ISO 27001 Certificering: Snelste Route naar de Externe Audit
Binnen recordtijd uw ISO 27001 certificering zonder
tenenkrommend jargon, onnodige input en tijdverspilling.
Met een ISO-certificaat vertrouwen opdrachtgevers u direct. Wij regelen het zo dat u niet alleen makkelijker deals sluit, maar ook honderden uren per jaar bespaart op administratie en nutteloze vragenlijsten. Veiligheid die geld oplevert, in plaats van tijd kost.
Binnen recordtijd uw ISO 27001 certificering zonder
tenenkrommend jargon, onnodige input en tijdverspilling.
Met een ISO-certificaat vertrouwen opdrachtgevers u direct. Wij regelen het zo dat u niet alleen makkelijker deals sluit, maar ook honderden uren per jaar bespaart op administratie en nutteloze vragenlijsten. Veiligheid die geld oplevert, in plaats van tijd kost.
Binnen recordtijd uw ISO 27001 certificering zonder tenenkrommend jargon, onnodige input en tijdverspilling.
Met een ISO-certificaat vertrouwen opdrachtgevers u direct. Wij regelen het zo dat u niet alleen makkelijker deals sluit, maar ook honderden uren per jaar bespaart op administratie en nutteloze vragenlijsten. Veiligheid die geld oplevert, in plaats van tijd kost.
De consultants van AuditDirect hebben:
100+
Bedrijven succesvol
begeleid
100+
Bedrijven
succesvol
begeleid
10+
Verschillende landen
begeleid
10+
Verschillende
landen
begeleid
500+
Auditdagen
ervaring
500+
Auditdagen
ervaring
7+
Jaar minimaal
werkervaring
7+
Jaar minimaal
werkervaring
Ons 4-Staps ISO 27001 Proces
Ons 4-Staps ISO 27001 Proces
Onze consultants verzamelen alle bestaande beveiligingsmaatregelen en zetten deze om in duidelijke, praktische documentatie die exact aansluit op wat het bedrijf al doet. Geen overbodige theorie. Alleen wat nodig is om aan de norm te voldoen en de audit soepel in te gaan. Dit voorkomt vertraging, miscommunicatie en dubbele werkzaamheden.
Zo zorgen we dat elke maatregel aantoonbaar werkt in de praktijk en ondersteunen bij het opleveren van het vereiste bewijs. Daarna wordt we direct de audit ingepland en begeleiden onze consultants jou tot certificering zonder ruis. Na afronding houden we het systeem jaarlijks strak en actueel zodat heraudits moeiteloos en snel blijven verlopen met minimale interne belasting.
Onze consultants verzamelen alle bestaande beveiligingsmaatregelen en zetten deze om in duidelijke, praktische documentatie die exact aansluit op wat het bedrijf al doet. Geen overbodige theorie. Alleen wat nodig is om aan de norm te voldoen en de audit soepel in te gaan. Dit voorkomt vertraging, miscommunicatie en dubbele werkzaamheden.
Zo zorgen we dat elke maatregel aantoonbaar werkt in de praktijk en ondersteunen bij het opleveren van het vereiste bewijs. Daarna wordt we direct de audit ingepland en begeleiden onze consultants jou tot certificering zonder ruis. Na afronding houden we het systeem jaarlijks strak en actueel zodat heraudits moeiteloos en snel blijven verlopen met minimale interne belasting.
Onze consultants verzamelen alle bestaande beveiligingsmaatregelen en zetten deze om in duidelijke, praktische documentatie die exact aansluit op wat het bedrijf al doet. Geen overbodige theorie. Alleen wat nodig is om aan de norm te voldoen en de audit soepel in te gaan. Dit voorkomt vertraging, miscommunicatie en dubbele werkzaamheden.
Zo zorgen we dat elke maatregel aantoonbaar werkt in de praktijk en ondersteunen bij het opleveren van het vereiste bewijs. Daarna wordt we direct de audit ingepland en begeleiden onze consultants jou tot certificering zonder ruis. Na afronding houden we het systeem jaarlijks strak en actueel zodat heraudits moeiteloos en snel blijven verlopen met minimale interne belasting.
Stap 1
Documentatie &
Voorbereiding
Implementatie &
Bewijsvoering
Stap 2
Implementatie &
Bewijsvoering
Stap 2
Implementatie &
Bewijsvoering
Stap 2
Audit &
Certificering
Stap 3
Audit &
Certificering
Stap 3
Audit &
Certificering
Stap 3
Onderhoud &
Opvolging
Stap 4
Onderhoud &
Opvolging
Stap 4
Onderhoud &
Opvolging
Stap 4
Voor wie de ISO-vaktermen wil horen: Onze Expertise-Jargon-Sectie.
Wij helpen u via een gestructureerd en stressvrije traject naar uw ISO2700. Als uw deskundige partner verzorgen wij de volledige begeleiding, van de initiële fase tot en met de certificering. Wij starten met een gedetailleerde gap-analyse om de delta van de norm vast te stellen. Daarna voeren wij een diepgaande risicoanalyse uit om bedreigingen en kwetsbaarheden te identificeren. Op basis hiervan ondersteunen wij u bij het opzetten van het ISMS (Information Security Management System), waaronder het nauwkeurig opstellen van het beleid.
De kern van de implementatie is dat wij met relevante stakeholders zoals uw personeel en leveranciers gesprekken aangaan over hoe het beleid vertaald kan worden naar praktische controls conform Annex A van de ISO 27001 norm. Het traject wordt afgerond wanneer wij de interne audit en wij de management review uitvoeren en documenteren om zo de laatste stappen van de PDCA-cyclus af te ronden, en de effectiviteit van het ISMS te borgen én aan te tonen. Hiermee tonen wij aan dat uw organisatie volledig audit-ready is voor de externe certificeringsaudit.
Voor wie de ISO-vaktermen wil horen: Onze Expertise-Jargon-Sectie.
Wij helpen u via een gestructureerd en stressvrije traject naar uw ISO2700. Als uw deskundige partner verzorgen wij de volledige begeleiding, van de initiële fase tot en met de certificering. Wij starten met een gedetailleerde gap-analyse om de delta van de norm vast te stellen. Daarna voeren wij een diepgaande risicoanalyse uit om bedreigingen en kwetsbaarheden te identificeren. Op basis hiervan ondersteunen wij u bij het opzetten van het ISMS (Information Security Management System), waaronder het nauwkeurig opstellen van het beleid.
