Academie thuis
Blogs
10 dingen die ik wou dat ik wist: Uw ISO 27001-project op het juiste spoor beginnen
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

10 dingen die ik wou dat ik wist: Uw ISO 27001-project op het juiste spoor beginnen

ISO 27001 collectie
10 dingen die ik wou dat ik wist: Uw ISO 27001-project op het juiste spoor beginnen
NIS2-verzameling
10 dingen die ik wou dat ik wist: Uw ISO 27001-project op het juiste spoor beginnen
Cyberday blog
10 dingen die ik wou dat ik wist: Uw ISO 27001-project op het juiste spoor beginnen

Beginnen aan een traject voor ISO 27001-certificering kan overweldigend aanvoelen. Norm, vereisten, controles, auditors, certificering... Laat deze mooie woorden u niet afschrikken!

Uiteindelijk is ISO 27001 gecertificeerd worden een vrij duidelijk project. Er is zelfs een kant-en-klaar document dat alle vereisten beschrijft! Als het succesvol is, creëert u een ISMS-systeem en wordt het uitvoeren ervan een natuurlijk onderdeel van uw organisatie.

Bij Cyberday zijn we sinds 2021 ISO 27001 gecertificeerd en we hebben honderden klanten (van alle groottes en industrieën) geholpen hetzelfde doel te bereiken.

Dit heeft ons geholpen om veel lessen te verzamelen die nuttig kunnen zijn - vooral voor elke ISMS-beheerder. Hier zijn de tien belangrijkste dingen waarvan ik wilde dat ik ze had geweten voordat we begonnen.

Wat achtergrondinformatie van Cyberday Inc.

Voor mij begon de reis in de fascinerende wereld van informatiebeveiligingsraamwerken in 2017. Toen was GDPR een ding, ISO 27001 een ding... en er werden voortdurend nieuwe raamwerken gecreëerd.

We begonnen met diep te graven in de ISO 27001-norm en probeerden vooral de verschillende mogelijke dingen te begrijpen om aan de vereisten te voldoen en controles te implementeren.

Sindsdien hebben we de dekking in Cyberday uitgebreid naar 35+ beveiligingsframeworks. Wat we voortdurend zien is dat alle verschillende beveiligingsframeworks dezelfde kern delen. Ze hebben het allemaal over back-ups, bewustzijn van personeel, risicobeheer, activabeheer, enzovoort - met iets andere prioriteiten. Naleving van de verschillende raamwerken moet je niet zien als aparte dingen - maar als prioriteiten bij het opbouwen van het eigen informatiebeveiligingsbeheer van je organisatie.

Dit is wat we tegenwoordig willen doen door middel van Cyberday - u helpen bij het vereenvoudigen van goed informatiebeveiligingsbeheer en compliance, en u daarbij geruststellen.

1. ISO 27001 is een project, net als elk ander project.

Normen voor informatiebeveiliging kunnen een beetje ontmoedigend klinken. Vooral voor andere mensen in je organisatie, die je op een gegeven moment mee moet krijgen in het proces.

Toch moet u ISO 27001 benaderen als elk ander bedrijfsproject:

  • Begrijp wat er nodig is.
  • Implementeer wat nodig is.
  • Besteed het begrijpen van de standaard niet uit - daar ligt de echte waarde.

ISO 27001 heeft 22 vereisten en 93 controles en het loont de moeite om deze in uw context te begrijpen. Koop de norm en begrijp de inhoud.

Je moet hoog mikken, maar ook altijd praktisch blijven. En als je de standaard begrijpt, voorkom je overkill en zorg je ervoor dat je uiteindelijk een ISMS creëert dat relevant is en dat je wilt blijven gebruiken en verbeteren na de eerste certificering.

2. De tijdlijn is eerst een mysterie

Hoe lang duurt de certificering? Dat hangt ervan af. Voor sommigen duurt het twee weken. Anderen hebben twee jaar nodig - of komen er nooit. De meesten kunnen het in een paar maanden.

De tijdlijn hangt af van:

  • Reikwijdte van de organisatie: Hoe breed zijn jullie activiteiten?
  • Beginnen met informatiebeveiligingsvolwassenheid: Zijn er al dingen opgeschreven? Hebt u best practices gebruikt om uw maatregelen aan af te meten?
  • Middelen: Hoe duidelijk kun je het benodigde team voor het project definiëren?
  • Gereedschap: Gebruikt u een slim ISMS-systeem of doet u het op een meer handmatige manier?

Als u slim begint door eerst de norm te begrijpen en vervolgens ISO 27001 te vergelijken met uw huidige maatregelen, krijgt u een goed gevoel voor de weg die voor u ligt.

Op deze manier kun je inzicht krijgen in het benodigde werk en de tijdlijn in je organisatie.

3. Sla het definiëren van je doelen niet over

Zorg ervoor dat vooral u en uw topmanagement begrijpen waarom u ISO 27001 doet. Is het...

