NORM ISO/IEC 27001:2022 - ISMS

Bereid uw ISO 27001-certificering
voor zonder er 6 maanden aan te verliezen

ISO/IEC 27001 is de internationale referentienorm voor het Information Security Management System (ISMS). Steeds vaker geeist door opdrachtgevers, in aanbestedingen, door cyberverzekeraars of voor toegang tot bepaalde exportmarkten. SYAGA begeleidt u van de gap assessment tot de voorbereiding van de certificeringsaudit.

93
Maatregelen Annex A (ed. 2022)
4
Beveiligingsthema's
7
Managementclausules (4 tot 10)
1
Verklaring van Toepasselijkheid opgeleverd

De context

ISO 27001 is geen algemene wettelijke verplichting, maar wordt een onontkoombare commerciele vereiste

📋

Een vrijwillige certificering, maar steeds vaker gevraagd

ISO/IEC 27001 blijft een vrijwillig traject. Ze wordt echter steeds vaker geeist in aanbestedingen, door grote opdrachtgevers, door bepaalde cyberverzekeraars, of als voorwaarde voor toegang tot bepaalde exportmarkten.

🔒

Weinig MKB-bedrijven hebben hun ISMS geformaliseerd

De meerderheid van MKB- en middenbedrijven heeft geen gestructureerd Information Security Management System opgezet. Het onderwerp wordt ervaren als complex, technisch en langdurig.

💰

Lange en dure begeleidingstrajecten

Klassieke certificeringsopdrachten belasten uw teams gedurende meerdere maanden en vertegenwoordigen een aanzienlijke investering, vaak buiten bereik van een MKB-bedrijf.

Uw IT-teams zijn al overbelast

De CIO of de security officer maandenlang inzetten om een ISMS op te bouwen is niet haalbaar in een MKB-bedrijf waar iedereen al meerdere petten draagt.

De ISO27001-Express-methode

Een gestructureerd traject in 3 fasen, gebaseerd op dezelfde methodologie die SYAGA al beproefde met PSSI-Express

1
Fase 1 - Gap Assessment

Beoordeling van de 93 maatregelen van Annex A

Kadergesprek met de directie en de IT-verantwoordelijke, gevolgd door een systematische beoordeling van elk van de 93 beveiligingsmaatregelen van Annex A (editie 2022), verdeeld over de 4 thema's organisatorisch, menselijk, fysiek en technologisch. Oplevering van een feitelijk verschillenrapport.

2
Fase 2 - Documentatie van het ISMS

Beveiligingsbeleid, VvT en remediatieplan

Opstelling of update van het beveiligingsbeleid (ISMS), van de Verklaring van Toepasselijkheid (VvT) die de toepassing of uitsluiting van elk van de 93 maatregelen onderbouwt, en van een geprioriteerd remediatieplan om de in fase 1 geidentificeerde verschillen te dichten.

3
Fase 3 - Begeleiding naar certificering

Voorbereiding van de audit door de certificerende instelling

Opvolging van de uitvoering van het remediatieplan, documentaire review, en voorbereiding van uw team op de audit uitgevoerd door een onafhankelijke geaccrediteerde certificerende instelling. SYAGA bereidt u voor op de audit; de certificering zelf wordt afgegeven door deze externe instelling.

Wat u ontvangt

De structurerende documenten van het ISO 27001-certificeringsdossier

📊

Gap Assessment-rapport

Feitelijke beoordeling van uw compliancegraad ten opzichte van de norm.

  • Beoordeling van de 93 maatregelen Annex A
  • Status per maatregel: conform / gedeeltelijk / niet conform
  • Samenvatting per thema (organisatorisch, menselijk, fysiek, technologisch)
  • Feitelijke bevindingen, zonder waardeoordeel
🔐

Verklaring van Toepasselijkheid (VvT)

Centraal normatief document van het ISO 27001-certificeringsdossier.

  • Status toepasselijk/uitgesloten voor elk van de 93 maatregelen
  • Onderbouwing van elke uitsluiting
  • Verwijzing naar de ISMS-documenten
  • Klaar om aan de certificerende instelling te presenteren
📝

Beveiligingsbeleid (ISMS)

Het governance-document vereist door de clausules 4 tot 10 van de norm.

