ISO 27001 certificeringschecklist: 80 stappen naar certificering
Inleiding
Voorbereiding op ISO 27001-certificering is een inspanning van meerdere maanden. Deze checklist is georganiseerd in zes fasen en helpt kritieke lacunes te voorkomen.
Fase 1: Fundament & scope (Weken 1–4)
Betrokkenheid van topmanagement verkrijgen. ISMS-scope definiëren. ISMS-projectleider aanstellen. Belanghebbenden identificeren. Hoog-niveau gap-analyse uitvoeren. Projectplan opstellen. Certificeringsinstantie vroeg selecteren.
Fase 2: Risicobeoordeling & behandeling (Weken 4–10)
Risicobeoordelingsmethodiek definiëren. Informatiemiddeleninventaris opbouwen. Bedreigingen en kwetsbaarheden identificeren. Risiconiveaus berekenen. Behandelingsopties selecteren. Annex A-maatregelen koppelen. Risicobehandelingsplan opstellen. Verklaring van Toepasselijkheid (VvT) produceren.
Fase 3: Beleid & documentatie (Weken 8–16)
Informatiebeveiligingsbeleid opstellen. ISMS-scope formeel documenteren. Verplichte documentatie aanmaken: risicobeoordelingsresultaten, behandelingsplan, VvT, doelstellingen, bewijs van opleiding. Operationeel beleid ontwikkelen.
Fase 4: Maatregelimplementatie (Weken 12–24)
Toegangscontroles implementeren: RBAC, minimale privileges. Technische beveiligingsmaatregelen inzetten: MFA, endpointbescherming, patchbeheer. Beveiligingsbewustzijnstraining uitvoeren. Leveranciersbeveiligingsbeheer opzetten. Incidentmanagementprocedures implementeren.
Fase 5: Interne audit & directiebeoordeling (Weken 20–28)
Interne ISMS-audit plannen en uitvoeren. Alle bevindingen documenteren. Corrigerende maatregelen implementeren. Effectiviteit verifiëren. Directiebeoordeling uitvoeren. Auditgereedheid bevestigen.
Fase 6: Certificeringsaudit & daarna (Weken 24–36)
Fase 1 (documentatiebeoordeling). Fase 2 (implementatieaudit ter plaatse). Tekortkomingen aanpakken. Certificaat ontvangen (3 jaar geldig). Doorlopende ISMS-activiteiten opzetten.
Belangrijkste punten
ISO 27001-certificering is haalbaar voor elke organisatie die de juiste middelen inzet. Meest voorkomende faalfactoren: onvoldoende risicobeoordeling, gebrekkige documentatie en onopgeloste tekortkomingen voor de audit.
Klaar om uw ISO 27001-kosten te schatten?
Gebruik onze gratis calculator voor een op maat gemaakte schatting van kosten, inspanning en planning op basis van uw bedrijfsprofiel.