ISO 27001 eisen: complete gids voor informatiebeveiliging (2026)

De belangrijkste ISO 27001 eisen staan in clausules 4-10 van de norm. Deze omvatten het vaststellen van de context en scope (clausule 4), leiderschap en beleid (clausule 5), risicobeoordeling en planning (clausule 6), middelen en competenties (clausule 7), operationele uitvoering (clausule 8), monitoring en interne audits (clausule 9) en continue verbetering (clausule 10). Daarnaast bevat Annex A 93 beheersmaatregelen die je selectief implementeert op basis van je risicobeoordeling.

ISO 27001:2022 Annex A bevat 93 beheersmaatregelen (controls), verdeeld over vier categorieën: organisatorisch (37), personeel (8), fysiek (14) en technologisch (34). Je hoeft niet alle 93 maatregelen te implementeren — in de Statement of Applicability (SoA) onderbouw je welke controls relevant zijn voor jouw organisatie.

ISO 27001 bevat de normeisen (shall-statements) waaraan je moet voldoen voor certificering. ISO 27002 is een richtlijn die per beheersmaatregel gedetailleerde implementatieadviezen geeft. Je wordt gecertificeerd tegen ISO 27001, maar ISO 27002 dient als praktische handleiding bij de implementatie van je Annex A maatregelen.

De gemiddelde doorlooptijd van nulmeting tot ISO 27001 certificaat is 3-6 maanden voor een MKB-organisatie met 10-50 medewerkers. De risicobeoordeling is doorgaans het meest tijdrovende onderdeel (2-4 weken). De exacte doorlooptijd hangt af van de complexiteit van je organisatie, de huidige beveiligingsvolwassenheid en beschikbare resources.

ISO 27001 certificering is niet formeel verplicht onder NIS2, maar wordt door toezichthouders gezien als een sterke basis voor NIS2-compliance. De norm dekt een groot deel van de cybersecurity-eisen die NIS2 stelt af. Organisaties in sectoren als zorg, energie, transport en digitale dienstverlening die onder NIS2 vallen, hebben hierdoor een voorsprong wanneer ze ISO 27001 gecertificeerd zijn.