De kern van de implementatie is dat wij met relevante stakeholders zoals uw personeel en leveranciers gesprekken aangaan over hoe het beleid vertaald kan worden naar praktische controls conform Annex A van de ISO 27001 norm. Het traject wordt afgerond wanneer wij de interne audit en wij de management review uitvoeren en documenteren om zo de laatste stappen van de PDCA-cyclus af te ronden, en de effectiviteit van het ISMS te borgen én aan te tonen. Hiermee tonen wij aan dat uw organisatie volledig audit-ready is voor de externe certificeringsaudit.
Voor wie de ISO-vaktermen wil horen: Onze Expertise-Jargon-Sectie.
Wij helpen u via een gestructureerd en stressvrije traject naar uw ISO2700. Als uw deskundige partner verzorgen wij de volledige begeleiding, van de initiële fase tot en met de certificering. Wij starten met een gedetailleerde gap-analyse om de delta van de norm vast te stellen. Daarna voeren wij een diepgaande risicoanalyse uit om bedreigingen en kwetsbaarheden te identificeren. Op basis hiervan ondersteunen wij u bij het opzetten van het ISMS (Information Security Management System), waaronder het nauwkeurig opstellen van het beleid.
De kern van de implementatie is dat wij met relevante stakeholders zoals uw personeel en leveranciers gesprekken aangaan over hoe het beleid vertaald kan worden naar praktische controls conform Annex A van de ISO 27001 norm. Het traject wordt afgerond wanneer wij de interne audit en wij de management review uitvoeren en documenteren om zo de laatste stappen van de PDCA-cyclus af te ronden, en de effectiviteit van het ISMS te borgen én aan te tonen. Hiermee tonen wij aan dat uw organisatie volledig audit-ready is voor de externe certificeringsaudit.
Voordelen van ISO 27001 Certificering
Honderden uren bespaard
Honderden uren bespaard
Door processen helder en eenvoudig vast te leggen zonder overbodige rompslomp, voorkomt u structureel geklungel. Weg met onnodige vragen, weg met verrassingen. Dat scheelt u honderden uren operationele tijd per jaar.
Door processen helder en eenvoudig vast te leggen zonder overbodige rompslomp, voorkomt u structureel geklungel. Weg met onnodige vragen, weg met verrassingen. Dat scheelt u honderden uren operationele tijd per jaar.
Glashelder risico-inzicht
Glashelder risico-inzicht
Glashelder risico-inzicht
Onze systematische aanpak dwingt u om op een praktische manier te kijken naar de plekken waar uw data en bedrijfsprocessen écht kwetsbaar zijn. U krijgt glashelder inzicht in uw huidige beveiligingsstatus en hoe u risico's afdekt.
Onze systematische aanpak dwingt u om op een praktische manier te kijken naar de plekken waar uw data en bedrijfsprocessen écht kwetsbaar zijn. U krijgt glashelder inzicht in uw huidige beveiligingsstatus en hoe u risico's afdekt.
Sneller deals sluiten
Sneller deals sluiten
Geen vertraging meer door ontbrekende security-documenten bij een deal. De administratie rondom security is ineens aantoonbaar en onder controle. U kunt sneller leveren, de stress is eindelijk weg.
Geen vertraging meer door ontbrekende security-documenten bij een deal. De administratie rondom security is ineens aantoonbaar en onder controle. U kunt sneller leveren, de stress is eindelijk weg.
Focus op groei
Focus op groei
Wij zorgen ervoor dat u zo snel mogelijk audit-ready bent. Wij nemen het voortouw op alles rondom ISO 27001, en U focust weer op het échte werk: veilig en continu blijven groeien, zonder dat compliance u tegenhoudt. Eindelijk rust.
Wij zorgen ervoor dat u zo snel mogelijk audit-ready bent. Wij nemen het voortouw op alles rondom ISO 27001, en U focust weer op het échte werk: veilig en continu blijven groeien, zonder dat compliance u tegenhoudt. Eindelijk rust.
De consultants van AuditDirect hebben begeleid in 10+ verschillende landen
De consultants van AuditDirect hebben begeleid in 10+ verschillende landen
ISO 27001 Certificering Producten, Kosten & Prijzen
ISO 27001 Certificering Producten, Kosten & Prijzen
ISO Reality Check
Een kort, eerlijk gesprek om te bepalen of ISO 27001 écht nodig is.
GRATIS*
In 45 minuten bespreken we:
Waarom de ISO-eis er is (van uw klant of intern)
Of een certificering echt nodig is, of een alternatief volstaat
Wat uw organisatie nu al goed doet
En welke opties u hebt om het slimmer en eenvoudiger aan te pakken
En wij zijn zo pragmatisch, dat wij dit gesprek ook met u en uw klant aan willen gaan.
*Een beperkt aantal plekken beschikbaar.
Plan uw ISO Reality Check
Meer informatie
ISO Reality Check
Een kort, eerlijk gesprek om te bepalen of ISO 27001 écht nodig is.
GRATIS*
In 45 minuten bespreken we:
Waarom de ISO-eis er is (van uw klant of intern)
Of een certificering echt nodig is, of een alternatief volstaat
Wat uw organisatie nu al goed doet
En welke opties u hebt om het slimmer en eenvoudiger aan te pakken
En wij zijn zo pragmatisch, dat wij dit gesprek ook met u en uw klant aan willen gaan.
*Een beperkt aantal plekken beschikbaar.
Plan uw ISO Reality Check
Meer informatie
ISO Nulmeting
In één dag brengen we samen in kaart hoe ver uw organisatie al is richting ISO 27001.
€1.250,-
Binnen 24 uur krijgt u:
Een complete nulmeting van uw huidige situatie
een plan van aanpak met concrete vervolgstappen
Inzicht in uw sterkste én verbeterpunten
Draagvlak in de organisatie aangezien onze consultants gesprekken voeren met betrokken medewerkers
Begeleiding is pas na de nulmeting. Zo weten we precies wat wél en wat níet nodig is zonder onnodige tijdverspilling aan de kant van uw bedrijf.
