Wat is Annex A van ISO 27001?

Annex A is een bijlage bij de ISO 27001-norm met een complete lijst beheersmaatregelen (in het Engels: controls). Het zijn de praktische maatregelen waarmee je informatie beveiligt: alles van een beleid op papier tot het inrichten van encryptie en het screenen van nieuwe medewerkers.

Sinds de norm-update in 2022 staan er 93 controls in Annex A, verdeeld over vier thema's. In de oude norm (uit 2013) waren het er nog 114 in veertien hoofdstukken. Die zijn samengevoegd, ingekort en op een paar punten aangevuld.

Goed om te weten: Annex A is een lijstje. De uitleg per control, met implementatieadvies, staat in een aparte norm: ISO 27002. Annex A vertelt je wat, ISO 27002 vertelt je hoe. Lees hier meer over de verschillen.

ISO 27001 eisen: de vier thema's in Annex A

De 93 controls zijn gegroepeerd in vier thema's. Hier volgt per thema een korte uitleg met een paar voorbeelden die je in de praktijk tegenkomt.

A.5 Organisatorische maatregelen (37 controls)

‍

Hier draait alles om afspraken, beleid en verantwoordelijkheden. Dit is veruit het grootste thema en de basis van je informatiebeveiliging.

‍

Voorbeelden uit de praktijk:

• A.5.1 Informatiebeveiligingsbeleid — je hebt een door de directie vastgesteld document waarin staat hoe jullie met informatie omgaan.
• A.5.10 Acceptabel gebruik (Acceptable Use Policy) — wat mag een medewerker wel en niet doen met een bedrijfslaptop, bedrijfsmail of bedrijfsdata.
• A.5.19 Beveiliging in leveranciersrelaties — je weet welke leveranciers toegang hebben tot wat, en hebt afspraken gemaakt over hoe zij die data beveiligen.
• A.5.30 ICT-gereedheid voor bedrijfscontinuïteit (nieuw in 2022) — je hebt vastgelegd hoe je IT-systemen weer overeind krijgt na een grote storing of cyberaanval.
• A.5.34 Privacy en bescherming van persoonsgegevens — je legt vast hoe je persoonsgegevens beschermt, in lijn met de AVG.

‍

A.6 Mensgerichte maatregelen (8 controls)

‍

Dit thema gaat over jouw mensen: hoe je ze selecteert, traint en wat je met ze afspreekt rondom informatie.

Voorbeelden:

• A.6.1 Screening — je controleert de achtergrond van nieuwe medewerkers voordat ze gevoelige toegang krijgen.
• A.6.3 Bewustzijn en training — medewerkers krijgen periodiek security awareness-trainingen, zodat ze bijvoorbeeld een phishingmail herkennen.
• A.6.7 Werken op afstand (nieuw in 2022) — duidelijke afspraken over bijvoorbeeld VPN, privéapparaten en het beveiligen van een thuiswerkplek.

‍

A.7 Fysieke maatregelen (14 controls)

‍

Alles wat te maken heeft met de fysieke beveiliging van gebouwen, werkplekken en apparatuur.

Voorbeelden:

• A.7.2 Fysieke toegangsbeheersing — alleen geautoriseerde mensen komen in een serverruimte of archief.
• A.7.7 Clear desk en clear screen — vertrouwelijke documenten liggen niet open op het bureau, schermen vergrendelen automatisch.
• A.7.10 Opslagmedia — USB-sticks en harde schijven worden veilig vernietigd voordat ze worden weggegooid.

A.8 Technologische maatregelen (34 controls)

De meest technische thema's, zoals encryptie, logging, malware-bescherming en secure development.

Voorbeelden:

• A.8.5 Authenticatie — gebruikersnamen, sterke wachtwoorden en steeds vaker multi-factor authenticatie.
• A.8.7 Bescherming tegen malware — antivirus, e-mailfiltering, browserbescherming.
• A.8.12 Voorkomen van datalekken (nieuw in 2022) — technische maatregelen die actief detecteren wanneer data het bedrijf dreigt te verlaten.
• A.8.28 Veilig coderen (nieuw in 2022) — als je zelf software ontwikkelt: ingebouwde controles op kwetsbaarheden tijdens de bouw.

‍

De 11 nieuwe controls in ISO 27001:2022

Klanten die zich voorbereiden op hun eerste audit volgens de 2022-norm willen vooral weten: welke controls zijn nieuw, en moeten ze daar iets mee? De update van 2022 voegde elf nieuwe controls toe. Hieronder de complete lijst:

• A.5.7 Inlichtingen over dreigingen (threat intelligence — actief in de gaten houden welke cyberaanvallen er op jouw soort organisatie zijn)
• A.5.23 Informatiebeveiliging bij gebruik van clouddiensten
• A.5.30 ICT-gereedheid voor bedrijfscontinuïteit
• A.7.4 Monitoren van fysieke beveiliging
• A.8.9 Configuratiebeheer
• A.8.10 Wissen van informatie
• A.8.11 Maskeren van gegevens
• A.8.12 Voorkomen van datalekken
• A.8.16 Monitoren van activiteiten
• A.8.23 Webfilters
• A.8.28 Veilig coderen

Deze elf reflecteren de werkelijkheid van 2022 en verder: cloud is overal, datalekken zijn meetbaar, en als organisatie kun je niet meer wegkijken bij wat er op je netwerk gebeurt.

ISO 27001 controls: moet je ze allemaal implementeren?

Nee. En dat is precies waar veel ISO 27001-trajecten ontsporen. De norm vraagt dat je elke control beoordeelt vanuit je risicoanalyse: opnemen mét implementatie, of gemotiveerd uitsluiten. Dat leg je vast in een verplicht document: de Verklaring van Toepasselijkheid (Statement of Applicability, kortweg SoA).

In de SoA staat per control:

• Geldt deze voor onze organisatie?
• Zo ja: hoe is hij geïmplementeerd?
• Zo nee: waarom niet (bijvoorbeeld omdat we geen eigen software ontwikkelen, dus A.8.28 valt buiten scope)?

De auditor kijkt naar deze SoA tijdens de certificeringsaudit en stelt kritische vragen. Niet bij elke control die je wel implementeert, maar juist bij de controls die je niet implementeert. Een degelijke onderbouwing maakt het verschil tussen een vlotte audit en een lijstje bevindingen.

Tip uit de praktijk: zie de SoA niet als afvinklijst maar als communicatie-document. Hij vertelt klanten, auditors en je eigen directie waarom je informatiebeveiliging zo hebt ingericht. Dat is uiteindelijk waar de norm naar zoekt.

Hoe kies je de juiste set voor jouw organisatie?

De selectie van controls is geen kwestie van smaak. Hij volgt uit twee andere onderdelen van je ISMS (Information Security Management System): de risicoanalyse en de Verklaring van Toepasselijkheid. Een goede risicoanalyse wijst zelfsturend uit welke controls je nodig hebt. Vanuit daar bouw je de SoA op met onderbouwing per keuze, en een korte gap-analyse vooraf laat zien waar je al staat en waar de grootste gaten zitten.

Veelgestelde vragen

Wat is het verschil tussen Annex A en ISO 27002?

Annex A is een lijst van 93 controls in de norm zelf. ISO 27002 is een aparte standaard die per control uitlegt wat hij betekent en hoe je hem kunt implementeren. Voor de audit is Annex A bindend; ISO 27002 is je werkboek.

Moet ik bij elke certificering 93 controls aantonen?

Alleen die je in je SoA als "van toepassing" hebt gemerkt. De auditor toetst je gekozen set aan de praktijk.

Wat als ik een control "niet van toepassing" verklaar?

Dat mag, mits je het kunt onderbouwen vanuit je risicoanalyse. Een goede uitleg ("we ontwikkelen geen eigen software, dus A.8.28 is niet relevant") is voldoende. Geen uitleg is een auditbevinding.

Wat als ik privacy ook strategisch wil meenemen?

ISO 27701 is de privacy-extensie van ISO 27001: een aparte certificering die voortbouwt op je bestaande ISMS. Geschikt als je naast informatiebeveiliging ook AVG-naleving formeel wilt aantonen.

Hoe verloopt de audit zelf?

In twee stadia. Stage 1 is een documentatie-check: heb je alle benodigde documenten op orde? Stage 2 is de praktijktoets: doe je in de praktijk ook wat in de documenten staat? Bij een hercertificering (na drie jaar) wordt het vaak één integrale audit.

Komen er na 2022 nog wijzigingen in Annex A?

De volgende norm-update is nog niet aangekondigd. Tussentijdse wijzigingen lopen via ISO 27002 of via technische rapportages.

Klaar om jouw SoA scherp te zetten?

93 controls is overzichtelijker dan het lijkt, zolang je weet welke voor jou gelden en waarom. In een GAP-analyse van een dag scannen we met je welke controls écht relevant zijn voor jouw scope en risico's, en welke onderbouwing een auditor verwacht. Zo weet je waar je staat en wat de prioriteiten zijn.

Meer weten?
‍

• Lees meer over ISO 27001
• ‍Plan een vrijblijvend en kosteloos adviesgesprek in.

‍