Wat zijn de belangrijkste ISO 27001 eisen?

De belangrijkste ISO 27001 eisen staan in clausules 4 10 van de norm. Deze omvatten het vaststellen van de context en scope (clausule 4), leiderschap en beleid (clausule 5), risicobeoordeling en planning (clausule 6), middelen en competenties (clausule 7), operationele uitvoering (clausule 8), monitoring en interne audits (clausule 9) en continue verbetering (clausule 10). Daarnaast bevat Annex A 93 beheersmaatregelen die je selectief implementeert op basis van je risicobeoordeling.

Hoeveel beheersmaatregelen bevat ISO 27001 Annex A?

ISO 27001:2022 Annex A bevat 93 beheersmaatregelen (controls), verdeeld over vier categorieën: organisatorisch (37), personeel (8), fysiek (14) en technologisch (34). Je hoeft niet alle 93 maatregelen te implementeren — in de Statement of Applicability (SoA) onderbouw je welke controls relevant zijn voor jouw organisatie.

Hoe lang duurt ISO 27001 certificering voor MKB?

De gemiddelde doorlooptijd van nulmeting tot ISO 27001 certificaat is 3 6 maanden voor een MKB organisatie met 10 50 medewerkers. De risicobeoordeling is doorgaans het meest tijdrovende onderdeel (2 4 weken). De exacte doorlooptijd hangt af van de complexiteit van je organisatie, de huidige beveiligingsvolwassenheid en beschikbare resources.

Is ISO 27001 verplicht voor NIS2 compliance?

ISO 27001 certificering is niet formeel verplicht onder NIS2, maar wordt door toezichthouders gezien als een sterke basis voor NIS2 compliance. De norm dekt een groot deel van de cybersecurity eisen die NIS2 stelt af. Organisaties in sectoren als zorg, energie, transport en digitale dienstverlening die onder NIS2 vallen, hebben hierdoor een voorsprong wanneer ze ISO 27001 gecertificeerd zijn.

ISO 27001 eisen: complete gids clausules & Annex A (2026)

Q: Wat is het verschil tussen ISO 27001 en ISO 27002?

ISO 27001 bevat de normeisen (shall statements) waaraan je moet voldoen voor certificering. ISO 27002 is een richtlijn die per beheersmaatregel gedetailleerde implementatieadviezen geeft. Je wordt gecertificeerd tegen ISO 27001, maar ISO 27002 dient als praktische handleiding bij de implementatie van je Annex A maatregelen.

Stel: je organisatie verwerkt gevoelige klantgegevens, werkt met clouddiensten en wisselt dagelijks data uit met leveranciers. Eén datalek kan je tonnen kosten — en dan hebben we het nog niet over de reputatieschade. ISO 27001 is de internationale norm die je helpt om informatiebeveiliging structureel aan te pakken. Maar wat zijn de ISO 27001 eisen precies, en hoe vertaal je die naar de praktijk?

In deze gids nemen we alle normeisen onder de loep: van clausule 4 tot en met 10, inclusief de 93 beheersmaatregelen uit Annex A. Geen theoretisch geneuzel, maar concrete uitleg die je direct kunt toepassen. Of je nu net begint met informatiebeveiliging of al halverwege een implementatietraject zit — na dit artikel weet je precies waar je aan moet voldoen.

Wat is ISO 27001 en waarom zijn de eisen belangrijk?

ISO 27001 is de internationale norm voor een Information Security Management System (ISMS). De norm stelt eisen aan het opzetten, implementeren, onderhouden en continu verbeteren van informatiebeveiliging binnen je organisatie.

Waarom is dit relevant? In 2026 zien we dat cyberdreigingen voor MKB-bedrijven exponentieel toenemen. Ransomware-aanvallen, phishing en supply chain attacks raken niet alleen multinationals — juist kleinere organisaties zijn kwetsbaar. ISO 27001 certificering biedt een bewezen framework om deze risico's beheersbaar te maken.

De norm draait om drie kernprincipes:

Vertrouwelijkheid — alleen geautoriseerde personen hebben toegang tot informatie
Integriteit — informatie is juist en volledig
Beschikbaarheid — informatie is toegankelijk wanneer dat nodig is

Wil je meer weten over wat een ISMS precies inhoudt? Lees dan ons artikel over wat een ISMS is en hoe je het opzet.