Plan uw ISO Nulmeting
Meer informatie
ISO Nulmeting
In één dag brengen we samen in kaart hoe ver uw organisatie al is richting ISO 27001.
€1.250,-
Binnen 24 uur krijgt u:
Een complete nulmeting van uw huidige situatie
een plan van aanpak met concrete vervolgstappen
Inzicht in uw sterkste én verbeterpunten
Draagvlak in de organisatie aangezien onze consultants gesprekken voeren met betrokken medewerkers
Begeleiding is pas na de nulmeting. Zo weten we precies wat wél en wat níet nodig is zonder onnodige tijdverspilling aan de kant van uw bedrijf.
Plan uw ISO Nulmeting
Meer informatie
ISO Interne Audit
Een praktische Interne Audit waarmee u precies weet of u klaar bent voor de externe audit.
€1.600*,-
Binnen 72 uur krijgt u:
Een complete onafhankelijke interne audit die voldoet aan de ISO 27001 norm 9.2.
Duidelijke en toepasselijke bevindingen en aanbevelingen
Concreet overzicht van verbeterpunten vóór de externe audit
Heldere toelichting voor management en betrokken teams
*prijs is gebaseerd op een kleine organisatie
Plan uw ISO Interne Audit
Meer informatie
ISO Interne Audit
Een praktische Interne Audit waarmee u precies weet of u klaar bent voor de externe audit.
€1.600*,-
Binnen 72 uur krijgt u:
Een complete onafhankelijke interne audit die voldoet aan de ISO 27001 norm 9.2.
Duidelijke en toepasselijke bevindingen en aanbevelingen
Concreet overzicht van verbeterpunten vóór de externe audit
Heldere toelichting voor management en betrokken teams
*prijs is gebaseerd op een kleine organisatie
Plan uw ISO Interne Audit
Meer informatie
ISO Reality Check
Een kort, eerlijk gesprek om te bepalen of ISO 27001 écht nodig is.
GRATIS*
In 45 minuten bespreken we:
Waarom de ISO-eis er is (van uw klant of intern)
Of een certificering echt nodig is, of een alternatief volstaat
Wat uw organisatie nu al goed doet
En welke opties u hebt om het slimmer en eenvoudiger aan te pakken
En wij zijn zo pragmatisch, dat wij dit gesprek ook met u en uw klant aan willen gaan.
*Een beperkt aantal plekken beschikbaar.
Plan uw ISO Reality Check
Meer informatie
ISO Nulmeting
In één dag brengen we samen in kaart hoe ver uw organisatie al is richting ISO 27001.
€1.250,-
Binnen 24 uur krijgt u:
Een complete nulmeting van uw huidige situatie
een plan van aanpak met concrete vervolgstappen
Inzicht in uw sterkste én verbeterpunten
Draagvlak in de organisatie aangezien onze consultants gesprekken voeren met betrokken medewerkers
Begeleiding is pas na de nulmeting. Zo weten we precies wat wél en wat níet nodig is zonder onnodige tijdverspilling aan de kant van uw bedrijf.
Plan uw ISO Nulmeting
Meer informatie
ISO Interne Audit
Een praktische Interne Audit waarmee u precies weet of u klaar bent voor de externe audit.
€1.600*,-
Binnen 72 uur krijgt u:
Een complete onafhankelijke interne audit die voldoet aan de ISO 27001 norm 9.2.
Duidelijke en toepasselijke bevindingen en aanbevelingen
Concreet overzicht van verbeterpunten vóór de externe audit
Heldere toelichting voor management en betrokken teams
*prijs is gebaseerd op een kleine organisatie
Plan uw ISO Interne Audit
Meer informatie
Of bent u klaar voor een Praktische ISO 27001 Certificering?
Boek Nu Uw Gratis Intake!
Of bent u klaar voor een Praktische ISO 27001 Certificering?
Boek Nu Uw Gratis Intake!
Expertblogs over ISO27001 &
Cybersecurity
Expertblogs over ISO27001 &
Cybersecurity
Beste ISO 27001 begeleiding voor IT-bedrijven: Waar moet u op letten?
Beste ISO 27001 begeleiding voor IT-bedrijven: Waar moet u op letten?
Beste ISO 27001 begeleiding voor IT-bedrijven: Waar moet u op letten?
Klik hier om
verder te lezen
ISO 27001 certificering binnen 3 maanden: Is een versneld traject haalbaar?
ISO 27001 certificering binnen 3 maanden: Is een versneld traject haalbaar?
ISO 27001 certificering binnen 3 maanden: Is een versneld traject haalbaar?
Klik hier om
verder te lezen
Interne audit ISO 27001 uitbesteden vs. zelf doen: Een kosten-baten analyse (2025)
Interne audit ISO 27001 uitbesteden vs. zelf doen: Een kosten-baten analyse (2025)
Interne audit ISO 27001 uitbesteden vs. zelf doen: Een kosten-baten analyse (2025)
Klik hier om
verder te lezen
Stop de 'Tandenpoetsen voor de Tandarts'-Mentaliteit: ISO 27001 Sturing
Stop de 'Tandenpoetsen voor de Tandarts'-Mentaliteit: ISO 27001 Sturing
Stop de 'Tandenpoetsen voor de Tandarts'-Mentaliteit: ISO 27001 Sturing
Klik hier om
verder te lezen
Voorkom de ISO 27001 'Papieren Tijger': Praktische Tips voor Naleving
Voorkom de ISO 27001 'Papieren Tijger': Praktische Tips voor Naleving
Voorkom de ISO 27001 'Papieren Tijger': Praktische Tips voor Naleving
Klik hier om
verder te lezen
Veelgestelde Vragen ISO 27001
Veelgestelde Vragen ISO 27001
Wat is ISO 27001?
ISO 27001 is de wereldwijde standaard voor informatiebeveiliging. Het helpt organisaties hun gegevens veilig te houden door een gestructureerd systeem in te stellen: het Information Security Management System (ISMS).
ISO 27001 is primair een managementsysteem. Een certificaat is geen 'garantiebewijs' dat een organisatie 100% onschendbaar is, maar het toont aan dat u processen hebt ingericht om risico's continu te beheersen en te verminderen.
ISO 27001 is gepubliceerd door de International Organization for Standardization en is praktisch van aard. Het gaat niet alleen om theoretische veiligheid, maar om het inrichten van dagelijkse processen die uw organisatie weerbaarder maken.
De standaard bestaat uit twee hoofdonderdelen:
De High Level Structure (HLS): Dit zijn de 10 hoofdstukken met verplichte onderdelen die de organisatiestructuur regelen. Deze behandelen vragen zoals:
Wat is ons beleid?
Wie is waarvoor verantwoordelijk?
Hoe analyseren we risico's?
Hoe trainen we werknemers?
Hoe regelen wij interne audits en de directiebeoordeling?
Annex A (De beveiligingsmaatregelen): Dit is een lijst van 93 beheersmaatregelen, onderverdeeld in vier thema's:
Organisatorische maatregelen: Dit gaat bijvoorbeeld om toegangsbeveiliging, maar ook om incident management, business continuity en leveranciersmanagement.
Personeelsmaatregelen: Zorgen dat werknemers weten hoe ze veilig moeten werken (bewustwording, screening).
Technische maatregelen: Bescherming van gegevens door bijvoorbeeld versleuteling, sterke wachtwoorden en multi-factor authenticatie.
Fysieke maatregelen: Zorgen dat kantoren, servers en hardware beveiligd zijn tegen toegang door onbevoegden en diefstal.
Een ISO 27001 certificering toont aan klanten en partners dat u serieus bent over gegevensbescherming en dat dit verankerd is in uw dagelijkse operatie.
Wat is ISO 27001?
ISO 27001 is de wereldwijde standaard voor informatiebeveiliging. Het helpt organisaties hun gegevens veilig te houden door een gestructureerd systeem in te stellen: het Information Security Management System (ISMS).
ISO 27001 is primair een managementsysteem. Een certificaat is geen 'garantiebewijs' dat een organisatie 100% onschendbaar is, maar het toont aan dat u processen hebt ingericht om risico's continu te beheersen en te verminderen.
ISO 27001 is gepubliceerd door de International Organization for Standardization en is praktisch van aard. Het gaat niet alleen om theoretische veiligheid, maar om het inrichten van dagelijkse processen die uw organisatie weerbaarder maken.
De standaard bestaat uit twee hoofdonderdelen:
De High Level Structure (HLS): Dit zijn de 10 hoofdstukken met verplichte onderdelen die de organisatiestructuur regelen. Deze behandelen vragen zoals:
Wat is ons beleid?
Wie is waarvoor verantwoordelijk?
Hoe analyseren we risico's?
Hoe trainen we werknemers?
Hoe regelen wij interne audits en de directiebeoordeling?
Annex A (De beveiligingsmaatregelen): Dit is een lijst van 93 beheersmaatregelen, onderverdeeld in vier thema's:
Organisatorische maatregelen: Dit gaat bijvoorbeeld om toegangsbeveiliging, maar ook om incident management, business continuity en leveranciersmanagement.
Personeelsmaatregelen: Zorgen dat werknemers weten hoe ze veilig moeten werken (bewustwording, screening).
Technische maatregelen: Bescherming van gegevens door bijvoorbeeld versleuteling, sterke wachtwoorden en multi-factor authenticatie.
Fysieke maatregelen: Zorgen dat kantoren, servers en hardware beveiligd zijn tegen toegang door onbevoegden en diefstal.
Een ISO 27001 certificering toont aan klanten en partners dat u serieus bent over gegevensbescherming en dat dit verankerd is in uw dagelijkse operatie.
Wat is ISO 27001?
Hoelang duurt ISO 27001 certificering?
De doorlooptijd ligt gemiddeld tussen de 2 en 6 maanden, maar kan uitlopen afhankelijk van de complexiteit en ambitie. Dit hangt sterk af van waar u begint, de beschikbaarheid van resources en uw sector.
Snelste Scenario (2-3 maanden): Haalbaar voor kleine bedrijven (tot ca. 20 werknemers) die de basis al goed op orde hebben. Denk aan bestaande maatregelen zoals wachtwoordbeheer, toegangsbeheer, incidentmanagement en back-ups. Het traject richt zich dan op het formaliseren van het systeem en het toevoegen van ontbrekende onderdelen.
Normaal Scenario (4-6 maanden): Dit is een reële doorlooptijd voor bedrijven vanaf 25+ medewerkers. We werken hierbij systematisch door de 10 hoofdstukken van de HLS en de relevante maatregelen uit Annex A.
Trager Scenario (6+ maanden): Voor grote organisaties, bedrijven in zwaar gereguleerde sectoren, of organisaties met een zeer complexe IT-infrastructuur.
Waar de doorlooptijd van afhangt:
Organisatiegrootte: Grotere bedrijven hebben meer processen om vast te leggen en meer stakeholders om rekening mee te houden.
Huidige Beveiligingsniveau: Als u al 60% van de maatregelen op orde hebt, gaat het sneller.
Beschikbare Interne Resources: Kunt u iemand fulltime vrijmaken, of doet iemand dit 'erbij'?
Technische Complexiteit: Hoe complexer uw IT-landschap, hoe meer tijd de implementatie kost.
Reguleringsvereisten: In de zorg (NEN 7510) of overheid gelden vaak strengere of specifiekere eisen.
Risk Appetite (Risicobereidheid): Hoe veilig wilt u zijn? Gaat u voor een certificaat 'met de hakken over de sloot', of streeft u naar een perfect ingericht beveiligingsniveau?
Hoelang duurt ISO 27001 certificering?
De doorlooptijd ligt gemiddeld tussen de 2 en 6 maanden, maar kan uitlopen afhankelijk van de complexiteit en ambitie. Dit hangt sterk af van waar u begint, de beschikbaarheid van resources en uw sector.
Snelste Scenario (2-3 maanden): Haalbaar voor kleine bedrijven (tot ca. 20 werknemers) die de basis al goed op orde hebben. Denk aan bestaande maatregelen zoals wachtwoordbeheer, toegangsbeheer, incidentmanagement en back-ups. Het traject richt zich dan op het formaliseren van het systeem en het toevoegen van ontbrekende onderdelen.
Normaal Scenario (4-6 maanden): Dit is een reële doorlooptijd voor bedrijven vanaf 25+ medewerkers. We werken hierbij systematisch door de 10 hoofdstukken van de HLS en de relevante maatregelen uit Annex A.
Trager Scenario (6+ maanden): Voor grote organisaties, bedrijven in zwaar gereguleerde sectoren, of organisaties met een zeer complexe IT-infrastructuur.
Waar de doorlooptijd van afhangt:
Organisatiegrootte: Grotere bedrijven hebben meer processen om vast te leggen en meer stakeholders om rekening mee te houden.
Huidige Beveiligingsniveau: Als u al 60% van de maatregelen op orde hebt, gaat het sneller.
Beschikbare Interne Resources: Kunt u iemand fulltime vrijmaken, of doet iemand dit 'erbij'?
Technische Complexiteit: Hoe complexer uw IT-landschap, hoe meer tijd de implementatie kost.
Reguleringsvereisten: In de zorg (NEN 7510) of overheid gelden vaak strengere of specifiekere eisen.
Risk Appetite (Risicobereidheid): Hoe veilig wilt u zijn? Gaat u voor een certificaat 'met de hakken over de sloot', of streeft u naar een perfect ingericht beveiligingsniveau?
Hoelang duurt ISO 27001 certificering?
Is ISO 27001 verplicht?
Wettelijk gezien is ISO 27001 in de basis niet verplicht (er is geen wet die zegt "u MOET het hebben"), maar commercieel gezien is het voor veel organisaties onmisbaar.
Verplicht of geëist in deze sectoren:
Overheid: Bij projecten voor de overheid is ISO 27001 vaak een harde eis, specifiek in combinatie met de BIO (Baseline Informatiebeveiliging Overheid).
Zorg: Als u patiëntgegevens verwerkt, is vaak NEN 7510 vereist (deze is gebaseerd op ISO 27001, maar specifieker).
Financiële Diensten: Banken en verzekeraars eisen dit vrijwel altijd van partners.
SaaS/Cloud Providers & Managed Services: Klanten verwachten dat u ISO 27001 gecertificeerd bent als u hun data beheert.
Kritieke Infrastructuur: Energie, telecom, etc.
Waarom bedrijven het toch doen: Zelfs als het niet verplicht is, helpt het bij het sluiten van deals. Als twee vergelijkbare bedrijven concurreren, wint de partij met ISO 27001 vaak het vertrouwen. Daarnaast helpt het u te voldoen aan de AVG-verplichting om "passende technische en organisatorische maatregelen" te nemen.
Is ISO 27001 verplicht?
Wettelijk gezien is ISO 27001 in de basis niet verplicht (er is geen wet die zegt "u MOET het hebben"), maar commercieel gezien is het voor veel organisaties onmisbaar.
Verplicht of geëist in deze sectoren:
Overheid: Bij projecten voor de overheid is ISO 27001 vaak een harde eis, specifiek in combinatie met de BIO (Baseline Informatiebeveiliging Overheid).
Zorg: Als u patiëntgegevens verwerkt, is vaak NEN 7510 vereist (deze is gebaseerd op ISO 27001, maar specifieker).
Financiële Diensten: Banken en verzekeraars eisen dit vrijwel altijd van partners.
SaaS/Cloud Providers & Managed Services: Klanten verwachten dat u ISO 27001 gecertificeerd bent als u hun data beheert.
Kritieke Infrastructuur: Energie, telecom, etc.
Waarom bedrijven het toch doen: Zelfs als het niet verplicht is, helpt het bij het sluiten van deals. Als twee vergelijkbare bedrijven concurreren, wint de partij met ISO 27001 vaak het vertrouwen. Daarnaast helpt het u te voldoen aan de AVG-verplichting om "passende technische en organisatorische maatregelen" te nemen.
Is ISO 27001 verplicht?
Hoeveel kost een ISO 27001 certificering?
Het is lastig om vooraf exacte prijzen te noemen, omdat dit sterk afhangt van de grootte en complexiteit van uw organisatie. Houd er rekening mee dat de kosten uit drie onderdelen bestaan.
Let op: Onderstaande bedragen zijn indicaties. In de praktijk kunnen kosten variëren.
1. Begeleiding en Implementatie Dit omvat de gap-analyse, beleidsontwikkeling, inrichten van het ISMS, interne audits en begeleiding.
Omdat een interne audit alleen al snel €1.600 kost en een implementatietraject (inclusief auditbegeleiding) al gauw 10 tot 15 dagen in beslag neemt, verschillen de kosten vaak per onderneming en neemt bij complexere organisaties vaker nog meer tijd in beslag.
Waarschuwing: Pas op voor aanbieders die extreem lage prijzen beloven; vaak blijkt achteraf dat er veel meerwerk nodig is of dat de kwaliteit onvoldoende is voor de auditor.
2. De Externe Audit (Het Certificaat) Dit wordt gedaan door een onafhankelijke Certificerende Instelling (CI).
De kosten voor de initiële audit (jaar 1) beginnen doorgaans rond de €4.000 - €5.000 voor de kleinste organisaties.
Jaarlijks zijn er vervolgaudits die doorgaans tussen de €1.500 en €2.500 kosten.
Voor grotere organisaties liggen deze tarieven aanzienlijk hoger.
3. Technische Implementatie & Tools Dit is de meest variabele post. Soms volstaat open-source software of een kleine aanpassing in bestaande tools (zoals het aanzetten van MFA). In andere gevallen is de aanschaf van specifieke security-software of een upgrade van de infrastructuur nodig. Dit kan variëren van enkele honderden euro's tot aanzienlijke investeringen, afhankelijk van uw huidige staat.
Kosten van NIET doen: Realiseer u ook de kosten van het niet hebben van informatiebeveiliging: gemiste opdrachten, schade door datalekken, ransomware-incidenten of boetes van de toezichthouder.
Hoeveel kost een ISO 27001 certificering?
Het is lastig om vooraf exacte prijzen te noemen, omdat dit sterk afhangt van de grootte en complexiteit van uw organisatie. Houd er rekening mee dat de kosten uit drie onderdelen bestaan.
Let op: Onderstaande bedragen zijn indicaties. In de praktijk kunnen kosten variëren.
1. Begeleiding en Implementatie Dit omvat de gap-analyse, beleidsontwikkeling, inrichten van het ISMS, interne audits en begeleiding.
Omdat een interne audit alleen al snel €1.600 kost en een implementatietraject (inclusief auditbegeleiding) al gauw 10 tot 15 dagen in beslag neemt, verschillen de kosten vaak per onderneming en neemt bij complexere organisaties vaker nog meer tijd in beslag.
Waarschuwing: Pas op voor aanbieders die extreem lage prijzen beloven; vaak blijkt achteraf dat er veel meerwerk nodig is of dat de kwaliteit onvoldoende is voor de auditor.
2. De Externe Audit (Het Certificaat) Dit wordt gedaan door een onafhankelijke Certificerende Instelling (CI).
De kosten voor de initiële audit (jaar 1) beginnen doorgaans rond de €4.000 - €5.000 voor de kleinste organisaties.
Jaarlijks zijn er vervolgaudits die doorgaans tussen de €1.500 en €2.500 kosten.
Voor grotere organisaties liggen deze tarieven aanzienlijk hoger.
3. Technische Implementatie & Tools Dit is de meest variabele post. Soms volstaat open-source software of een kleine aanpassing in bestaande tools (zoals het aanzetten van MFA). In andere gevallen is de aanschaf van specifieke security-software of een upgrade van de infrastructuur nodig. Dit kan variëren van enkele honderden euro's tot aanzienlijke investeringen, afhankelijk van uw huidige staat.
Kosten van NIET doen: Realiseer u ook de kosten van het niet hebben van informatiebeveiliging: gemiste opdrachten, schade door datalekken, ransomware-incidenten of boetes van de toezichthouder.
Hoeveel kost een ISO 27001 certificering?
Wat zijn de hoofdstukken van de ISO 27001 (HLS)?
De norm volgt de zogenaamde High Level Structure (HLS). De hoofdstukken 4 tot en met 10 bevatten de verplichte eisen voor uw managementsysteem:
Hfdst 4: Context van de organisatie: Begrijp uw omgeving, wie uw stakeholders zijn en wat hun eisen zijn. Bepaal de scope van uw ISMS.
Hfdst 5: Leiderschap: De directie moet eigenaarschap tonen, beleid vaststellen en zorgen dat rollen en verantwoordelijkheden duidelijk zijn.
Hfdst 6: Planning: Het hart van het systeem: de risicoanalyse. Welke risico's zijn er, welke accepteren we en welke gaan we behandelen? Wat zijn onze doelstellingen?
Hfdst 7: Ondersteuning: Zorg voor middelen (mensen, geld, tools), bewustwording, communicatie en het beheer van gedocumenteerde informatie.
Hfdst 8: Uitvoering (Operatie): Het daadwerkelijk uitvoeren van de processen en de risicobehandeling. Hier wordt de theorie praktijk.
Hfdst 9: Evaluatie van de prestaties: Meten is weten. Voer interne audits uit, monitor resultaten en voer de directiebeoordeling uit.
Hfdst 10: Verbetering: Reageer op afwijkingen (non-conformities) en verbeter het systeem continu.
De eerste drie hoofdstukken (1, 2, 3) zijn inleidend en bevatten geen eisen (onderwerp, normatieve verwijzingen, termen en definities).
Wat zijn de hoofdstukken van de ISO 27001 (HLS)?
De norm volgt de zogenaamde High Level Structure (HLS). De hoofdstukken 4 tot en met 10 bevatten de verplichte eisen voor uw managementsysteem:
Hfdst 4: Context van de organisatie: Begrijp uw omgeving, wie uw stakeholders zijn en wat hun eisen zijn. Bepaal de scope van uw ISMS.
Hfdst 5: Leiderschap: De directie moet eigenaarschap tonen, beleid vaststellen en zorgen dat rollen en verantwoordelijkheden duidelijk zijn.
Hfdst 6: Planning: Het hart van het systeem: de risicoanalyse. Welke risico's zijn er, welke accepteren we en welke gaan we behandelen? Wat zijn onze doelstellingen?
Hfdst 7: Ondersteuning: Zorg voor middelen (mensen, geld, tools), bewustwording, communicatie en het beheer van gedocumenteerde informatie.
Hfdst 8: Uitvoering (Operatie): Het daadwerkelijk uitvoeren van de processen en de risicobehandeling. Hier wordt de theorie praktijk.
Hfdst 9: Evaluatie van de prestaties: Meten is weten. Voer interne audits uit, monitor resultaten en voer de directiebeoordeling uit.
Hfdst 10: Verbetering: Reageer op afwijkingen (non-conformities) en verbeter het systeem continu.
De eerste drie hoofdstukken (1, 2, 3) zijn inleidend en bevatten geen eisen (onderwerp, normatieve verwijzingen, termen en definities).
Wat zijn de hoofdstukken van de ISO 27001 (HLS)?
Kan een klein bedrijf ISO 27001 behalen?
Ja, zeker. ISO 27001 is schaalbaar en past zich aan de grootte van uw organisatie aan.
Een veelgestelde vraag is: "Is ISO 27001 niet alleen voor grote corporates?" Het antwoord is nee. Veel kleine bedrijven (5-20 medewerkers) zijn succesvol gecertificeerd.
Voordelen voor Kleine Bedrijven:
Startups, kleine IT-bedrijven en dienstverleners kunnen grote voordelen halen uit ISO 27001:
Vertrouwen: Klanten (en investeerders) vertrouwen u sneller.
Competitie: U wint deals van grotere concurrenten of bedrijven die hun zaken niet op orde hebben.
Cultuur: Werknemers nemen beveiliging vanaf het begin serieus.
Schaalbaarheid: U bent process-matig voorbereid op snelle groei.
Hoe Klein Is Te Klein?
Hoewel er theoretisch geen ondergrens is, wordt in de praktijk aangenomen dat een organisatie uit minimaal 2 personen moet bestaan (dit kunnen ook ingehuurde krachten zijn). Dit heeft te maken met de eis rondom functiescheiding; u kunt zichzelf moeilijk onafhankelijk controleren of auditen. Voor eenmanszaken is certificering hierdoor in de praktijk erg lastig.
Aanpassingen voor Kleine Bedrijven:
De standaard schrijft wat u moet doen, maar niet hoe. Voor een klein bedrijf betekent dit:
Minder formele en uitgebreide procedures, meer praktische werkafspraken.
Gecombineerde rollen (bijv. de operationeel directeur is ook Security Officer).
Gebruik van standaard tools (zoals de ingebouwde beveiliging van Microsoft 365/Google Workspace) in plaats van dure enterprise-oplossingen.
Kan een klein bedrijf ISO 27001 behalen?
Ja, zeker. ISO 27001 is schaalbaar en past zich aan de grootte van uw organisatie aan.
Een veelgestelde vraag is: "Is ISO 27001 niet alleen voor grote corporates?" Het antwoord is nee. Veel kleine bedrijven (5-20 medewerkers) zijn succesvol gecertificeerd.
Voordelen voor Kleine Bedrijven:
Startups, kleine IT-bedrijven en dienstverleners kunnen grote voordelen halen uit ISO 27001:
Vertrouwen: Klanten (en investeerders) vertrouwen u sneller.
Competitie: U wint deals van grotere concurrenten of bedrijven die hun zaken niet op orde hebben.
Cultuur: Werknemers nemen beveiliging vanaf het begin serieus.
Schaalbaarheid: U bent process-matig voorbereid op snelle groei.
Hoe Klein Is Te Klein?
Hoewel er theoretisch geen ondergrens is, wordt in de praktijk aangenomen dat een organisatie uit minimaal 2 personen moet bestaan (dit kunnen ook ingehuurde krachten zijn). Dit heeft te maken met de eis rondom functiescheiding; u kunt zichzelf moeilijk onafhankelijk controleren of auditen. Voor eenmanszaken is certificering hierdoor in de praktijk erg lastig.
Aanpassingen voor Kleine Bedrijven:
De standaard schrijft wat u moet doen, maar niet hoe. Voor een klein bedrijf betekent dit:
Minder formele en uitgebreide procedures, meer praktische werkafspraken.
Gecombineerde rollen (bijv. de operationeel directeur is ook Security Officer).
Gebruik van standaard tools (zoals de ingebouwde beveiliging van Microsoft 365/Google Workspace) in plaats van dure enterprise-oplossingen.
Kan een klein bedrijf ISO 27001 behalen?
Wat is het verschil tussen ISO 27001 en NEN 7510?
ISO 27001 is de algemene standaard voor alle organisaties. NEN 7510 is specifiek ontwikkeld voor de zorgsector in Nederland en voegt extra eisen toe rondom de bescherming van patiëntgegevens.
Hieronder de belangrijkste verschillen op een rij:
Bereik: ISO 27001 is toepasbaar op alle organisaties wereldwijd. NEN 7510 is specifiek bedoeld voor zorginstellingen en medische dienstverleners in Nederland.
Focus: Waar ISO 27001 zich richt op algemene informatiebeveiliging, richt NEN 7510 zich specifiek op de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens.
Origine: ISO 27001 is een internationale norm (ISO), terwijl NEN 7510 een Nederlandse standaard is (NEN).
Opbouw: Beide standaarden gebruiken de High Level Structure (HLS) en de 93 maatregelen uit Annex A. NEN 7510 voegt hier echter extra specifieke zorgeisen aan toe.
Toezicht: Bij beide wordt het certificaat afgegeven door een Certificerende Instantie (CI). Bij NEN 7510 kan daarnaast de Inspectie Gezondheidszorg en Jeugd (IGJ) wettelijk toezicht houden.
Geldigheidsduur: Voor beide standaarden is het certificaat 3 jaar geldig.
Implementatietijd: Een ISO-traject duurt gemiddeld 2 tot 6 maanden. NEN 7510 duurt vaak iets langer (3 tot 8 maanden) vanwege de extra controles op patiëntgegevens.
Logvereisten: ISO 27001 stelt basisvereisten aan logging. NEN 7510 is zeer uitgebreid en eist exacte logging van wie welk dossier op welk moment heeft ingezien.
Fysieke Beveiliging: Bij ISO gaat het om standaard toegang en beveiliging van het pand. NEN 7510 stelt strengere eisen, bijvoorbeeld rondom de opslag van medicijnen, recepten en medische apparatuur.
Wat is het verschil tussen ISO 27001 en NEN 7510?
ISO 27001 is de algemene standaard voor alle organisaties. NEN 7510 is specifiek ontwikkeld voor de zorgsector in Nederland en voegt extra eisen toe rondom de bescherming van patiëntgegevens.
Hieronder de belangrijkste verschillen op een rij:
Bereik: ISO 27001 is toepasbaar op alle organisaties wereldwijd. NEN 7510 is specifiek bedoeld voor zorginstellingen en medische dienstverleners in Nederland.
Focus: Waar ISO 27001 zich richt op algemene informatiebeveiliging, richt NEN 7510 zich specifiek op de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens.
Origine: ISO 27001 is een internationale norm (ISO), terwijl NEN 7510 een Nederlandse standaard is (NEN).
Opbouw: Beide standaarden gebruiken de High Level Structure (HLS) en de 93 maatregelen uit Annex A. NEN 7510 voegt hier echter extra specifieke zorgeisen aan toe.
Toezicht: Bij beide wordt het certificaat afgegeven door een Certificerende Instantie (CI). Bij NEN 7510 kan daarnaast de Inspectie Gezondheidszorg en Jeugd (IGJ) wettelijk toezicht houden.
Geldigheidsduur: Voor beide standaarden is het certificaat 3 jaar geldig.
Implementatietijd: Een ISO-traject duurt gemiddeld 2 tot 6 maanden. NEN 7510 duurt vaak iets langer (3 tot 8 maanden) vanwege de extra controles op patiëntgegevens.
Logvereisten: ISO 27001 stelt basisvereisten aan logging. NEN 7510 is zeer uitgebreid en eist exacte logging van wie welk dossier op welk moment heeft ingezien.
Fysieke Beveiliging: Bij ISO gaat het om standaard toegang en beveiliging van het pand. NEN 7510 stelt strengere eisen, bijvoorbeeld rondom de opslag van medicijnen, recepten en medische apparatuur.
Wat is het verschil tussen ISO 27001 en NEN 7510?
ISO 27001 Vergeleken met Andere Standaarden
Om te begrijpen wat de juiste keuze is voor uw organisatie, is het goed om te zien hoe ISO 27001 zich verhoudt tot andere veelgenoemde kaders en normen.
De wereldwijde standaard: ISO 27001 is bedoeld voor alle soorten bedrijven, ongeacht de sector. Het grootste voordeel is de wereldwijde erkenning; met dit certificaat toont u overal aan dat u serieus met beveiliging omgaat. De focus ligt sterk op de 'Plan-Do-Check-Act' cyclus, wat betekent dat u niet alleen beveiligt, maar continu verbetert. Hoewel het tijd en geld kost om te implementeren, is het traject vaak makkelijker en logischer opgebouwd dan bijvoorbeeld een SOC 2-traject.
Specifiek voor de zorg: NEN 7510 Werkt u in de zorg of levert u aan zorginstellingen? Dan krijgt u te maken met NEN 7510. Dit is eigenlijk de ISO 27001, maar dan aangevuld met specifieke, strengere eisen voor patiëntgegevens. Het grote voordeel is dat u hiermee voldoet aan de contractuele eisen in de zorgsector. Het nadeel is dat het traject zwaarder is dan een gewone ISO-certificering en dat de norm buiten Nederland (en buiten de zorg) minder relevant is.
Focus op de VS en SaaS: SOC 2 Voor SaaS-bedrijven en Cloud Providers die zich op de Amerikaanse markt richten, is SOC 2 vaak belangrijk. Waar ISO 27001 draait om het verbeteren van uw managementsysteem, draait SOC 2 puur om bewijslast (assurance): u moet aantonen dat uw beheersmaatregelen op specifieke momenten werkten. Let op: dit is een zeer uitgebreid en tijdrovend traject, vaak zwaarder dan ISO. In Europa wordt ISO 27001 doorgaans breder erkend dan SOC 2.
De wet: AVG / GDPR De AVG is geen keuze, maar een wettelijke verplichting voor elk bedrijf dat persoonsgegevens verwerkt. Het doel is het voorkomen van boetes en het beschermen van privacy. Het lastige is echter dat de AVG een wet is en geen norm waarvoor u zich kunt laten certificeren. U kunt dus niet een "AVG-certificaat" aan de muur hangen. ISO 27001 helpt u wél om aan te tonen dat u de technische en organisatorische maatregelen hebt genomen die de AVG eist.
De instap: Intern Beleid Hele kleine bedrijven kiezen er soms voor om alleen eigen regels op te stellen zonder externe norm. Dit is goedkoop en flexibel, omdat u alles zelf bepaalt. Het grote nadeel is dat het geen commerciële waarde heeft. Omdat er geen externe auditor is die u controleert, biedt een eigen beleid voor uw klanten geen enkele garantie of bewijs van veiligheid.
ISO 27001 Vergeleken met Andere Standaarden
Om te begrijpen wat de juiste keuze is voor uw organisatie, is het goed om te zien hoe ISO 27001 zich verhoudt tot andere veelgenoemde kaders en normen.
De wereldwijde standaard: ISO 27001 is bedoeld voor alle soorten bedrijven, ongeacht de sector. Het grootste voordeel is de wereldwijde erkenning; met dit certificaat toont u overal aan dat u serieus met beveiliging omgaat. De focus ligt sterk op de 'Plan-Do-Check-Act' cyclus, wat betekent dat u niet alleen beveiligt, maar continu verbetert. Hoewel het tijd en geld kost om te implementeren, is het traject vaak makkelijker en logischer opgebouwd dan bijvoorbeeld een SOC 2-traject.
Specifiek voor de zorg: NEN 7510 Werkt u in de zorg of levert u aan zorginstellingen? Dan krijgt u te maken met NEN 7510. Dit is eigenlijk de ISO 27001, maar dan aangevuld met specifieke, strengere eisen voor patiëntgegevens. Het grote voordeel is dat u hiermee voldoet aan de contractuele eisen in de zorgsector. Het nadeel is dat het traject zwaarder is dan een gewone ISO-certificering en dat de norm buiten Nederland (en buiten de zorg) minder relevant is.
Focus op de VS en SaaS: SOC 2 Voor SaaS-bedrijven en Cloud Providers die zich op de Amerikaanse markt richten, is SOC 2 vaak belangrijk. Waar ISO 27001 draait om het verbeteren van uw managementsysteem, draait SOC 2 puur om bewijslast (assurance): u moet aantonen dat uw beheersmaatregelen op specifieke momenten werkten. Let op: dit is een zeer uitgebreid en tijdrovend traject, vaak zwaarder dan ISO. In Europa wordt ISO 27001 doorgaans breder erkend dan SOC 2.
De wet: AVG / GDPR De AVG is geen keuze, maar een wettelijke verplichting voor elk bedrijf dat persoonsgegevens verwerkt. Het doel is het voorkomen van boetes en het beschermen van privacy. Het lastige is echter dat de AVG een wet is en geen norm waarvoor u zich kunt laten certificeren. U kunt dus niet een "AVG-certificaat" aan de muur hangen. ISO 27001 helpt u wél om aan te tonen dat u de technische en organisatorische maatregelen hebt genomen die de AVG eist.
De instap: Intern Beleid Hele kleine bedrijven kiezen er soms voor om alleen eigen regels op te stellen zonder externe norm. Dit is goedkoop en flexibel, omdat u alles zelf bepaalt. Het grote nadeel is dat het geen commerciële waarde heeft. Omdat er geen externe auditor is die u controleert, biedt een eigen beleid voor uw klanten geen enkele garantie of bewijs van veiligheid.
ISO 27001 Vergeleken met Andere Standaarden
AuditDirect
Boek nu een call
Contact
Rob Veen
7908 BN, Hoogeveen
Van Leeuwenhoekstraat 132
KVK nummer 91987024
AuditDirect
Boek nu een call
Contact
Rob Veen
7908 BN, Hoogeveen
Van Leeuwenhoekstraat 132
KVK nummer 91987024
AuditDirect
Boek nu een call
Contact
Rob Veen
7908 BN, Hoogeveen
Van Leeuwenhoekstraat 132
KVK nummer 91987024