Wat is de ISO27001 Annex A in Jip-en-Janneke-taal
Gepost door
Rob Veen
10 nov 2025
U bent bezig met ISO 27001, de internationale norm voor informatiebeveiliging. U kent de theorie: u moet uw risico's in kaart brengen, beleid opstellen en continu verbeteren. Dat is de 'wat'. Maar dan komt de 'hoe': Hoe zorg ik dat mijn bedrijf echt veilig is? Daarvoor heeft u een handleiding nodig. Die handleiding is de Annex A of Bijlage A. Vergeet de moeilijke termen. In Jip-en-Janneke-taal is de Annex A niets meer dan de ultieme, uitgebreide boodschappenlijst van de informatiebeveiligingswereld. Dit artikel legt uit wat u écht met die lijst moet doen en waarom het u helpt geld te besparen.
De boodschappenlijst: van deurslot tot wachtwoord
De ISO 27001-norm zelf bestaat uit de eerste 10 hoofdstukken: hier staat in dát u een systeem moet hebben om uw informatie te beveiligen (het ISMS). Dit wordt ook de high level structure genoemd van de ISO27001. Maar dat is voor een andere blog.
De Annex A is de bijlage (sinds de update van 2022) en bevat een lijst van 93 beheersmaatregelen (of controls). Zie dit als een inspiratielijst van beveiligingsoplossingen.
U hoeft niet alle 93 maatregelen op die lijst af te vinken. U gebruikt uw risicoanalyse om te bepalen welke boodschappen u nodig heeft. De maatregelen die u kiest, moeten de risico's in uw bedrijf verkleinen.
De vier onderdelen
Om de 93 maatregelen overzichtelijk te houden, zijn ze verdeeld over vier logische categorieën. Dit maakt het makkelijker om te zien waar in uw organisatie nog iets moet gebeuren:
1. Mensgerichte Maatregelen (People Controls)
Dit gaat over uw personeel en afspraken.
Voorbeeld: Trainen van medewerkers (hoe herken je phishing?). Screenen van nieuwe medewerkers. Afspraken maken over wat er gebeurt als een medewerker ontslag neemt.
2. Fysieke Maatregelen (Physical Controls)
Dit gaat over het beveiligen van uw gebouw, kantoor en apparatuur.
Voorbeeld: Camera’s bij de serverruimte. Airco systemen in warme serverruimten. Toegangsbadges. Beveiliging van apparatuur buiten kantoor (laptops in de auto).
3. Organisatorische Maatregelen (Organizational Controls)
Dit gaat over beleid, procedures en structuur. Dit is de basis.
Voorbeeld: Het opstellen van een officieel Beleid Informatiebeveiliging. Het inrichten van een incidentenprocedure (wat te doen bij een hack?). Afspraken maken met leveranciers.
4. Technologische Maatregelen (Technological Controls)
Dit gaat over software, netwerken en systemen.
Voorbeeld: Encryptie (versleuteling) van data. Gebruik van Multi-Factor Authenticatie (MFA). Back-up procedure. Beheer van netwerktoegang. Veilige software ontwikkeling. Lifecycle management.
De flexibiliteit van de Annex A
Het lastige van de Annex A 'boodschappenlijst' is dat deze alleen een onderwerp geeft, maar geen details over de uitvoering. Het is flexibel, maar vereist wel inzicht.
De Koolhydraten Analogie: Stel, op uw boodschappenlijst staat "Koolhydraten". U moet zelf nog beslissen of dat in uw specifieke geval aardappelen, rijst, pasta, of misschien zelfs brood zal zijn. De beste keuze is afhankelijk van uw avondmaal, uw voorkeuren, en uw budget.
Hetzelfde geldt voor de Annex A. Er staat bijvoorbeeld de term: 'Capacity Management' (Capaciteitsbeheer). Dit betekent dat u moet nadenken over de capaciteit van uw systemen. Maar:
In een klein MKB betekent dit misschien alleen dat u één keer per jaar controleert of de server nog voldoende schijfruimte heeft. Of misschien heeft u geen eens servers en moinitort u enkel wat CPU en disk ruimte van laptops. En interesseert u het resultaat daarvan eigenlijk ook niet zo.
In een groot SaaS-bedrijf betekent dit dat er een geautomatiseerd monitoringsysteem moet zijn dat 24/7 de CPU-belasting en bandbreedte checkt om te voorkomen dat de website vastloopt.
De Annex A vertelt u wat u moet beveiligen, niet hoe. Het 'hoe' is uw strategische keuze, gebaseerd op de risico's en de omvang van uw organisatie.
Wat moet u doen met die Annex A?
De Annex A heeft maar één verplichting: u moet een Verklaring van Toepasselijkheid (VvT) opstellen.
De VvT: Uw Boodschappenbriefje aan de Auditor
De VvT is een lijst waarin u aan de externe auditor uitlegt:
Welke van de 93 maatregelen u heeft gekozen om uw risico's te behandelen (bijvoorbeeld: we gebruiken MFA omdat wachtwoorden een risico zijn).
Welke u niet heeft gekozen (en waarom). Niet gekozen betekent: u heeft het risico niet, of u lost het op een andere manier op. (Bijvoorbeeld: "We hebben geen fysieke controle voor archieven nodig, want we hebben alles digitaal op een beveiligde server.").
Onze filosofie
Veel consultants dwingen u om alles maar op te schrijven. Dat is inefficiënt. Wij gebruiken de Annex A juist om te tonen dat u slim met uw middelen omgaat. U kiest alleen de maatregelen die echt nodig zijn en die een reëel risico afdekken.
Dit doen wij door een slimme en efficiënte aanpak, met handige systematieken. Zo maken wij het gesprek met een auditor makkelijker: u kan direct begrijpbaar maken (op basis van een risico analyse) waarom bepaalde keuzes zijn gemaakt.
Door een slimme selectie te maken en de maatregelen praktisch te interpreteren op basis van de risico's en de omvang van uw bedrijf, kunt u aantonen dat u 'in control' bent, zonder onnodig geld en tijd te verspillen. Dit is de nuchtere aanpak die het MKB nodig heeft.
Wat is de functie van Annex A binnen de ISO 27001 norm?
Annex A, of Bijlage A, fungeert als een uitgebreide catalogus met 93 beheersmaatregelen om informatiebeveiligingsrisico's aan te pakken. Waar de eerste tien hoofdstukken van de norm beschrijven dat u een managementsysteem (ISMS) moet hebben, biedt Annex A de praktische handvatten om dat systeem concreet in te vullen. Het is in feite de vertaalslag van de theorie naar de praktijk, waarmee u bepaalt hoe u specifieke risico's in uw organisatie gaat mitigeren.
Ben ik verplicht om alle 93 maatregelen uit ISO 27001 Annex A toe te passen?
Nee, het is een misvatting dat u alle 93 maatregelen blindelings moet implementeren. Annex A dient als een inspiratielijst of boodschappenlijst waaruit u kiest op basis van uw specifieke risicoanalyse. U selecteert alleen de maatregelen die noodzakelijk zijn om de reële risico's binnen uw bedrijf te verkleinen. Het doel is niet om alles af te vinken, maar om slimme en efficiënte keuzes te maken die passen bij de aard en omvang van uw organisatie.
Hoe zijn de beheersmaatregelen in ISO 27001 Annex A ingedeeld?
Om het overzicht te bewaren over de 93 maatregelen, zijn deze sinds de update van 2022 onderverdeeld in vier logische thema's. Dit zijn mensgerichte maatregelen die gaan over personeel en training, fysieke maatregelen voor de beveiliging van gebouwen en apparatuur, organisatorische maatregelen die focussen op beleid en procedures, en technologische maatregelen die betrekking hebben op IT-systemen en netwerken. Deze indeling helpt organisaties snel te identificeren in welk domein er actie nodig is.
Wat is de Verklaring van Toepasselijkheid (VvT) en waarom is deze nodig?
De Verklaring van Toepasselijkheid is een verplicht document waarin u aan de externe auditor verantwoordt welke maatregelen uit Annex A u wel en niet heeft toegepast. Het fungeert als uw verantwoording waarop u uitlegt waarom bepaalde maatregelen noodzakelijk zijn om risico's te beheersen en waarom andere maatregelen zijn weggelaten omdat ze niet relevant zijn. Een goed onderbouwde VvT toont aan dat u in control bent en voorkomt dat u onnodige kosten maakt voor overbodige beveiliging.
Hoe bepaal ik de diepgang van een maatregel zoals capaciteitsbeheer?
De ISO 27001 norm schrijft wel voor wat u moet beveiligen, maar niet hoe gedetailleerd u dat moet doen. Dit hangt volledig af van uw risicoprofiel en bedrijfsgrootte. Voor een klein MKB-bedrijf kan capaciteitsbeheer simpelweg betekenen dat u periodiek controleert of laptops nog voldoende schijfruimte hebben, terwijl een groot SaaS-bedrijf 24/7 geautomatiseerde monitoring nodig heeft. De kunst is om de maatregel zo in te richten dat deze effectief is voor uw situatie zonder dat u doorslaat in onnodige complexiteit.