning

Beheer middelen, competenties, bewustzijn, communicatie en gedocumenteerde informatie.

Wat de norm vereist

Voldoende middelen beschikbaar stellen, competenties borgen, beveiligingsbewustzijn creëren en gedocumenteerde informatie beheersen.

Sleuteldocumenten

Competentiematrix
Bewustwordingsprogramma
Documentbeheerbeleid

In Control One

Centraal documentbeheer systeem, bewustwordings- en trainingsmodule en competentieregister voor je medewerkers.

Start met dit hoofdstuk

Uitvoering

Implementeer je informatiebeveiligingsprocessen en beheersmaatregelen.

Wat de norm vereist

Operationele planning en beheersing, uitvoering van het risicobewerkingsplan en implementatie van de 93 Annex A beheersmaatregelen.

Sleuteldocumenten

Verklaring van Toepasselijkheid
Risicobehandelprocedures
Beleidsdocumenten per maatregel

In Control One

Interactieve VvT builder, procedures bibliotheek en directe koppeling tussen geïmplementeerde maatregelen en je risicoregister.

Start met dit hoofdstuk

Evaluatie van prestaties

Monitor, meet, analyseer en evalueer je ISMS-prestaties.

Wat de norm vereist

Monitoren en meten van ISMS-prestaties, een intern auditprogramma uitvoeren en management reviews houden.

Sleuteldocumenten

Auditplan & auditrapport
KPI-register
Directiebeoordelingsverslag

In Control One

Gestructureerde auditworkflow met geautomatiseerde reminders, directiebeoordelingstemplates en KPI-tracking dashboard.

Start met dit hoofdstuk

Verbetering

Pak afwijkingen aan en streef naar continue verbetering van je ISMS.

Wat de norm vereist

Non-conformiteiten identificeren en corrigeren, corrigerende maatregelen treffen en continue verbetering van het ISMS documenteren.

Sleuteldocumenten

Non-conformiteitenregister
Corrigerende maatregelenplan
Verbeterregister

In Control One

Non-conformiteiten tracker, corrigerende maatregelenbeheer en verbeterdashboard voor structurele ISMS-groei.

Start met dit hoofdstuk

100%

Normdekkking

Control One dekt alle 7 hoofdstukken en alle 93 beheersmaatregelen van ISO 27001:2022.

Bekijk het platform

Annex A: ISO 27001:2022

Alle ISMS-documenten in één overzicht

In Control One zijn alle 93 Annex A-maatregelen direct gekoppeld aan je risicobeoordelingsresultaten en vooraf ingevuld door ISO-experts.

