Naar inhoud
ProVectus AI
EN

Blog

ISO 27001 checklist voor organisaties (2026): complete praktische stappenlijst voor certificering

Steeds meer organisaties kiezen voor ISO 27001-certificering. Deze ISO 27001 checklist helpt stap voor stap: wat verplicht is, wat auditors controleren, audit readiness, doorlooptijd en veelgemaakte fouten.

Wat is ISO 27001 precies?

Internationale standaard voor een Information Security Management System (ISMS): informatie beschermen, risico’s beheren, processen aantoonbaar vastleggen en continu verbeteren. Vaak gebruikt voor aanbestedingen, klantvertrouwen, keten, compliance-structuur en NIS2-voorbereiding.

Stap 1 — Bepaal de scope van het ISMS

Welke systemen, afdelingen, locaties en processen vallen onder certificering? Een verkeerde scope leidt tot extra auditkosten, vertraging en herwerk.

Stap 2 — Voer een ISO 27001 risicoanalyse uit

Risico’s identificeren, beoordelen, prioriteren en beheersen — o.a. cloud, toegang, leveranciers, beschikbaarheid, datalekken.

Stap 3 — Stel informatiebeveiligingsbeleid op

Formeel beleid: o.a. informatiebeveiliging, toegang, incidenten, continuïteit, leveranciers — aansluitend op de risicoanalyse.

Stap 4 — Richt Annex A-maatregelen aantoonbaar in

Controls rond toegang, logging, back-ups, cryptografie, incidenten, leveranciers, continuïteit — auditors toetsen werking.

Stap 5 — Stel een Verklaring van Toepasselijkheid (SoA) op

Welke controls van toepassing zijn, welke niet en waarom — kern van de audit.

Stap 6 — Richt een risicoregister in

Beschrijving, impact, kans, maatregelen, status — actueel houden.

Stap 7 — Verzamel audit-evidence

Toegangsrechten, logs, incidenten, back-ups, procedures — beleid zonder bewijs is onvoldoende.

Stap 8 — Richt interne audits in

Controle op maatregelen, documentatie, risicoanalyse en implementatie vóór de certificeringsaudit.

Stap 9 — Voer management review uit

Bestuur/management bespreekt risico’s, incidenten, maatregelen, verbeteracties en auditresultaten.

Stap 10 — Bereid de certificeringsaudit voor

Stage 1 — documentatie; Stage 2 — implementatie; daarna certificaat bij succes.

Hoe lang duurt ISO 27001 implementatie?

Gemiddeld 3 tot 12 maanden, afhankelijk van grootte, IT-complexiteit, bestaande maatregelen en audit readiness.

Wat kost ISO 27001 certificering gemiddeld?

Indicatie: klein €10k–€25k, middel €25k–€80k, enterprise €80k+ — implementatie, interne uren, consultancy, audit, tooling; tijd is vaak de grootste factor.

Veelgemaakte fouten

Te brede scope, onvoldoende risicoanalyse, ontbrekende evidence, versnipperde documentatie, te late auditvoorbereiding.

Relatie tussen ISO 27001 en NIS2

Incidentmanagement, risicoanalyse, continuïteit, toegang en leveranciers ondersteunen NIS2 — vaak gecombineerd.

Complete ISO 27001 checklist (samenvatting)

  • Scope bepaald
  • Risicoanalyse uitgevoerd
  • Beleid opgesteld
  • Annex A-maatregelen ingericht
  • SoA opgesteld
  • Risicoregister ingericht
  • Audit-evidence verzameld
  • Interne audit uitgevoerd
  • Management review afgerond
  • Certificeringsaudit voorbereid
← Alle artikelenHome