Overzicht van de ISO 27001 normstructuur (clausules 4-10)

De ISO 27001 norm volgt de zogeheten High Level Structure (HLS), dezelfde structuur die je terugvindt in ISO 9001 en ISO 14001. De normeisen staan in clausules 4 tot en met 10. Clausules 1, 2 en 3 bevatten inleidende informatie en zijn niet auditeerbaar.

Hieronder bespreken we elke clausule. Dit is waar de echte eisen zitten — en waar auditors naar kijken.

Clausule 4: Context van de organisatie

Deze clausule eist dat je begrijpt wie je bent, wat je doet en in welke omgeving je opereert. Concreet betekent dit:

Externe en interne factoren in kaart brengen die van invloed zijn op je informatiebeveiliging (denk aan wet- en regelgeving zoals de AVG, marktontwikkelingen, technologische trends)
Belanghebbenden identificeren — klanten, leveranciers, toezichthouders, medewerkers — en hun verwachtingen vastleggen
Scope van het ISMS bepalen: welke locaties, processen, systemen en informatie vallen binnen de reikwijdte?

In onze praktijk zien we dat MKB-bedrijven hier vaak te breed of juist te smal beginnen. Een scope die te breed is maakt implementatie onnodig zwaar. Te smal? Dan dek je kritieke risico's niet af. Wij adviseren om te starten met de kernprocessen die de meeste gevoelige data verwerken.

Clausule 5: Leiderschap en betrokkenheid

Informatiebeveiliging is geen IT-feestje — het begint bij de directie. Clausule 5 eist dat het topmanagement:

Leiderschap en commitment toont door informatiebeveiliging te integreren in de bedrijfsstrategie
Een informatiebeveiligingsbeleid vaststelt dat past bij de strategische richting van de organisatie
Rollen en verantwoordelijkheden toewijst, waaronder een duidelijke ISMS-eigenaar

Dit is waar veel consultants de fout ingaan: ze schrijven een mooi beleidsdocument en laten de directie tekenen. Klaar. Maar een auditor wil zien dat de directie het beleid ook daadwerkelijk uitdraagt. Denk aan: structureel agendapunt in directieoverleg, budget vrijmaken voor beveiligingsmaatregelen en het goede voorbeeld geven.

Clausule 6: Planning — risicobeoordeling en doelstellingen

Dit is het hart van de norm. Clausule 6 vereist een systematische aanpak voor risicogebaseerd denken:

Risicobeoordeling — identificeer dreigingen en kwetsbaarheden, bepaal de kans en impact, en prioriteer op basis van risiconiveau
Risicobehandeling — kies voor elke risico een strategie: mitigeren, accepteren, overdragen of vermijden
Statement of Applicability (SoA) — documenteer welke Annex A maatregelen je wel en niet toepast, met onderbouwing
Informatiebeveiligingsdoelstellingen — stel meetbare doelen per relevante functie en niveau

Bij 8 van de 10 MKB-bedrijven die wij begeleiden, blijkt de risicobeoordeling het meest tijdrovende onderdeel. Reken op 2-4 weken voor een gedegen eerste risicoanalyse, afhankelijk van de complexiteit van je organisatie.

Clausule 7: Ondersteuning — middelen, competenties en documentatie

Zonder de juiste middelen geen werkend ISMS. Clausule 7 stelt eisen aan:

Middelen — voldoende budget, tooling en capaciteit
Competenties — medewerkers moeten aantoonbaar bekwaam zijn (denk aan awareness-trainingen en security-certificeringen)
Bewustzijn — iedereen in de organisatie moet het informatiebeveiligingsbeleid kennen en begrijpen wat hun rol is
Communicatie — vastleggen wie, wanneer en hoe communiceert over informatiebeveiliging
Gedocumenteerde informatie — procedures, beleid en registraties bijhouden en beheren

Een veelgemaakte fout: bergen documentatie produceren die niemand leest. Wij zijn geen fan van 200 pagina's beleid die in een la verdwijnen. Focus op werkbare documenten die mensen daadwerkelijk gebruiken. Een goed ISMS is lean en praktisch.

Clausule 8: Uitvoering — operationele planning en risicobehandeling

In clausule 8 ga je van plan naar actie. De norm eist dat je:

De processen plant en uitvoert die nodig zijn om aan de informatiebeveiligingseisen te voldoen
De risicobeoordeling op geplande intervallen uitvoert (minimaal jaarlijks, of bij significante wijzigingen)
Het risicobehandelplan implementeert

Dit klinkt rechttoe rechtaan, maar in de praktijk betekent het dat je beveiligingsmaatregelen daadwerkelijk uitrolt. Denk aan: toegangsbeheer inrichten, back-upprocedures testen, incidentresponsplannen activeren. Papier is geduldig — een auditor wil bewijs zien dat het werkt.