  • Scope en context van het ISMS
  • Beveiligingsrollen en -verantwoordelijkheden
  • Risicobeheerproces
  • Cyclus van continue verbetering (PDCA)
🎯

Geprioriteerd remediatieplan

De routekaart om de geidentificeerde verschillen te dichten.

  • Acties gerangschikt op prioriteit
  • Organisatorische en technische maatregelen
  • Voortgangsbewaking
  • Geleidelijke voorbereiding op de audit
📄

Operationele procedures

Documenten die uw teams direct kunnen toepassen.

  • Beheer van beveiligingsincidenten
  • Toegangs- en identiteitsbeheer
  • Wijzigingsbeheer
  • IT-charter
💻

Bewerkbare bestanden

Alle documenten in formaten die u kunt laten evolueren.

  • Zelfstandige HTML (te openen in elke browser)
  • PDF hoge kwaliteit (A4-print)
  • Bewerkbare DOCX (Microsoft Word)
  • Update bij elke jaarlijkse revisie

Een herbruikbare documentaire basis

Het ISO 27001-ISMS overlapt van nature met meerdere referentiekaders

ISO

ISO/IEC 27001:2022

Centraal referentiekader: clausules 4 tot 10 (managementeisen) en Annex A (93 beveiligingsmaatregelen verdeeld over 4 thema's).

N2

Brug naar NIS2

De cyberrisicobeheermaatregelen vereist door de NIS2-richtlijn overlappen grotendeels met de maatregelen van Annex A ISO 27001. Een ISO 27001-ISMS vergemakkelijkt de NIS2-compliance voor de betrokken entiteiten.

AN

ANSSI-gids - Informatiebeveiligingshygiene

De maatregelen van de informatiehygienegids van het ANSSI (Franse cyberbeveiligingsautoriteit) overlappen aanzienlijk met de maatregelen van Annex A ISO 27001. Overeenstemming gedocumenteerd in het remediatieplan.

RG

AVG (Art. 32)

De passende technische en organisatorische maatregelen vereist door artikel 32 van de AVG steunen op dezelfde best practices als Annex A ISO 27001 (toegangscontrole, versleuteling, incidentbeheer).

Aanbod aangepast aan uw context

Elke ISO 27001-opdracht wordt gedimensioneerd naar uw scope en huidige volwassenheid. Altijd offerte op maat.

Gap Assessment

Eerste foto van uw verschillen

Op offerte
afhankelijk van scope en personeelsbestand
  • Beoordeling van de 93 maatregelen Annex A
  • Feitelijk bevindingsrapport
  • Samenvatting per beveiligingsthema
  • Presentatie aan de directie
  • Formaten HTML + PDF + DOCX
Offerte aanvragen

Jaarlijks onderhoud

Na certificering of doorlopend

Op offerte
afhankelijk van scope en personeelsbestand
  • Jaarlijkse revisie van het ISMS
  • Update van de VvT
  • Actualisering van het remediatieplan
  • Voorbereiding op de surveillance-audits
Offerte aanvragen

