Wat is het verschil tussen ISO 27001:2013 en ISO 27001:2022?

De belangrijkste wijziging zit in Annex A: de 114 controls in 14 categorieën zijn herstructureerd naar 93 controls in vier thema's (organisatorisch, mensgericht, fysiek, technologisch). Er zijn 11 nieuwe controls toegevoegd, waaronder threat intelligence, cloud security en secure coding. De clausules 4 t/m 10 zijn inhoudelijk grotendeels gelijk gebleven, met kleine redactionele aanpassingen.

Moet ik alle 93 Annex A controls implementeren?

Nee. Je selecteert controls op basis van je risicoanalyse. Alleen controls die relevant zijn voor de risico's binnen jouw scope moeten worden geïmplementeerd. Controls die je uitsluit, moet je wél motiveren in de Statement of Applicability (SoA). Een onderbouwde uitsluiting is nooit een probleem bij een audit.

Hoe lang duurt een ISO 27001 implementatie voor MKB?

Voor een gemiddeld MKB bedrijf met 20 tot 100 medewerkers is 4 tot 9 maanden realistisch, afhankelijk van de huidige situatie. Bedrijven die al structureel aan informatiebeveiliging werken, kunnen sneller. Reken op gemiddeld 8 12 uur per week voor de projectleider gedurende het traject.

Hoe vaak moet ik een interne ISMS audit uitvoeren?

De norm schrijft geen specifieke frequentie voor, maar eist dat interne audits met geplande tussenpozen worden uitgevoerd. In de praktijk betekent dit minimaal één complete cyclus per jaar. Wij adviseren kwartaalaudits op deelgebieden — zo blijf je het hele jaar scherp en voorkom je een auditsprint vlak voor de externe audit.

Wat kost ISO 27001 certificering?

De certificeringsaudit kost voor MKB bedrijven tussen €3.000 en €8.000, afhankelijk van de scope en het aantal mandagen. Implementatiekosten variëren van €10.000 tot €30.000 met externe begeleiding. Jaarlijkse surveillance audits kosten €1.500 tot €4.000.

Hoe integreer ik AVG/NIS2 in mijn ISMS?

Neem privacy en NIS2 risico's op in je reguliere risicobeoordeling. Veel Annex A controls sluiten direct aan bij AVG vereisten (zoals toegangsbeheer, encryptie en incidentbeheer). Documenteer de overlap en gebruik je ISMS als kapstok voor compliance met meerdere frameworks tegelijk.

ISO 27001 Checklist 2026: Clausules & Annex A Controls

Je organisatie staat voor de uitdaging om informatiebeveiliging aantoonbaar te regelen. Cyberdreigingen worden geavanceerder, de NIS2-richtlijn stelt strengere eisen, en klanten vragen steeds vaker om een ISO 27001 certificaat. Dan heb je een ISO 27001 checklist nodig die je kunt vertrouwen — geen oppervlakkig overzicht, maar een complete lijst die precies laat zien wat de norm van jouw organisatie verwacht.

Het probleem? De meeste checklists die je online vindt zijn óf verouderd (nog gebaseerd op de 2013-versie), óf zo oppervlakkig dat je er in de praktijk weinig mee kunt. Wij zien bij onze klanten dat dit precies het moment is waarop bedrijven vastlopen.

In dit artikel geven we je een compleet overzicht van alle ISO 27001 normeisen — clausule 4 tot en met 10 én alle 93 Annex A controls uit de 2022-versie. Praktisch, actueel en direct toepasbaar. En wil je de checklist als document ontvangen? Stuur dan 'ISO 27001 CHECKLIST' via ons contactformulier en wij sturen je de complete checklist kosteloos per e-mail toe.

Wat is ISO 27001 en waarom heb je een checklist nodig?

ISO 27001 is de internationale norm voor het opzetten, implementeren en onderhouden van een Information Security Management System (ISMS). Het doel: de vertrouwelijkheid, integriteit en beschikbaarheid van informatie borgen via een systematische, risicogebaseerde aanpak.