Clausule 9: Evaluatie van prestaties — monitoring, audit en directiebeoordeling

Hoe weet je of je ISMS effectief is? Clausule 9 vereist drie dingen:

Monitoring en meting — bepaal wat je meet, hoe vaak, en wie verantwoordelijk is. Denk aan: aantal beveiligingsincidenten, doorlooptijd van patchmanagement, resultaten van phishingtests
Interne audit — voer op geplande intervallen interne audits uit om te verifiëren dat het ISMS conform de norm functioneert
Directiebeoordeling — het topmanagement beoordeelt periodiek de prestaties van het ISMS en neemt beslissingen over verbeteringen

Wil je weten hoe je een interne audit effectief aanpakt? Bekijk dan onze ISO 27001 checklist met alle Annex A controls.

Clausule 10: Verbetering — afwijkingen en continue verbetering

De laatste clausule sluit de Plan-Do-Check-Act cyclus. ISO 27001 eist dat je:

Afwijkingen identificeert, de oorzaak analyseert en corrigerende maatregelen neemt
Zorgt voor continue verbetering van het ISMS

Dit is geen eenmalige exercitie. Na je eerste certificeringsaudit volgen jaarlijkse surveillance-audits en na drie jaar een hercertificeringsaudit. Het ISMS moet leven — en dat doe je door structureel te evalueren en bij te sturen.

Annex A: de 93 beheersmaatregelen uitgelegd

Naast de clausules 4-10 bevat ISO 27001:2022 een Annex A met 93 beheersmaatregelen (controls), verdeeld over vier thema's:

Thema	Aantal controls	Voorbeelden
Organisatorisch	37	Beleid, rollen, screening, leveranciersbeheer
Personeel	8	Arbeidsvoorwaarden, awareness, disciplinaire maatregelen
Fysiek	14	Fysieke toegang, bescherming tegen bedreigingen, apparatuur
Technologisch	34	Toegangsbeheer, cryptografie, logging, netwerksecurity

Je hoeft niet alle 93 maatregelen te implementeren. De Statement of Applicability (SoA) is het document waarin je onderbouwt welke controls je toepast en welke niet relevant zijn voor jouw situatie. Wel moet elke uitsluiting onderbouwd zijn — "doen we niet" is geen geldige reden.

Voor een gedetailleerd overzicht van alle controls, bekijk onze ISO 27001 checklist.

ISO 27001 eisen vs. ISO 27002 richtlijnen

ISO 27001 bevat de eisen (shall-statements) waaraan je moet voldoen voor certificering. ISO 27002 is de bijbehorende richtlijn die per beheersmaatregel gedetailleerde implementatieadviezen geeft.

Het verschil in de praktijk:

ISO 27001 zegt: "De organisatie moet toegangsbeheer implementeren" (de eis)
ISO 27002 zegt: "Overweeg multi-factor authenticatie, regelmatige toegangsreviews en het principe van least privilege" (de richtlijn)

Je wordt gecertificeerd tegen ISO 27001, niet tegen ISO 27002. Maar ISO 27002 is onmisbaar als praktische handleiding bij de implementatie van je Annex A maatregelen.

Wat anderen niet vertellen: de verborgen eisen

De meeste gidsen over ISO 27001 eisen beperken zich tot een opsomming van clausules. Maar er zijn subtiele eisen die in de praktijk voor de meeste struikelblokken zorgen:

1. Competentie-eis is strenger dan je denkt Clausule 7.2 eist niet alleen dat medewerkers getraind zijn, maar dat je kunt aantonen dat ze competent zijn. Dat betekent: toetsen, evaluaties en registraties bijhouden — niet alleen een PowerPoint laten zien.

2. De scope moet aansluiten bij je risicoanalyse We zien regelmatig organisaties die hun scope beperken tot "de IT-afdeling", terwijl hun grootste risico's zitten in operationele processen of bij externe leveranciers. Een auditor prikt hier doorheen.

3. Gedocumenteerde informatie ≠ documenten De norm spreekt bewust over "gedocumenteerde informatie", niet over "documenten". Dat betekent dat je bewijs ook in de vorm van dashboards, logbestanden of screenshots mag aanleveren. Veel organisaties maken het zichzelf onnodig moeilijk met Word-documenten voor alles.

4. De link met NIS2 wordt steeds belangrijker Vanaf 2025 moeten organisaties die onder de NIS2-richtlijn vallen aantoonbaar aan cybersecurity-eisen voldoen. ISO 27001 certificering wordt door toezichthouders gezien als een sterke basis voor NIS2-compliance. Dit maakt de norm relevanter dan ooit voor sectoren als zorg, energie, transport en digitale dienstverleners.

Veelgemaakte fouten bij ISO 27001 implementatie

Na tientallen implementatietrajecten zien wij steeds dezelfde fouten terugkomen:

Te veel focus op documentatie, te weinig op uitvoering — een auditor wil bewijs dat maatregelen werken, niet alleen dat ze beschreven zijn
Risicobeoordeling als eenmalige exercitie — de norm eist dat je risico's periodiek herbeoordeelt
IT-afdeling draagt alles alleen — informatiebeveiliging is een organisatiebreed thema
Copy-paste van templates — elke organisatie is uniek; een template van internet past zelden 1-op-1
Geen management commitment — zonder budget en aandacht van de directie strandt elk ISMS

Benieuwd hoe je informatiebeveiliging breder kunt aanpakken? Lees onze gids over informatieveiligheid: trends en best practices.

Praktisch stappenplan: van nulmeting tot certificering

Wil je concreet aan de slag met ISO 27001? Dit stappenplan gebruiken wij bij ISO 27001 certificeringstrajecten:

Nulmeting / gap-analyse — breng in kaart waar je nu staat ten opzichte van de norm (doorlooptijd: 1-2 weken)
Scope en beleid vaststellen — definieer de reikwijdte van je ISMS en stel het informatiebeveiligingsbeleid op
Risicobeoordeling uitvoeren — identificeer, analyseer en prioriteer risico's (2-4 weken)
Statement of Applicability opstellen — bepaal welke Annex A maatregelen je implementeert
Maatregelen implementeren — voer technische, organisatorische en fysieke maatregelen door (4-12 weken)
Awareness en training — zorg dat alle medewerkers weten wat er van hen verwacht wordt
Interne audit uitvoeren — toets of je ISMS conform de norm functioneert
Directiebeoordeling — laat het management de resultaten beoordelen en verbeteringen goedkeuren
Certificeringsaudit (fase 1 en 2) — een externe auditor toetst je ISMS
Continue verbetering — onderhoud, surveillance-audits en hercertificering

De gemiddelde doorlooptijd van nulmeting tot certificaat is 3-6 maanden voor een MKB-organisatie met 10-50 medewerkers.

Direct toepasbaar: ISO 27001 eisen checklist

Gebruik deze checklist om te bepalen waar jouw organisatie staat:

Scope van het ISMS is vastgesteld en gedocumenteerd
Informatiebeveiligingsbeleid is opgesteld en goedgekeurd door de directie
Risicobeoordeling is uitgevoerd en gedocumenteerd
Statement of Applicability (SoA) is opgesteld met onderbouwing per control
Rollen en verantwoordelijkheden voor informatiebeveiliging zijn toegewezen
Medewerkers hebben awareness-training gevolgd (en dit is geregistreerd)
Interne audit is gepland en uitgevoerd
Directiebeoordeling is gehouden met vastgelegde besluiten
Incidentresponsprocedure is gedocumenteerd en getest
Continue verbeterproces is ingericht (corrigerende maatregelen worden bijgehouden)

Conclusie

De ISO 27001 eisen vormen een stevig maar werkbaar framework voor informatiebeveiliging. De sleutel tot succes is niet het produceren van stapels documentatie, maar het inrichten van een ISMS dat daadwerkelijk leeft in je organisatie. Begin met een heldere scope, voer een gedegen risicobeoordeling uit en zorg dat de directie betrokken is vanaf dag één.

Met de toenemende cyberdreigingen en wet- en regelgeving zoals NIS2 wordt ISO 27001 certificering steeds relevanter — ook voor MKB-bedrijven. De investering in tijd en geld verdient zich terug in betere beveiliging, meer klantvertrouwen en een sterkere concurrentiepositie.

Wil je weten waar jouw organisatie staat? Neem contact op met MaasISO voor een vrijblijvende nulmeting en persoonlijk advies over ISO 27001 certificering.

ISO 27001 eisen: complete gids voor informatiebeveiliging (2026)