Informatiebeveiliging

Veelgemaakte fouten bij een ISO 27001 implementatie

Veelgemaakte fouten bij een ISO 27001 implementatie
Een ISO 27001 implementatie hoeft niet complex te zijn, maar we zien dat organisaties vaak in dezelfde valkuilen stappen. Dat is zonde, want met een goed informatiebeveiligingsplan, een duidelijke risicoanalyse gericht op informatiebeveiliging en effectief onderhoud kun je het jezelf juist makkelijker maken. Hieronder vind je de veelgemaakte, en steeds weer terugkerende, fouten die wij tegenkomen tijdens de implementatie van ISO 27001 bij onze klanten, inclusief hoe je ze voorkomt.
Dit artikel is voor het laatst bijgewerkt op
17/11/2025

1. Templates klakkeloos overnemen

Het lijkt efficiënt: je neemt een template precies over, zodat je documentatie in orde is. Maar zo ontstaat precies het probleem dat ISO 27001 wil voorkomen. Je krijgt een overdaad aan documentatie die helemaal niet aansluit op jouw werkwijze. Voor auditors wordt het dan een papieren tijger, en daarop word je afgerekend tijdens een "audit informatiebeveiliging" of "audit ISO 27001".

 

ISO vraagt niet om een map vol documenten, maar om beleid dat je daadwerkelijk uitvoert. Zeg wat je doet en doe wat je zegt. En dat in de context van jouw organisatie. Meer niet.

 

2. Te veel naar de norm kijken, te weinig zelf nadenken

ISO 27001 is geen dichtgetimmerde wet. De norm laat bewust ruimte om een systeem in te richten op een manier die past bij jouw organisatie. Toch zien we vaak dat teams “vastlopen” doordat ze de norm te letterlijk nemen. Maar informatiebeveiliging (ISO 27001) draait juist om keuzes maken: wat werkt voor jouw processen, mensen en risico’s?

 

Bijvoorbeeld: een team wil netjes voldoen aan ISO 27001 en leest de norm alsof het een strakke handleiding is. Ze zien dat beveiligingsincidenten geregistreerd moeten worden en bouwen een enorm, strak gedefinieerd Excel-proces dat in theorie perfect klopt. In de praktijk meldt niemand nog iets, omdat het te veel tijd kost.

 

Zodra ze teruggaan naar de kern – snel en eenvoudig zicht krijgen op incidenten – blijkt een simpel meldformulier in het bestaande ticketsysteem genoeg. Precies binnen de ruimte die de norm biedt, en veel effectiever voor hun eigen processen en risico’s.

 

Een Security Officer inhuren (of een Adviseur Informatiebeveiliging) kan helpen om die balans te vinden tussen vrijheid en structuur.

 

3. Denken dat ISO 27001 voorschrijft welke maatregelen je moet nemen

De norm schrijft niet voor dat je specifieke tools, badges, controls of systemen moet gebruiken. Je bepaalt dat zelf, op basis van risico’s. Maar als je wél opschrijft dat je badges gebruikt, dan moet je ze ook echt gebruiken. Het gaat om betrouwbaarheid, niet om een checklist.

 

Maar stel: je werkt in een kantoor waar nauwelijks gevoelige data rondgaat. Je hebt gewoon een helder sleutelplan en iedereen kan moeiteloos thuiswerken. Dan is een badgesysteem geen logische stap, hoe vaak teams ook denken “dat ISO dat vast wil”. De norm schrijft helemaal niet voor dat jij met badges moet werken; ze vraagt alleen dat je fysieke beveiliging vormgeeft op basis van jouw eigen situatie. In een organisatie met duizend medewerkers ziet die context er wél anders uit. Dan wil je precies weten wie wanneer binnen is geweest en past een elektronisch toegangs­systeem beter bij je risico’s en schaal.

 

4. ISO als bijzaak behandelen

De ISO 27001 implementatie “even neerleggen” bij iemand die wat tijd over heeft, is een recept voor vertraging. Informatiebeveiliging vraagt prioriteit – binnen alle onderdelen van jouw organisatie, niet alleen bij IT. Anders blijft het liggen, ontstaat er te weinig draagvlak en komt de bewustwording onder medewerkers nooit van de grond. En wanneer de audit nadert, begint iedereen ineens te rennen. Dat levert stress op, maar vooral: lage betrokkenheid van het management. Tijdens een audit is dat meteen zichtbaar.

 

5. Alles perfect willen doen

Veel organisaties denken dat hun ISMS in één keer perfect moet zijn voordat een auditor langskomt. Dat hoeft écht niet. ISO 27001 werkt met continue verbetering: je mag met een zes starten en daar ieder jaar op doorbouwen. Sterker nog: een auditor die nooit verbetermogelijkheden ziet, doet zijn werk niet goed. Een organisatie verandert continu, dus je informatiebeveiliging moet mee veranderen. Verbeterpunten zijn normaal, geen misdaad.

 

6. Het ISMS laten verstoffen na certificering

Het behalen van de certificering voelt als een eindstreep, maar het is juist het startpunt. Zonder onderhoud, leer- en verbetercycli en regelmatige interne audits zakt de effectiviteit van je systeem snel weg. Daarom is periodiek onderhoud belangrijk, of je nu zelf een Security Officer hebt of tijdelijk een Adviseur Informatiebeveiliging inzet om het systeem actueel te houden.

 

7. Denken dat ISO 27001 alleen IT is

Informatiebeveiliging raakt de hele organisatie. HR, inkoop, juridische zaken, privacy, leiderschap, fysieke beveiliging en facility management spelen een rol. Als medewerkers het “onzin” vinden, ontbreekt bewustwording en neemt het risico op menselijke fouten toe. En dat is precies waar de meeste beveiligingsincidenten beginnen.

 

Het ISO 27001-vraagstuk een-op-een bij IT parkeren gaat simpelweg mis. Je hebt iemand nodig die de regie pakt over alle onderdelen van informatiebeveiliging. Een Security Officer dus, die niet alles alleen doet, maar schakelt met het management en andere verantwoordelijken. Dat die persoon uit de IT-hoek komt, is helemaal niet gek, maar het werk gaat veel verder dan alleen technologie.

 

8. De risicobeoordeling onderschatten

De risicobeoordeling is het hart van ISO 27001. Toch wordt deze stap vaak te snel afgeraffeld. Teams gaan direct aan de slag met beheersmaatregelen en werken die één voor één af. Maar zo werkt het niet. Een effectieve "ISO 27001 risicoanalyse" bepaalt welke maatregelen voor jouw organisatie relevant zijn. Pas dan kun je bewuste keuzes maken en kun je tijdens een NIS2 audit, ISO-audit of interne audit goed uitleggen waarom je doet wat je doet.

 

9. Geen plan voor bewijslast

ISO draait om aantoonbaarheid. Dat betekent dat je vooraf moet nadenken over hoe je informatie gaat verzamelen. Bewijslast achteraf bedenken leidt bijna altijd tot gaten in je systeem. Bij maatregelen, doelstellingen en meet- en monitoractiviteiten moet je dus meteen bepalen: hoe tonen we dit aan?

 

Het liefst bouw je voort op wat er al loopt. Kijk dus kritisch naar je bestaande processen en verzamel daar de bewijslast en controles die je nodig hebt, als je dat nog niet doet. Dat houdt het systeem nuttig voor je eigen organisatie en voorkomt dat je extra controles gaat verzinnen “voor de ISO”, alleen maar om ergens een vinkje te kunnen zetten.

 

10. Een slecht afgebakende scope

Een onduidelijke scope zorgt voor verwarring. Welke processen vallen er precies onder? Welke systemen? Welke locaties? Zonder duidelijke afbakening wordt het moeilijk om een consistent systeem op te zetten en kun je in de audit tegen lastige verrassingen aanlopen.

 

Geen checklist

De implementatie van ISO 27001 is geen vinklijst en geen IT-feestje. Het is een organisatiebreed proces dat begint bij een goed informatiebeveiligingsplan, een gedegen risicoanalyse en consistent onderhoud. Met de juiste begeleiding voorkom je de valkuilen die veel organisaties buitenspel zetten.

 

Een checklist kan echter wel helpen, omdat de norm een paar vaste onderdelen verplicht stelt, zoals de directiebeoordeling en de interne audit. Onze checklist zorgt er simpelweg voor dat je die verplichte punten niet over het hoofd ziet. Die checklist download je hier.

 

Wil je verder weten hoe wij je kunnen helpen? Plan hieronder een vrijblijvend en kosteloos adviesgesprek in.

Kilian Houthuijzen
Commercieel manager & partner
085 773 6005
Naar nieuwsoverzicht

Gerelateerde artikelen

Nieuws
Fendix gaat van start met NIS2 Quality Mark implementaties
lees meer
Nieuws
Nieuwe samenwerking vanwege de NIS2: Fendix x Samen Digitaal Veilig
lees meer
KAM Certificeringen is nu Fendix

Wij zijn partner van

SGS
BSI
TUV
DEKRA
KIWA
Brand Compliance
LRQA
DNV
Digitrust