ISO 27001: vormvrij, maar documentatie is nodig
ISO 27001 schrijft niet voor hoe uitgebreid je documentatie moet zijn, zolang je maar kunt aantonen dat je processen werken en worden gevolgd. In deze blog zetten we op een rij welke documenten je nodig hebt volgens ISO 27001:2022 en geven we per onderdeel praktische tips om het werkbaar te houden. Deze blog kun je ook gebruiken als ISO 27001 checklist richting een interne of externe audit.
Verplichte documentatie volgens ISO 27001:2022
Dit zijn documenten en registraties die je aantoonbaar moet hebben. Zonder deze basis kom je simpelweg niet door een audit.
Scope van het ISMS (4.3)
De scope laat zien welke delen van jouw organisatie onder het ISMS vallen. Denk aan afdelingen, processen, locaties, systemen en diensten. Dit is niet alleen belangrijk voor de auditor, maar komt ook op je certificaat te staan. Belanghebbenden kunnen zo direct zien hoe ver je ISMS reikt. Een simpel voorbeeld:
"Informatiebeveiliging gerelateerd aan het adviseren, ontwerpen, ontwikkelen, integreren, onderhouden en exploiteren van mobiele en webapplicaties voor onder meer het verwerken van persoonlijke gezondheidsinformatie en het leveren van bijbehorende externe hostingdiensten."
Zorg dat de scope duidelijk en praktisch is, zodat iedereen begrijpt wat er precies wordt meegenomen.
Informatiebeveiligingsbeleid en doelstellingen (5.2, 5.3 & 6.2)
Hier leg je vast wat informatiebeveiliging voor jouw organisatie betekent. Het beleid geeft richting. Zorg dat het management dit beleid kent en heeft goedgekeurd. Vergeet niet dat dit beleidsdocument ook gecommuniceerd moet zijn binnen de organisatie en beschikbaar moet zijn voor relevante belanghebbenden (indien van toepassing). Dit kan je ondervangen met een managementverklaring.
Daarnaast is het belangrijk dat het management periodiek informatie verkrijgt en communiceert over de prestaties van het managementsysteem. In de praktijk gebeurt dit vaak via Q-meetings, periodiek IB-overleg of managementrapportages. Deze rapportages vormen input voor de directiebeoordeling, zoals vereist in hoofdstuk 9.3 van ISO 27001. De organisatie moet aantoonbaar maken dat deze informatie daadwerkelijk door het topmanagement wordt beoordeeld en dat hieruit besluiten of verbeteracties voortkomen.
Risicoanalyse, risicobehandeling en risicomethodiek (6.1.2)
Je moet kunnen laten zien hoe je risico’s identificeert, beoordeelt en behandelt. Dit gaat niet alleen om het eindresultaat, maar ook om de methode die je gebruikt. De risicoanalyse is de kern van je hele ISMS. Alles wat je doet, moet hier logisch uit voortkomen. Wil je weten hoe je deze uitvoert? Dat lees je hier.
Verklaring van toepasselijkheid (Statement of Applicability – 6.1.3D)
In de verklaring van toepasselijkheid leg je vast welke maatregelen uit Annex A je toepast en welke niet, inclusief onderbouwing. Dit document wordt tijdens audits intensief gebruikt en moet altijd actueel zijn. Daarnaast wordt dit document vaak opgevraagd door stakeholders, zodat ze kunnen zien wat de reikwijdte is van jouw certificering.
Risicobehandelplan (6.1.3E)
Hierin staat welke maatregelen je neemt, wie verantwoordelijk is en wanneer ze zijn uitgevoerd of gepland. Niet alles hoeft af te zijn, maar je moet wel laten zien dat je bewust keuzes maakt en opvolging hebt geregeld.
Doelstellingen (6.2)
Naast het risicobehandelplan moeten ook je informatiebeveiligingsdoelstellingen als gedocumenteerde informatie beschikbaar zijn. Deze doelstellingen maken concreet wat je wilt bereiken met informatiebeveiliging en geven richting aan verbeteringen. Denk aan een doelstelling zoals: “Het aantal beveiligingsincidenten door phishing met 30 procent verminderen binnen 12 maanden” of “Alle medewerkers volgen jaarlijks een security awareness training.” Zorg dat de doelstellingen meetbaar zijn, een eigenaar hebben en periodiek worden geëvalueerd. Dat laat zien dat informatiebeveiliging geen eenmalige actie is, maar onderdeel van je bedrijfsvoering.