ISMS Handboek Vooringevuld

4 templates

ISMS Handboek

ISO 27001:2022

Scope document

H4.3

Contextanalyse

H4.1

H4.2

Beleid Vooringevuld

8 templates

Informatiebeveiligingsbeleid

H5.2

Aanvaardbaar Gebruik Beleid

Template

Cloud Services Beleid

Template

Draadloos Netwerk Beleid

Template

Wachtwoord Beleid

Template

Bring Your Own Device Beleid

Template

Netwerk Connectie Beleid

Template

Social Media Beleid

Template

Registers & Formulieren Vooringevuld

15 templates

Functiebeschrijvingen

H5.3

Verantwoordelijkheidsmatrix

H5.3

Risicobeoordelingsrapport

H6.1

Risicobewerkingsplan

H6.1

Doelstellingenregister

H6.2

Competentiematrix

H7.2

Bewustwordingsprogramma

H7.3

Documentbeheerbeleid

H7.5

Verklaring van Toepasselijkheid

H8 / VvT

Auditplan & auditrapport

H9.2

KPI-register

H9.1

Directiebeoordelingsverslag

H9.3

Non-conformiteitenregister

H10.1

Corrigerende maatregelenplan

H10.1

Verbeterregister

H10.2

Annex A.5 – Organisatorisch Vooringevuld

37 templates

Beleid voor informatiebeveiliging

5.1

Rollen en verantwoordelijkheden IB

5.2

Functiescheiding

5.3

Beheersverantwoordelijkheden

5.4

Contact met autoriteiten

5.5

Contact met speciale belangengroepen

5.6

Bedreigingsinformatie

5.7

IB in projectmanagement

5.8

Inventarisatie van assets

5.9

Aanvaardbaar gebruik van assets

5.10

Teruggave van assets

5.11

Classificatie van informatie

5.12

Labelen van informatie

5.13

Informatieoverdracht

5.14

Toegangsbeveiliging

5.15

Identiteitsbeheer

5.16

Authenticatie-informatie

5.17

Toegangsrechten

5.18

IB in leveranciersrelaties

5.19

IB in leveranciersovereenkomsten

5.20

IB in ICT-toeleveringsketen

5.21

Monitoring leveranciersdiensten

5.22

IB bij gebruik van clouddiensten

5.23

Planning IB-incidenten

5.24

Beoordeling IB-gebeurtenissen

5.25

Reactie op IB-incidenten

5.26

Leren van IB-incidenten

5.27

Verzameling van bewijs

5.28

IB tijdens verstoring

5.29

ICT-gereedheid bedrijfscontinuïteit

5.30

Wettelijke & contractuele vereisten

5.31

Intellectuele eigendomsrechten

5.32

Gegevensbescherming

5.33

Privacy & bescherming persoonsgegevens

5.34

Onafhankelijke beoordeling IB

5.35

Naleving IB-beleid

5.36

Gedocumenteerde bedieningsprocedures

5.37

Annex A.6 – Mensen Vooringevuld

8 templates

Screening

6.1

Arbeidsvoorwaarden

6.2

Bewustwording, opleiding en training IB

6.3

Disciplinair proces

6.4

Verantwoordelijkheden na einde dienstverband

6.5

Vertrouwelijkheidsovereenkomsten

6.6

Werken op afstand

6.7

Rapportage van IB-gebeurtenissen

6.8

Annex A.7 – Fysiek Vooringevuld

14 templates

Fysieke beveiligingszone

7.1

Fysieke toegangscontroles

7.2

Beveiligen van kantoren en faciliteiten

7.3

Fysieke beveiligingsmonitoring

7.4

Bescherming tegen fysieke bedreigingen

7.5

Werken in beveiligde ruimtes

7.6

Clear desk, clear screen

7.7

Plaatsing en beveiliging van apparatuur

7.8

Beveiliging van assets buiten locatie

7.9

Opslagmedia

7.10

Ondersteunende voorzieningen

7.11

Beveiliging van bekabeling

7.12

Onderhoud van apparatuur

7.13

Veilige verwijdering van apparatuur

7.14

Annex A.8 – Technologisch Vooringevuld

34 templates

Eindgebruikers apparatuur

8.1

Speciale toegangsrechten

8.2

Beperking van toegang tot informatie

8.3

Toegang tot broncode

8.4

Beveiligde authenticatie

8.5

Capaciteitsbeheer

8.6

Bescherming tegen malware

8.7

Beheer van technische kwetsbaarheden

8.8

Configuratiebeheer

8.9

Informatie verwijderen

8.10

Gegevensmaskering

8.11

Preventie van datalekken

8.12

Informatie back-up

8.13

Redundantie van informatieverwerkingsfaciliteiten

8.14

Loggen

8.15

Bewaking van activiteiten

8.16

Kloksynchronisatie

8.17

Gebruik van geprivilegieerde hulpprogramma's

8.18

Installatie van software

8.19

Netwerkbeveiliging

8.20

Beveiliging van netwerkdiensten

8.21

Segregatie in netwerken

8.22

Webfiltering

8.23

Gebruik van cryptografie

8.24

Veilige ontwikkelingslevenscyclus

8.25

Beveiligingsvereisten voor applicaties

8.26

Veilige systeemarchitectuur

8.27

Veilig programmeren

8.28

Beveiligingstesten in ontwikkeling

8.29

Uitbestede ontwikkeling

8.30

Scheiding van omgevingen

8.31

Wijzigingsbeheer

8.32

Testinformatie

8.33

Bescherming van informatiesystemen bij audit

8.34

Interne Audit Vooringevuld

8 templates

ISMS Auditeren Stap-voor-Stap

Handleiding

Gedragscode voor Interne Auditors

Procedure

Interne Audit Checklist – Leverancier

Checklist

Interne Audit Checklist – Proces

Checklist

Interne Audit Checklist – ISMS

Checklist

Interne Audit Feedback Formulier

Template

Interne Audit Rapport Template

Template

Kennis Vereisten ISMS Auditoren

Template

Verklaring van Toepasselijkheid (VvT)

Leg per Annex A-maatregel vast of die van toepassing is, met onderbouwing en status. Gekoppeld aan je risicoanalyse en exporteerbaar als PDF voor je auditor.

Gratis uitproberen

14 dagen gratis uitproberen