De norm bestaat uit twee delen:

Clausules 4 tot en met 10 — de eisen voor het managementsysteem zelf (context, leiderschap, planning, ondersteuning, uitvoering, evaluatie, verbetering)
Annex A — een catalogus van 93 beveiligingsmaatregelen (controls) die je selecteert op basis van je risicoanalyse

Een checklist is onmisbaar omdat de norm behoorlijk abstract is. Zonder gestructureerd overzicht mis je gegarandeerd normeisen — in onze ervaring gemiddeld 4 tot 6 punten per audit. Eén gemiste eis kan al leiden tot een major non-conformity en het niet behalen van je certificaat.

Meer weten over alle ISO 27001 eisen? Lees dan ons uitgebreide artikel over de complete normeisen.

ISO 27001:2022 — wat is er veranderd?

De overgang van ISO 27001:2013 naar ISO/IEC 27001:2022 bracht significante wijzigingen in de Annex A controls. Dit moet je weten:

Van 114 naar 93 controls in vier thema's

De oude structuur met 14 categorieën is vervangen door vier overzichtelijke thema's:

Thema	Aantal controls	Voorbeelden
Organisatorisch	37	Beleid, rollen, leveranciersbeheer, threat intelligence
Mensgericht	8	Screening, bewustwording, thuiswerken
Fysiek	14	Fysieke beveiliging, clear desk, apparatuur
Technologisch	34	Toegangsbeheer, encryptie, logging, secure coding

Nieuwe controls in de 2022-versie

Er zijn 11 volledig nieuwe controls toegevoegd, waaronder:

Threat intelligence (A.5.7) — actief dreigingsinformatie verzamelen en analyseren
Cloud security (A.5.23) — specifieke eisen voor cloudgebruik
ICT-gereedheid voor bedrijfscontinuïteit (A.5.30) — ICT-specifieke continuïteitsplanning
Secure coding (A.8.28) — veilig programmeren als expliciete eis
Data masking (A.8.11) en DLP (A.8.12) — gegevensbescherming op dataniveau

Waar auditoren in 2026 extra op letten

In onze praktijk zien we dat auditoren dit jaar bijzonder scherp kijken naar:

Ketenbeveiliging en leveranciersbeheer — hoe bewaak je de beveiliging in je supply chain?
NIS2-integratie — hoe verhoudt je ISMS zich tot de NIS2-verplichtingen?
Meetbare KPI's — niet alleen beleid hebben, maar aantonen dat het werkt
Managementbetrokkenheid — de directie moet het ISMS actief sturen, niet alleen tekenen

Complete ISO 27001 checklist: clausules 4 t/m 10

Hieronder vind je de checklist per normclausule. Elk punt is een controlevraag die je kunt gebruiken bij implementatie, gap-analyse of interne audit.

Clausule 4: Context van de organisatie

Het fundament van je ISMS. Zonder goede contextanalyse bouw je op drijfzand.

Zijn interne en externe issues geïdentificeerd die relevant zijn voor het ISMS?
Worden deze issues periodiek herzien (minimaal jaarlijks)?
Zijn alle relevante belanghebbenden (stakeholders) geïdentificeerd?
Zijn de eisen en verwachtingen van belanghebbenden vastgesteld (inclusief wettelijke eisen zoals NIS2 en AVG)?
Is de scope van het ISMS duidelijk gedefinieerd en gedocumenteerd?
Zijn de grenzen en toepasselijkheid van het ISMS bepaald?
Is het ISMS opgezet, geïmplementeerd, onderhouden en wordt het continu verbeterd?

Clausule 5: Leiderschap

De directie moet aantoonbaar betrokken zijn — niet alleen een handtekening onder het beleid zetten.

Toont het topmanagement leiderschap en betrokkenheid bij het ISMS?
Is een informatiebeveiligingsbeleid vastgesteld dat past bij de context en strategie?
Bevat het beleid een commitment aan continue verbetering?
Is het beleid gecommuniceerd naar alle medewerkers en relevante partijen?
Zijn rollen, verantwoordelijkheden en bevoegdheden voor informatiebeveiliging toegewezen?
Is er een verantwoordelijke aangewezen die rapporteert over ISMS-prestaties aan de directie?

Wat wij vaak zien: De directeur heeft het informatiebeveiligingsbeleid goedgekeurd maar kan niet uitleggen wat de top 3 risico's zijn. Dat is een rode vlag voor elke auditor.