Bewijs van competentie (7.2D)
Je moet kunnen laten zien dat de mensen die zich bezighouden met informatiebeveiliging weten wat ze doen. Dat toon je aan met concrete documentatie. Denk aan diploma’s en certificaten, maar ook aan gevolgde trainingen, presentielijsten, e-learning resultaten of interne kennissessies.
Daarnaast mag je ervaring meenemen: notulen van voortgangs- of beoordelingsgesprekken, projectplannen waaraan iemand heeft meegewerkt of vastgelegde rollen en verantwoordelijkheden binnen het ISMS. Het gaat erom dat een auditor kan zien: deze persoon heeft aantoonbaar de kennis en ervaring die past bij zijn of haar rol.
Operationele planning en beheersing (8.1)
Je legt vast welke activiteiten je uitvoert, wie daarvoor verantwoordelijk is en hoe vaak dit gebeurt. Denk aan periodieke controles op autorisaties, zodat alleen de juiste mensen toegang hebben tot systemen. Ook jaarlijks terugkerende onderdelen zoals de directiebeoordeling en de interne audit vallen hieronder. Daarnaast kun je maandelijkse of kwartaalcontroles vastleggen, zoals een clean desk en clear screen check of een review van logbestanden. Door dit soort terugkerende taken te plannen en te documenteren, toon je aan dat je informatiebeveiliging structureel beheerst en niet pas actief wordt vlak voor een audit.
Resultaten van risicobeoordelingen van informatiebeveiliging (8.3)
Niet alleen de methode, maar ook de uitkomsten van je risicoanalyses moeten aantoonbaar zijn. Auditors willen zien dat risico’s periodiek worden herzien en niet eenmalig zijn vastgesteld.
Resultaten monitoren en meten (9.1)
Je moet laten zien hoe je meet en monitort of je informatiebeveiliging werkt. Dat kan via KPI’s, rapportages, controles of evaluaties.
Interne auditprogramma en auditresultaten (9.2)
Een intern auditprogramma is in feite je eigen auditplanning. Hierin leg je vast wanneer je interne audits uitvoert, welke onderdelen van het ISMS je beoordeelt en wie de audit uitvoert. Het doel is om periodiek te toetsen of je afspraken nog kloppen en of ze in de praktijk ook worden nageleefd.
De auditresultaten zijn de uitkomsten daarvan: bevindingen, verbeterpunten en eventuele afwijkingen. Je hoeft niet alles direct opgelost te hebben, maar wel te laten zien dat deze punten zijn vastgelegd, besproken en ingepland. Zo gebruik je de interne audit echt als voorbereiding op de externe audit, in plaats van als verplichte vinklijst.
Resultaten management review (9.3)
Het topmanagement moet aantoonbaar betrokken zijn bij het ISMS. De management review laat zien dat risico’s, prestaties, incidenten en verbeteringen op directieniveau worden besproken. Je toont aan dat je hieraan voldoet door bijvoorbeeld notulen of gespreksverslagen bij te houden waar alle onderdelen van de norm aan bod komen.
Afwijkingen en corrigerende maatregelen (10.1)
Als er iets niet goed gaat, moet je deze afwijkingen registreren en opvolgen. Het gaat niet om foutloos zijn, maar om laten zien dat je leert en verbetert. Zorg ervoor dat je ook bewijs hebt van de resultaten van corrigerende maatregelen.
Documentatie die wordt verwacht (op basis van ISO 27002/Annex A)
Deze documenten zijn niet letterlijk verplicht, maar auditors verwachten ze wel als ze relevant zijn voor jouw organisatie en risico’s.
A.5 Organisatorische beheersmaatregelen
Dit hoofdstuk draait om beleid, afspraken en verantwoordelijkheden. Auditors kijken hier vooral of je duidelijke keuzes hebt gemaakt en deze hebt vastgelegd. Dit leg je vast in het informatiebeveiligingsbeleid dat we hierboven hebben besproken (5.2).
A.5.9 Inventaris van informatie en andere gerelateerde bedrijfsmiddelen
Je maakt een inventarislijst van informatie en andere bedrijfsmiddelen (inclusief eigenaren - denk aan laptops, telefoons e.d.).
A.5.10 Aanvaardbaar gebruik van informatie en bedrijfsmiddelen
Je legt vast hoe medewerkers omgaan met informatie en middelen zoals laptops, mobiele telefoons en systemen. Denk aan een acceptabel gebruiksbeleid waarin staat wat wel en niet is toegestaan, bijvoorbeeld privégebruik, installeren van software of gebruik van externe opslag.
