Wat is ISO 27001?
ISO 27001 is de internationale standaard voor een Information Security Management System (ISMS). De standaard beschrijft hoe een organisatie haar informatiebeveiliging systematisch beheert — van risicoanalyse tot controle, monitoring en continue verbetering.
De standaard bestaat uit twee delen: het hoofddocument (clausules 4-10) dat de eisen aan het managementsysteem beschrijft, en Annex A met 93 concrete beveiligingscontroles verdeeld over 4 thema's: Organisatorisch (A.5), Personeel (A.6), Fysiek (A.7) en Technologisch (A.8).
Voor wie is ISO 27001 relevant?
Voor elke organisatie die met gevoelige informatie werkt — en dat zijn er meer dan u denkt. In de praktijk vragen steeds meer enterprise-klanten actief om ISO 27001 in hun leveranciersassessments. Voor SaaS-bedrijven, IT-dienstverleners en MSP's is het inmiddels vrijwel een instaprandvoorwaarde.
Wat kost ISO 27001-certificering?
De kosten splitsen op in drie delen:
- Voorbereiding (gap-analyse, beleidspakket, implementatie): vanaf €795 met Annex27 tot €15.000+ bij traditionele consultancy.
- Externe certificeringsaudit: €5.000 – €12.000 voor een MKB-organisatie, afhankelijk van scope en aantal medewerkers. Wordt uitgevoerd door een geaccrediteerde instelling (BSI, DNV, TÜV Nord, Kiwa).
- Onderhoud: jaarlijkse surveillance audits (€2.000 – €4.000) en hercertificering elke 3 jaar.
Hoe lang duurt certificering?
Voor een MKB met 10-50 medewerkers is een realistisch tijdpad 3-6 maanden:
- Gap-analyse: 1-2 dagen werk, 24-48 uur rapport
- Beleidspakket implementeren: 4-8 weken
- Pre-audit Review: 1 week
- Externe certificeringsaudit: 2-4 weken doorlooptijd
Verschil met NIS2
ISO 27001 is een vrijwillige certificering. NIS2 is een wettelijke verplichting (EU-richtlijn) met 10 verplichte maatregelen plus bestuursaansprakelijkheid. Wanneer u onder NIS2 valt, dekt ISO 27001 het grootste deel van de technische maatregelen — maar niet bestuursverantwoordelijkheid en de meldingsplicht bij CSIRT. Vaak loont het om beide trajecten te combineren.