Veelgestelde vragen

Wat is de norm ISO/IEC 27001?
ISO/IEC 27001 is de internationale referentienorm voor het opzetten van een Information Security Management System (ISMS). In de editie 2022 is ze gestructureerd in clausules 4 tot 10 (managementeisen: context, leiderschap, planning, ondersteuning, werking, evaluatie, verbetering) en een Annex A van 93 beveiligingsmaatregelen verdeeld over 4 thema's: organisatorisch, menselijk, fysiek en technologisch.
Is ISO 27001 verplicht voor mijn bedrijf?
Nee, ISO 27001 is een vrijwillige certificering, in tegenstelling tot regelgevende teksten zoals NIS2. Ze wordt echter de facto steeds vaker gevraagd: aanbestedingen, eisen van grote opdrachtgevers, cyberverzekeringsvoorwaarden, of toegang tot bepaalde exportmarkten. Het is eerder een strategische keuze dan een algemene wettelijke verplichting.
Geeft SYAGA de certificering af?
Nee. De ISO 27001-certificering wordt uitsluitend afgegeven door een onafhankelijke geaccrediteerde certificerende instelling, na een externe audit. SYAGA begeleidt u bij de voorbereiding (gap assessment, ISMS-documentatie, remediatieplan, voorbereiding van uw teams), maar geeft zelf geen certificaat af.
Wat is de Verklaring van Toepasselijkheid (VvT)?
De VvT is een verplicht normatief document van het certificeringsdossier. Ze somt elk van de 93 maatregelen van Annex A op en preciseert of ze wordt toegepast of uitgesloten, met de bijbehorende onderbouwing. Het is een van de meest onderzochte documenten tijdens de certificeringsaudit.
Hoeveel tijd moet ik van mijn teams vragen?
Het grootste deel van het werk (beoordeling, documentaire opstelling, remediatieplan) wordt door onze auditors uitgevoerd. Uw teams worden vooral ingezet tijdens het initiele kadergesprek en de presentatiemomenten. De totale duur van een certificeringstraject hangt sterk af van uw scope en uw beginvolwassenheid; deze wordt per geval geschat in de offerte.
Waarom is SYAGA gekwalificeerd om mij te begeleiden?
SYAGA Consulting voert sinds 2009 audits van informatiesystemen uit. Onze auditors werken bij klanten van uiteenlopende omvang in meerdere sectoren. De methodologie voor gap assessment en documentgeneratie gebruikt voor ISO27001-Express steunt op dezelfde motor die al gebruikt wordt bij onze andere compliancebegeleidingen (PSSI-Express).
SYAGA begeleidt u bij de voorbereiding van uw ISMS en uw certificeringsdossier. De ISO/IEC 27001-certificering zelf wordt afgegeven door een onafhankelijke geaccrediteerde certificerende instelling, niet gelieerd aan SYAGA. Deze inhoud is een begeleidingsinstrument en vormt geen juridisch advies.

Klaar om uw ISO 27001-traject te structureren?

Neem contact met ons op voor een offerte op maat naargelang uw scope en huidige volwassenheid.

Regelgevende monitoring - officiele bronnen

Wat ISO/IEC 27001 echt zegt, eenvoudig uitgelegd. Elk punt verwijst naar zijn officiele bron (ISO, AFNOR, COFRAC, ANSSI), bijgewerkt op 17/07/2026.

Wat is het, concreet?

ISO/IEC 27001 is een erkende methode om de dreigingen voor uw gegevens te identificeren, de risico's te beheersen en de juiste beschermingen in te voeren, zodat uw informatie vertrouwelijk, beschikbaar en betrouwbaar blijft. Het is geen software, het is een organisatie die in het bedrijf moet worden opgezet.

Bron: AFNOR Certification

Het is een keuze, geen wet

In tegenstelling tot andere trajecten (zoals de veiligheidshomologatie die aan bepaalde overheidssystemen wordt opgelegd), is ISO 27001 facultatief: het is een certificerende norm, geen algemene wettelijke verplichting. U kiest ervoor om klanten, partners en verzekeraars gerust te stellen.

Bron: ANSSI (methodefiche)

Wie geeft het certificaat af?

Nooit het bedrijf zelf, noch een consultant: alleen een onafhankelijke en geaccrediteerde certificerende instelling kan het afgeven (het COFRAC is de enige Franse accreditatie-instantie, opgericht in 1994). Het verkregen certificaat is 3 jaar geldig.

Bron: COFRAC

Het traject, in 6 stappen

Voorafgaande beoordeling (optioneel), voorbereiding, documentreview, audit ter plaatse om te verifieren wat echt is ingevoerd, afgifte van het certificaat (3 jaar), gevolgd door een jaarlijkse controlebezoek en een volledige vernieuwingsaudit na 3 jaar. Niets ligt eens en voor altijd vast.

Bron: AFNOR Certification

Levert het echt iets op?

Volgens een AFNOR-studie onder gecertificeerde bedrijven: 89% constateerde minder beveiligingsincidenten, 83% heeft solidere interne beveiligingsprocessen, en 88% behield klanten die zonder de certificering hadden kunnen vertrekken.

Bron: AFNOR-studie 2019

Overal erkend, niet alleen in Frankrijk

Het is de meest gebruikte informatiebeveiligingsnorm ter wereld volgens de ISO zelf. En de accreditatie die de certificerende instellingen controleert (zoals het COFRAC in Frankrijk) wordt internationaal erkend via akkoorden tussen landen, wat de toegang tot markten in Europa en daarbuiten vergemakkelijkt.

Bron: ISO (comite JTC1/SC27)