  • om de informatiebeveiliging te verbeteren?
  • om aan de eisen van de klant te voldoen?
  • om zich te onderscheiden van concurrenten?
  • of al het bovenstaande?

Dit zijn geen kleine doelen, maar meestal zijn dit de doelen die worden nagestreefd met ISO 27001 certificering.

Als de doelen groot zijn, moet de inspanning even groot zijn. ISO 27001 kan moeilijk worden als je verwacht dat het gemakkelijk zal zijn.

Zorg er vooral voor dat je topmanagement en het benodigde ISMS-team op één lijn zitten wat betreft de doelen, zodat je ook een realistisch beeld krijgt van de benodigde inspanning.

Je topmanagement is een belangrijke speler in het verzekeren van middelen om deze doelen te bereiken. Als dit niet gebeurt, kan het project momentum verliezen.

En onthoud: hoeveel uren u ook besteedt aan uw ISMS, andere mensen in uw organisatie zullen zich niet plotseling gaan bekommeren om ISO 27001. Ze moeten de doelen begrijpen en de relevantie zien om zich te kunnen committeren.

4. Je kunt 3 of 30 polissen hebben - het is jouw beslissing.

Bij informatiebeveiliging is documentatie essentieel, maar er is geen reden om het overweldigend te maken.

Meestal worden dingen gewoon beter geïmplementeerd als je ze duidelijk definieert en opschrijft. Dit zorgt er ook voor dat je dingen kunt auditen, beoordelen en verbeteren. Sommige belangrijke documenten (bijv. SoA, risicomanagementprocedure, ISMS-beschrijving) zijn verplichte vereisten in ISO 27001, maar dat zijn er niet veel.

Bij het documenteren van informatiebeveiliging moet je altijd de nadruk leggen op duidelijkheid en geschiktheid voor het doel in plaats van lengte.

  • Houd documentatie praktisch en onderhoudbaar.
  • Gebruik slimme indelingen (bijv. taken) - alles hoeft geen beleid van 10 pagina's te zijn.
  • Vermijd al te complexe of gekopieerde beveiligingsbeleidsregels - ze schrikken mensen af en maken het ISMS irrelevant voor je organisatie.

De ISMS-beheerder moet altijd als filter fungeren om dingen eenvoudig en relevant te houden.

5. Niemand krijgt een medaille voor perfecte controle implementatie

Ja, de meeste controles in ISO 27001 zijn relevant. De standaard is ontwikkeld door zeer slimme mensen en is door de jaren heen getest door honderdduizenden organisaties. Neem de controles dus serieus.

Maar er zijn verschillende niveaus voor het implementeren van de controles. De ISO 27001-normen bieden veel richtlijnen voor implementatie en deze moeten worden gezien als best practices. Niet alles hoeft op dag één in een tekstboek te staan en u moet risicogestuurd denken gebruiken om het juiste niveau voor u te vinden.

  • Een op risico's gebaseerde lichtgewicht implementatie kan beter verdedigbaar zijn dan het volledig uitsluiten van basiscontroles.
  • Vermijd overmatig gebruik van "Niet van toepassing" - dit moet altijd goed gemotiveerd worden.
  • Na verloop van tijd zul je vanzelf verbeteringen zien in je controle-implementatie.

Controleer of u klaar bent voor ISO 27001

Doe onze gratis beoordeling en krijg snel een beeld van de mate waarin uw organisatie voldoet aan ISO 27001 - en waar u zich vervolgens op moet richten.

Doe de beoordeling

6. De ISMS-beheerdersrol kan eenzaam aanvoelen

Omdat ISO 27001 een beetje eng kan zijn, kan de ISMS-beheerder het gevoel hebben dat hij er alleen voor staat. Andere mensen zijn misschien niet zo geïnteresseerd om zo diep in het idee van beveiligingsstandaarden te duiken - vooral als ze de relevantie vanuit het oogpunt van uw organisatie niet zien.

Er zijn echter een paar belangrijke dingen die je veel zullen helpen. Focus in het begin op goede roldefinities - dit is een cruciaal onderdeel van het opbouwen van een ISMS.

Stel duidelijke rollen, gerelateerde bevoegdheden en competenties vast, in ieder geval voor:

  • ISMS-beheerder (waarschijnlijk jij)
  • CISO (kan jij ook zijn, of in grotere organisaties een aparte rol)
  • HR / personeelsbewustzijn verantwoordelijk
  • Risicomanager
  • Technisch beveiligingsverantwoordelijke
  • Fysieke beveiliging verantwoordelijk

Deze mensen zullen je ondersteunen en met je samenwerken. En als je alleen je eigen naam vindt voor al deze rollen, is dit een boodschap voor je organisatie om waarschijnlijk meer mensen in te zetten voor sommige aspecten - in ieder geval in de nabije toekomst.

En vergeet de actieve rol van het topmanagement niet (ISO 27001 clausule 5). Ze zijn nodig om de voortgang te ondersteunen, dingen vanuit hun perspectief te bekijken, doelstellingen en bijbehorende middelen te definiëren, enzovoort.

