ISO 27001 Checklist: Alle Clausules & Annex A Controls [2026]

Q: Hoe lang duurt een ISO 27001 implementatie voor MKB?

Voor een gemiddeld MKB bedrijf met 20 tot 100 medewerkers is 4 tot 9 maanden realistisch, afhankelijk van de huidige situatie. Bedrijven die al structureel aan informatiebeveiliging werken, kunnen sneller. Reken op gemiddeld 8 12 uur per week voor de projectleider gedurende het traject.

Q: Wat kost ISO 27001 certificering?

De certificeringsaudit kost voor MKB bedrijven tussen €3.000 en €8.000, afhankelijk van de scope en het aantal mandagen. Implementatiekosten variëren van €10.000 tot €30.000 met externe begeleiding. Jaarlijkse surveillance audits kosten €1.500 tot €4.000.

Q: Hoe integreer ik AVG/NIS2 in mijn ISMS?

Neem privacy en NIS2 risico's op in je reguliere risicobeoordeling. Veel Annex A controls sluiten direct aan bij AVG vereisten (zoals toegangsbeheer, encryptie en incidentbeheer). Documenteer de overlap en gebruik je ISMS als kapstok voor compliance met meerdere frameworks tegelijk.

Gepubliceerd:4 juli 2025|Bijgewerkt:8 maart 2026

ISO 27001 Checklist: Alle Clausules & Annex A Controls [2026]

Veelgestelde Vragen

De belangrijkste wijziging zit in Annex A: de 114 controls in 14 categorieën zijn herstructureerd naar 93 controls in vier thema's (organisatorisch, mensgericht, fysiek, technologisch). Er zijn 11 nieuwe controls toegevoegd, waaronder threat intelligence, cloud security en secure coding. De clausules 4 t/m 10 zijn inhoudelijk grotendeels gelijk gebleven, met kleine redactionele aanpassingen.

Nee. Je selecteert controls op basis van je risicoanalyse. Alleen controls die relevant zijn voor de risico's binnen jouw scope moeten worden geïmplementeerd. Controls die je uitsluit, moet je wél motiveren in de Statement of Applicability (SoA). Een onderbouwde uitsluiting is nooit een probleem bij een audit.

Voor een gemiddeld MKB-bedrijf met 20 tot 100 medewerkers is 4 tot 9 maanden realistisch, afhankelijk van de huidige situatie. Bedrijven die al structureel aan informatiebeveiliging werken, kunnen sneller. Reken op gemiddeld 8-12 uur per week voor de projectleider gedurende het traject.

De norm schrijft geen specifieke frequentie voor, maar eist dat interne audits met geplande tussenpozen worden uitgevoerd. In de praktijk betekent dit minimaal één complete cyclus per jaar. Wij adviseren kwartaalaudits op deelgebieden — zo blijf je het hele jaar scherp en voorkom je een auditsprint vlak voor de externe audit.

De certificeringsaudit kost voor MKB-bedrijven tussen €3.000 en €8.000, afhankelijk van de scope en het aantal mandagen. Implementatiekosten variëren van €10.000 tot €30.000 met externe begeleiding. Jaarlijkse surveillance-audits kosten €1.500 tot €4.000.

Neem privacy- en NIS2-risico's op in je reguliere risicobeoordeling. Veel Annex A controls sluiten direct aan bij AVG-vereisten (zoals toegangsbeheer, encryptie en incidentbeheer). Documenteer de overlap en gebruik je ISMS als kapstok voor compliance met meerdere frameworks tegelijk.