A.5.12 Classificeren van informatie
In dit document beschrijf je hoe informatie wordt ingedeeld op basis van vertrouwelijkheid, beschikbaarheid en integriteit. Een praktisch voorbeeld is een classificatieschema met labels zoals openbaar, intern, vertrouwelijk en strikt vertrouwelijk, inclusief wat dat betekent voor opslag en delen.
A.5.14 Overdragen van informatie
Je documenteert hoe informatie veilig wordt gedeeld, zowel intern als extern. Denk aan afspraken over versleuteling, beveiligde e-mail of portals en het vermijden van onbeveiligde kanalen. Dit kan je koppelen aan je classificatiebeleid: hoe mag ik vertrouwelijke of interne documenten distribueren?
A.5.15 Toegangsbeveiliging
Dit document beschrijft de uitgangspunten voor toegang tot systemen en informatie. Bijvoorbeeld het principe van least privilege en het gebruik van sterke authenticatie. In bijvoorbeeld een toegangsbeleid combineer je de beheersmaatregelen A5.15 en A5.18.
A.5.18 Toegangsrechten
Hier leg je vast hoe toegangsrechten worden toegekend, gewijzigd en ingetrokken. Een voorbeeld is een autorisatieprocedure bij indiensttreding, functiewijziging en uitdiensttreding.
A.5.19 Informatiebeveiliging in leveranciersrelaties
Je documenteert hoe je omgaat met leveranciers en welke beveiligingseisen je stelt. Denk aan een leveranciersbeleid of standaard beveiligingsclausules in contracten.
A.5.23 Informatiebeveiliging bij gebruik van clouddiensten
In bijvoorbeeld een beveiligingsbeleid voor clouddiensten staat hoe je cloudleveranciers beoordeelt en beheert. Bijvoorbeeld afspraken over datalocatie, back-ups en exit-strategieën.
A.5.24/A.5.26 Plannen, voorbereiden en reageren op informatiebeveiligingsincidenten
Je beschrijft hoe incidenten worden herkend, gemeld, afgehandeld en geëvalueerd. Dit is vaak een incident response procedure met een incidentregister als bewijslast.
A.5.31 Wettelijke, statutaire, regelgevende en contractuele eisen
Je legt vast hoe je wet- en regelgeving in kaart brengt en naleeft. Denk aan een overzicht van relevante wetgeving zoals AVG, NIS2 en contractuele verplichtingen.
A.5.32 Intellectuele-eigendomsrechten
Hier beschrijf je hoe je omgaat met auteursrechten, licenties en eigendom van informatie. Bijvoorbeeld afspraken over softwarelicenties en gebruik van content.
A.5.34 Privacy en bescherming van persoonsgegevens
Dit document beschrijft hoe persoonsgegevens worden beschermd. Denk aan een privacybeleid, datalekprocedure en koppeling met AVG-verplichtingen (zoals het opstellen van een register van verwerkingen).
A.5.37 Gedocumenteerde bedieningsprocedures
Hier leg je vast hoe kritieke processen (met betrekking tot informatiebeveiliging) worden uitgevoerd. Dit kunnen werkinstructies zijn voor beheer, monitoring of wijzigingsbeheer.
A.6 Beheersmaatregelen voor mensen
Dit hoofdstuk richt zich op bewustwording, verantwoordelijk gedrag en het borgen van informatiebeveiliging gedurende de gehele arbeidsrelatie: van instroom tot uitstroom van medewerkers.
A.6.1 Screening
Je moet vastleggen hoe screening van medewerkers plaatsvindt voorafgaand aan indiensttreding. Wanneer screeningonderdelen worden toegepast, zoals het opvragen van een Verklaring Omtrent het Gedrag (VOG), moet de organisatie dit ook aantoonbaar kunnen maken, bijvoorbeeld door vastgelegde screeningscriteria en bewijs dat de screening daadwerkelijk is uitgevoerd.
A.6.2 Arbeidsvoorwaarden
In arbeidsovereenkomsten of vergelijkbare afspraken moet expliciet aandacht zijn voor verantwoordelijkheden rondom informatiebeveiliging. Hiermee wordt geborgd dat medewerkers zich bewust zijn van hun verplichtingen met betrekking tot vertrouwelijkheid en veilig omgaan met informatie.