ISO 27001 gaat over het opbouwen van een cultuur, het is niet "alleen een IT-ding". En een cultuur wordt opgebouwd door mensen. Je hebt de mensen nodig en een relevant ISMS helpt je om ze daar te krijgen.

In slimme ISMS-tools (zoals Cyberday) kun je eenvoudig rollen aanmaken en eigenaarschap toewijzen.

7. Auditors zijn ook (drukke) mensen

Als je je wilt laten certificeren, boek dan je auditor op tijd. Hun agenda's kunnen al maanden van tevoren vol raken.

Wanneer je de audit uitvoert:

  • Streef niet naar perfectie. Perfectie wordt niet verwacht.
  • Wees transparant, duidelijk en eerlijk om het maximale uit audits te halen.
  • Focus op leren en verbeteren - audits zijn het meest waardevol als ze worden gebruikt als hulpmiddelen om vooruitgang te boeken.

Een goede samenwerking tussen auditors (met interne en externe audits) kan heel waardevol zijn bij het vinden van de belangrijkste gebieden in je ISMS die verbeterd moeten worden.

8. Het ergste is onnodig werk doen

Om dit te voorkomen, moet je risicomanagementproces het schip op de juiste manier sturen.

Risicobeheer voor informatiebeveiliging is een belangrijk proces in ISO 27001. Maar u moet het op de juiste manier aanpakken:

  • Maak het niet te ingewikkeld, maar vermijd algemene risicolijsten.
  • Gebruik risicomanagement om uw organisatie de vraag te stellen - zijn we tevreden met het huidige beveiligingsniveau en waar zien we de grootste bedreigingen?
  • Geef prioriteit aan duidelijkheid in het begin en verdiep je aanpak na verloop van tijd.

Risicomanagement evolueert met je ISMS en wordt zelfs belangrijker naarmate je ISMS volwassener wordt - het is zeker geen eenmalige oefening in Excel.

9. Certificering is nog maar het begin

Het echte werk begint nadat je gecertificeerd bent.

  • Het ISMS up-to-date houden
  • Managementbeoordelingen en interne audits uitvoeren
  • Uw werknemers trainen
  • Uw informatiebeveiliging voortdurend verbeteren

Als ISO 27001 op de juiste manier wordt uitgevoerd, wordt het een belangrijk onderdeel van het DNA van uw organisatie en zorgt het voor volwassen beveiligingspraktijken en niet alleen voor het aanvinken van vakjes.

Een belangrijke tip: vergeet niet om u ook na uw eerste certificering te richten op de kernclausules van ISO 27001 (4-10). Het maakt niet uit hoe ingewikkeld anomaliedetecties of andere technologische dingen zijn die u hebt gebouwd, uw ISO 27001-auditor zal altijd de meeste aandacht besteden aan deze verplichte vereisten van de norm.

10. Een goed hulpmiddel kan je geestelijke gezondheid redden

Alles handmatig doen staat gelijk aan pijn op de lange termijn. Het wordt erg moeilijk om je ISMS te controleren of te verbeteren op basis van statische documenten.

Een moderne ISMS-tool helpt je door:

  • Verduidelijken wat nodig is
  • Samenwerking in teams ondersteunen
  • Documentatie en rapportage automatiseren
  • U helpen aantonen dat uw systeem wordt onderhouden en verbeterd

Toch is de tool slechts een hulpmiddel. Je moet er nog steeds voor zorgen dat je dingen doet die relevant zijn voor je organisatie en geschikt voor het doel.

Bonus: meer weten over ISO 27001?

Hopelijk kunnen deze lessen u helpen om op het juiste spoor te beginnen met ISO 27001.

Als je meer wilt leren vanuit verschillende perspectieven, hebben we een heleboel nuttige bronnen voor je verzameld:

ISO 27001-bronnenverzameling

Controlelijst ISO 27001 naleving en certificering

Of neem direct contact met ons op - we vertellen je graag meer over onze ervaringen en helpen je graag op weg.

Geschreven door
Aleksi Pulkkanen
23.4.2025
@
apulkkanen
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Andere vergelijkbare content van Academy

Blogs

Wat is een vCISO? De rol van een virtuele CISO begrijpen

Wat is een vCISO, wat doen ze en waarom groeit het virtuele CISO-model snel onder bedrijven en cyberbeveiligingsconsultants.
12.6.2025

Wat is een modulair cyberbeveiligingsraamwerk en waarom zijn ze essentieel voor consultants?

Modulaire cyberbeveiligingsframeworks maken compliancebeheer eenvoudiger en helpen consultants sneller te schalen, meer deals binnen te halen en terugkerende inkomsten op te bouwen.
12.6.2025

Cyberday app storing op dinsdag 10/6/2025: Uitleg en follow-up

Dit bericht bespreekt de details van het recente incident dat downtime veroorzaakte in Cyberday tijdens 10.6.2025, en de gerelateerde vroegtijdige mitigatie.
11.6.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekNieuwsbriefLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid