BG Beter Geregeld ICT
Compliance · 2 min leestijd · 03 oktober 2025

Wat is een ISMS en waar begin je?

Information Security Management System — het klinkt groter dan het is. Voor een MKB is het een set documenten en routines, geen platform dat je ergens op installeert.

ISMS = Information Security Management System. In essentie: je manier van werken aan informatiebeveiliging, beschreven en onderhouden. Het is geen software. Het is hoe je denkt en doet.

De vijf bouwstenen

  1. Scope. Wat valt er onder je ISMS? Hele bedrijf, specifieke business-unit, alleen bepaalde data? Dit staat vast vóór je iets anders doet.
  2. Policy-laag. 8-12 documenten (security policy, access control, incident response, acceptable use, …). Totaal ~40-80 pagina's.
  3. Risk management. Risk register met risico's, eigenaar, maatregel, restrisico. Zie risicomanagement.
  4. Controls. De Annex A-subset die je implementeert. Statement of Applicability (SoA) is het overzicht.
  5. PDCA-cyclus. Plan, Do, Check, Act. Klinkt dramatisch, is: reviews, audits, management-review, lessons learned.

Waar begin je?

  1. Scope vastleggen (1 dag).
  2. Gap-analyse tegen Annex A (1-3 dagen).
  3. Risk register, eerste versie (2 dagen).
  4. Access control policy + A.9 (1 week werkend naar evidence).
  5. Rest van de policies (2-4 weken, parallel met evidence verzamelen).

De valkuil: perfectie

Je ISMS hoeft niet perfect te zijn. Hij moet werken en bewijsbaar zijn. Versie 1 van je policies mag 80% zijn. Verbetering is onderdeel van de PDCA-cyclus — het hoort erbij dat je ze elk jaar aanpast.

Zie ook: ISO 27001-pillar, PDCA-cyclus uitgelegd.

Onderwerpen

#governance #iso-27001 #isms

Volledige gids: ISO 27001 voor het MKB zonder €50k aan consultants

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 voor het MKB zonder €50k aan consultants

ISO 27001 is behapbaar als je de structuur snapt. Hier het minimale werk dat een 30-man MKB nodig heeft om door een Stage 2-audit te komen, wat het kost, en waar consultants wél waarde toevoegen.

2 min
Compliance

ISO 27001 kosten: van eerste gap-analyse tot certificaat

Realistische budget-plaatje voor een 30-mans MKB. Interne uren, externe audit, consultancy (zo min mogelijk), jaarlijkse onderhoud. Geen marketingpraatjes.

2 min
Compliance

ISO 27001 of SOC 2? Welke past bij jouw Nederlandse MKB?

ISO 27001 is Europees-geörienteerd, SOC 2 Amerikaans. Welke hebben je klanten nodig? En kun je ze combineren? Hier het praktijk-verschil voor een MKB.

2 min
Compliance

NEN 7510 voor zorgondernemers: extra bovenop ISO 27001

Werk je in of met de zorg? Dan is NEN 7510 naast (of in plaats van) ISO 27001 realiteit. De overlap is groot, de verschillen zitten in patiëntgegevens en specifieke Annex-controls.

2 min
Compliance

De management review: wat moet erin en wie doet mee?

Eén van de sectie-9-eisen van ISO 27001. Jaarlijks, met de directie, 2 uur. Hier de agenda die een auditor accepteert én die voor jou als oefening bruikbaar is.

2 min
Compliance

De PDCA-cyclus uitgelegd voor bestuurders

Plan-Do-Check-Act klinkt bureaucratisch. In de praktijk is het: schrijf op wat je doet, doe het, kijk of het werkt, pas het aan. Hier de kortste bruikbare uitleg.

2 min
← Alle artikelen in "Compliance"