A.6.4 Disciplinaire procedure
De organisatie moet beschikken over een gedocumenteerde disciplinaire procedure voor overtredingen van informatiebeveiligingsbeleid. Deze afspraken zijn vaak vastgelegd in een gedragscode, personeelshandboek of arbeidscontract en maken duidelijk welke consequenties kunnen volgen bij niet-naleving.
A.6.5 Verantwoordelijkheden na beëindiging of wijziging van dienstverband
Bij uitdiensttreding of functiewijziging moet aantoonbaar worden gemaakt dat medewerkers zijn gewezen op hun blijvende verantwoordelijkheden ten aanzien van informatiebeveiliging. Dit kan bijvoorbeeld blijken uit een ontslagbrief, exitverklaring of andere vastgelegde communicatie.
A.6.6 Vertrouwelijkheids- en geheimhoudingsovereenkomsten
De organisatie moet vaststellen welke vertrouwelijkheids- of geheimhoudingsovereenkomsten nodig zijn om informatie te beschermen. Deze overeenkomsten moeten worden gedocumenteerd, ondertekend door medewerkers en andere relevante belanghebbenden en periodiek worden beoordeeld op actualiteit en passendheid. In de praktijk gaat het hierbij om geheimhoudingsclausules in arbeidsovereenkomsten, aparte NDA’s of contractuele afspraken met derden.
A.6.7 Werken op afstand
De organisatie documenteert hoe medewerkers veilig thuis of op externe locaties werken. Hierbij worden onder andere afspraken vastgelegd over het gebruik van VPN, privéapparatuur en fysieke beveiliging van werkplekken.
A.7 Fysieke beheersmaatregelen
Hier draait het om bescherming van fysieke middelen en werkplekken.
A.7.7 Clear desk en clear screen
Je legt vast hoe werkplekken worden achtergelaten, bijvoorbeeld in een clear desk and clear screen-beleid. Denk aan richtlijnen voor het opruimen van documenten en het vergrendelen van schermen.
A.7.10 Opslagmedia
Je beschrijft hoe fysieke en digitale opslagmedia worden beheerd en afgevoerd. Bijvoorbeeld procedures voor vernietiging van harde schijven of USB-sticks.
A.8 Technologische beheersmaatregelen
Dit hoofdstuk gaat over technische maatregelen en IT-beveiliging.
A.8.9 Configuratiebeheer
In bijvoorbeeld een configuratiebeheerbeleid leg je vast hoe systemen worden ingericht en beheerd. Een praktisch voorbeeld is een baseline configuratie voor servers en netwerken.
A.8.10 Wissen van informatie
Je beschrijft hoe informatie veilig wordt verwijderd. Bijvoorbeeld procedures voor het wissen van data bij afschrijving van apparatuur.
A.8.13 Back-up van informatie
Je documenteert hoe back-ups worden gemaakt, getest en hersteld. Auditors willen hier vaak bewijs zien van back-upschema’s en testresultaten.
A.8.15 Logging/A.8.16 Monitoren van activiteiten
Je legt vast welke gebeurtenissen worden gelogd en hoe logs worden beoordeeld. Bijvoorbeeld afspraken over bewaartermijnen en monitoring.
A.8.24 Gebruik van cryptografie
Je stelt bijvoorbeeld een cryptografiebeleid op, waarin staat hoe en wanneer versleuteling wordt toegepast. Denk aan encryptie van laptops, back-ups en dataverkeer.
A.8.25 Beveiligen tijdens de ontwikkelcyclus
Als je ontwikkelt, beschrijf je hoe beveiliging wordt meegenomen in ontwerp, bouw en testen. Zo beschrijf je bijvoorbeeld code-reviews en beveiligingstests in een softwareontwikkelingsbeleid.
A.8.27 Veilige systeemarchitectuur en technische uitgangspunten
Je documenteert de uitgangspunten voor veilige IT-architectuur. Denk aan netwerksegmentatie, redundantie en minimale blootstelling aan internet.
Tip voor alle ISO 27001 documentatie
ISO 27001 vraagt niet om zoveel mogelijk documenten, maar om documentatie die klopt met je organisatie en risico’s. Alles wat je opschrijft, moet je kunnen waarmaken. En alles wat je doet, moet je kunnen aantonen.
Twijfel je of jouw documentatie voldoende is voor certificering? Dan is een ISO 27001 check of interne audit vaak de snelste manier om inzicht te krijgen. Daarmee zie je direct waar je al goed zit en waar je nog stappen kunt zetten richting een certificering zoals ISO 27001. Plan hieronder een vrijblijvend, kosteloos adviesgesprek in.
