Naar hoofdinhoud
Normio IT

ISO 27001 zonder spreadsheet-chaos

De 93 beheersmaatregelen van ISO/IEC 27001:2022 (Annex A) gestructureerd afwerken: per maatregel status, eigenaar, onderbouwing en bewijs — en de Verklaring van Toepasselijkheid als document eruit.

Vier thema's, 93 maatregelen

Annex A van de 2022-versie ordent alle beheersmaatregelen in vier thema's. Normio volgt die indeling, zodat je zelfevaluatie één-op-één aansluit op de norm.

Organisatorische maatregelen

Beleid, rollen, leveranciers, incidentproces en continuïteit: het bestuurlijke fundament van informatiebeveiliging.

Maatregelen voor personeel

Screening, arbeidsvoorwaarden, bewustwording en de omgang met vertrek of functiewisseling.

Fysieke maatregelen

Toegang tot locaties, beveiliging van apparatuur en het beschermen van werkplekken.

Technologische maatregelen

Toegangsrechten, versleuteling, logging, back-ups, netwerkbeveiliging en veilige ontwikkeling.

Van zelfevaluatie naar Verklaring van Toepasselijkheid

  • Alle 93 Annex A-maatregelen met doel en bewijs-suggesties, per maatregel status en eigenaar
  • Bewijsdocumenten rechtstreeks aan maatregelen koppelen — auditklaar dossier
  • Niet-geïmplementeerde maatregelen worden taken en voeden het centrale risicoregister
  • Verklaring van Toepasselijkheid (SoA) als Word-export, direct uit je actuele status
  • Hergebruik richting NIS2: per zorgplichtgebied zie je welke ISO-maatregelen al dekken
  • Bestuursrapportage en cockpit tonen de voortgang over alle kaders heen

Ook bezig met NIS2? Lees hoe de twee kaders samenvallen op de NIS2-pagina.

Veelgestelde vragen over ISO 27001

Wat is ISO 27001 en voor wie is het relevant?

ISO/IEC 27001 is de internationale norm voor informatiebeveiligingsbeheer (ISMS). De 2022-versie kent in Annex A 93 beheersmaatregelen, verdeeld over vier thema’s: organisatorisch, personeel, fysiek en technologisch. De norm is relevant voor elke organisatie die informatiebeveiliging aantoonbaar wil regelen — steeds vaker omdat klanten of aanbestedingen erom vragen.

Wat is de Verklaring van Toepasselijkheid (SoA)?

De Verklaring van Toepasselijkheid (Statement of Applicability) is het document waarin je per Annex A-maatregel vastlegt of hij van toepassing is, waarom, en wat de status van implementatie is. Het is een verplicht onderdeel van een ISO 27001-certificeringstraject en hét overzicht dat auditors als eerste opvragen. Normio genereert de SoA rechtstreeks uit je zelfevaluatie.

Maakt Normio mijn organisatie ISO 27001-gecertificeerd?

Nee — certificering gebeurt altijd door een onafhankelijke certificerende instelling. Normio ondersteunt het werk daarnaartoe: de zelfevaluatie over alle 93 maatregelen, het koppelen van bewijsdocumenten, de takenopvolging en de SoA-export. Ook zonder certificeringsambitie is dat waardevol: je toont klanten en toezichthouders gestructureerd aan hoe je beveiliging is geregeld.

Hoe verhoudt ISO 27001 zich tot NIS2?

De NIS2-zorgplicht (in Nederland: de Cyberbeveiligingswet) overlapt sterk met ISO 27001. Normio toont per NIS2-zorgplichtgebied welke ISO-maatregelen het gebied afdekken, zodat je één keer werk doet voor beide kaders. NIS2 voegt onder meer bestuursverantwoordelijkheid en een wettelijke meldplicht toe.

ISO 27001 zelfevaluatie en Verklaring van Toepasselijkheid (SoA) | Normio