Clausule 6: Planning

Hier wordt je risicogebaseerde aanpak concreet.

Is een risicobeoordeling uitgevoerd die past bij de context van de organisatie?
Zijn criteria voor risicoacceptatie vastgesteld?
Zijn risico's geïdentificeerd, geanalyseerd en geëvalueerd?
Is een risicobehandelingsplan opgesteld met gekozen maatregelen?
Zijn de gekozen maatregelen afgestemd op Annex A?
Is een Statement of Applicability (SoA) opgesteld?
Zijn informatiebeveiligingsdoelstellingen vastgesteld die meetbaar zijn?
Is bepaald: wat, wie, wanneer en hoe voor elke doelstelling?

Clausule 7: Ondersteuning

Mensen, middelen, competenties en communicatie — de bouwstenen van je ISMS.

Zijn de benodigde middelen voor het ISMS bepaald en beschikbaar gesteld?
Is de competentie van medewerkers bepaald op basis van opleiding en ervaring?
Worden security awareness trainingen uitgevoerd en gedocumenteerd?
Zijn medewerkers bewust van het beveiligingsbeleid en hun verantwoordelijkheden?
Is bepaald welke interne en externe communicatie nodig is over informatiebeveiliging?
Is gedocumenteerde informatie beheerd conform de normeisen (versiebeheer, goedkeuring, distributie)?

Clausule 8: Uitvoering

De daadwerkelijke implementatie van je plannen.

Worden de geplande processen uit clausule 6 uitgevoerd en beheerst?
Wordt de risicobeoordeling periodiek herhaald (minimaal jaarlijks of bij significante wijzigingen)?
Wordt het risicobehandelingsplan uitgevoerd?
Worden de resultaten van risicobeoordeling en -behandeling gedocumenteerd en bewaard?

Clausule 9: Evaluatie van prestaties

Meten is weten — ook bij informatiebeveiliging.

Is bepaald wat gemonitord en gemeten moet worden, en met welke methoden?
Worden de resultaten van monitoring geanalyseerd en geëvalueerd?
Worden interne audits uitgevoerd volgens een gepland programma?
Zijn auditoren objectief en onpartijdig?
Worden auditresultaten gerapporteerd aan de directie?
Voert het topmanagement periodiek een management review uit?
Worden alle vereiste inputs meegenomen (auditresultaten, incidenten, KPI's, risico's)?

Clausule 10: Verbetering

Continue verbetering is het hart van elk managementsysteem.

Worden non-conformiteiten geïdentificeerd en gecorrigeerd?
Wordt een oorzaakanalyse (root cause analysis) uitgevoerd bij afwijkingen?
Worden corrigerende maatregelen genomen om herhaling te voorkomen?
Wordt de effectiviteit van corrigerende maatregelen geëvalueerd?
Wordt het ISMS continu verbeterd?

Tip: Wil je al deze controlepunten in een handig overzicht? Stuur 'ISO 27001 CHECKLIST' via ons contactformulier en je ontvangt de complete checklist kosteloos per e-mail — inclusief kolommen voor status, bewijs, eigenaar en deadline.

Annex A controls: de 93 maatregelen in vier categorieën

Naast de clausules 4 t/m 10 bevat de norm Annex A met 93 beveiligingsmaatregelen. Je hoeft niet alle controls te implementeren — alleen die relevant zijn op basis van je risicoanalyse. Maar je moet in de Statement of Applicability (SoA) wél motiveren waarom je controls uitsluit.

Organisatorische maatregelen (A.5: 37 controls)

Dit zijn de beleidsmatige en procedurele maatregelen:

Informatiebeveiligingsbeleid en -rollen
Identificatie en classificatie van informatie
Leveranciersbeheer en ketenbeveiliging
Threat intelligence (nieuw) — actief dreigingsinformatie verzamelen
Cloud security (nieuw) — eisen aan cloudservices
Incidentbeheer en business continuity
Compliance met wet- en regelgeving (AVG, NIS2)

Mensgerichte maatregelen (A.6: 8 controls)

De menselijke factor is vaak de zwakste schakel:

Screening vóór indiensttreding
Arbeidsvoorwaarden met beveiligingsclausules
Security awareness en training
Disciplinaire maatregelen
Verantwoordelijkheden bij beëindiging dienstverband
Thuiswerk- en remote access beleid

Fysieke maatregelen (A.7: 14 controls)

Fysieke beveiliging wordt regelmatig onderschat:

Beveiligde zones en toegangscontrole
Bescherming van apparatuur
Clear desk en clear screen beleid
Veilige verwijdering van opslagmedia
Onderhoud van nutsvoorzieningen

Technologische maatregelen (A.8: 34 controls)

De technische ruggengraat van je informatiebeveiliging:

Toegangsbeheer en authenticatie
Encryptie en sleutelbeheer
Logging en monitoring
Netwerkbeveiliging en -segmentatie
Penetratietesten en vulnerability management
Secure coding (nieuw) — veilig programmeren
Data masking en DLP (nieuw) — gegevensbescherming op dataniveau
Back-up en recovery
Redundantie van IT-voorzieningen

Statement of Applicability (SoA): het hart van je ISMS

De Statement of Applicability is het document dat jouw ISMS uniek maakt. Het beschrijft welke Annex A controls je hebt geselecteerd, waarom, en hoe ze zijn geïmplementeerd. Controls die je niet toepast, moet je expliciet uitsluiten met een motivatie.

Een goede SoA:

Bevat alle 93 Annex A controls met per control de status (geïmplementeerd/niet van toepassing)
Verwijst naar het risicobehandelingsplan voor de onderbouwing
Is consistent met de scope van je ISMS
Wordt periodiek herzien (minimaal jaarlijks)

Veelgemaakte fout: De SoA opstellen als een losstaand document zonder directe link naar de risicoanalyse. Auditoren willen de rode draad zien: risico → maatregel → bewijs.

Gap-analyse met de ISO 27001 checklist

Een gap-analyse is het eerste wat je doet vóórdat je begint met implementeren. Het bespaart je gemiddeld 2 tot 3 maanden doorlooptijd en voorkomt dat je werk dubbel doet.

Bij een gap-analyse loop je de volledige ISO 27001 checklist door en beoordeel je per punt:

Status	Betekenis	Actie
Groen	Volledig conform	Documenteer het bewijs
Oranje	Deels conform	Aanvullen of verbeteren
Rood	Niet conform	Nieuw opzetten

Onze aanpak bij MaasISO:

We scoren elk checklistpunt op een schaal van 0-3 (niet aanwezig, deels, grotendeels, volledig)
We prioriteren op basis van risico en impact
We maken een implementatieplan met realistische deadlines
Gemiddeld scoort een MKB-bedrijf dat nog niet eerder met ISO 27001 heeft gewerkt 25-35% conform bij de eerste gap-analyse

Wil je onze checklist gebruiken voor je eigen gap-analyse? Stuur 'ISO 27001 CHECKLIST' via het contactformulier op maasiso.nl en je ontvangt de complete checklist kosteloos per e-mail — inclusief alle clausules 4-10 en de 93 Annex A controls.

Interne audit met de ISO 27001 checklist

Een interne audit is niet hetzelfde als het afvinken van de checklist. Bij een interne audit gebruik je de checklist als basis, maar ga je dieper: je verzamelt objectief bewijs.

Zo pak je het aan:

Plan het auditprogramma — bepaal welke ISMS-onderdelen je wanneer auditet. Niet alles hoeft in één keer.
Selecteer onpartijdige auditoren — een medewerker mag niet zijn eigen proces auditen.
Gebruik de checklist per clausule — maar stel ook doorvraagvragen: "Kun je me het bewijs laten zien?"
Zoek objectief bewijs — beleidsdocumenten, logs, registraties, configuratie-screenshots.
Rapporteer bevindingen — onderscheid tussen "conform", "observatie" en "afwijking".
Volg op — elke afwijking krijgt een corrigerende maatregel met deadline en verantwoordelijke.

Auditfrequentie: De norm vereist interne audits "met geplande tussenpozen". Wij adviseren minimaal één complete auditcyclus per jaar. Bij significante wijzigingen in je IT-landschap of na beveiligingsincidenten: direct een gerichte audit.

Veelgemaakte fouten bij ISO 27001 implementatie

Na tientallen implementaties en audits zien wij steeds dezelfde fouten terugkomen:

1. Alleen focussen op Annex A en clausules 4-10 vergeten De Annex A controls zijn belangrijk, maar het managementsysteem (clausules 4-10) is de ruggengraat. Zonder goed werkend ISMS zijn je controls losstaande maatregelen zonder samenhang.

2. De SoA als eenmalig document behandelen De Statement of Applicability is een levend document. Na elke risicoherziening, organisatiewijziging of incident moet je beoordelen of de SoA nog klopt.

3. Risicobeoordeling als papieren exercitie Wij zien te vaak risicobeoordelingen die duidelijk door één persoon achter een bureau zijn ingevuld. Betrek proceseigenaren, IT en management. Een risicobeoordeling moet de werkelijkheid weerspiegelen, niet een wenssituatie.

4. Geen eigenaarschap per control Elke Annex A control moet een eigenaar hebben. Als niemand verantwoordelijk is voor leveranciersbeheer (A.5.19-A.5.22), dan gebeurt het niet structureel.

5. Security awareness onderschatten Een jaarlijkse e-learning afvinken is geen awareness-programma. Effectieve awareness is continu: phishing-simulaties, kwartaalworkshops, incidentcommunicatie. De mens is en blijft de zwakste schakel.

Praktische tips voor snelle implementatie

Start met de gap-analyse — bepaal exact waar je staat ten opzichte van de norm. Vraag onze gratis checklist aan via het contactformulier (vermeld 'ISO 27001 CHECKLIST').
Koppel controls aan bestaande processen — bouw voort op wat je al hebt. Veel organisaties hebben al maatregelen zonder dat ze het weten.
Wijs eigenaarschap toe per control — één verantwoordelijke per maatregel, niet het hele management.
Begin met je top 10 risico's — pak eerst de grootste bedreigingen aan. Perfectie komt later.
Integreer met bestaande systemen — heb je al een ISO 9001 kwaliteitssysteem? Beide normen delen de High Level Structure, dus je kunt processen hergebruiken.
Plan kwartaal-micro-audits — korte, gerichte controles zijn effectiever dan één grote jaarlijkse audit.
Maak de directie eigenaar — niet de IT-manager. ISO 27001 certificering is een bedrijfsbrede aangelegenheid.

Gratis ISO 27001 checklist aanvragen

Wij hebben een complete ISO 27001 checklist samengesteld die je direct kunt gebruiken voor je gap-analyse, interne audit of certificeringsvoorbereiding. De checklist bevat:

Alle clausules 4 t/m 10 met concrete controlevragen
Alle 93 Annex A controls volgens ISO/IEC 27001:2022
Kolommen voor status, bewijs, eigenaar en deadline
Instructies afgestemd op AVG, NIS2 en BIO
Bruikbaar als printbaar document of digitaal in te vullen

Hoe ontvang je de checklist? Heel eenvoudig: ga naar ons contactformulier en stuur een bericht met de tekst 'ISO 27001 CHECKLIST'. Wij sturen je de complete checklist kosteloos per e-mail toe. Geen downloads, geen inloggen — gewoon persoonlijk per mail.

Conclusie

Een ISO 27001 checklist is meer dan een afvinklijst — het is je routekaart naar een ISMS dat daadwerkelijk waarde toevoegt aan je organisatie. De checklist in dit artikel dekt alle normeisen uit clausule 4 tot en met 10 én de 93 Annex A controls uit de 2022-versie.

Het belangrijkste advies? Begin. Start met de gap-analyse, identificeer je grootste risico's, en werk daar stap voor stap naartoe. Een ISMS dat voor 80% staat en leeft in de organisatie is oneindig veel waardevoller dan een 100% compleet systeem dat in de la ligt.

Wil je direct aan de slag? Stuur 'ISO 27001 CHECKLIST' via ons contactformulier en ontvang de complete checklist kosteloos per e-mail. Of wil je sparren over jouw ISO 27001 traject? Neem contact op met MaasISO — wij denken graag met je mee.

ISO 27001 Checklist: Alle Clausules & Annex A Controls [2026]