BG Beter Geregeld ICT
Compliance · 2 min leestijd · 23 september 2025

ISO 27001 Annex A.9: wat de auditor écht wil zien

Annex A.9 — Access Control — is de zwaarste van de 14 secties. Hier een concrete uitleg per sub-control: A.9.1 t/m A.9.4, met wat in het MKB werkt als bewijs.

Annex A.9 is wat Access Control heet in ISO 27001. Het bevat 14 sub-controls verdeeld over 4 doelen. Voor het MKB zijn niet alle 14 even zwaar — maar je Statement of Applicability moet per stuk zeggen "implemented" of "not applicable met reden".

A.9.1 Business requirements for access control

Je moet een access control policy hebben. Eén document dat zegt: hoe kennen we toegang toe, wie keurt goed, hoe reviewen we. 2–4 pagina's volstaat.

Bewijs: de policy zelf + changelog die laat zien dat hij wordt bijgehouden.

A.9.2 User access management

  • A.9.2.1 User registration: elke user-creatie heeft een aanvraag en goedkeuring. Bewijs: logs of tickets.
  • A.9.2.2 Privilege management: privileged access is apart geregistreerd.
  • A.9.2.3 Secret authentication information: hoe geef je tijdelijke wachtwoorden? Hoe reset je MFA?
  • A.9.2.5 Review of user access rights: periodieke access reviews. Hier komt meestal het meeste audit-vuur naartoe.
  • A.9.2.6 Removal of access rights: offboarding met bewijsbare verwijderingstermijn.

A.9.3 User responsibilities

Bewustwording: medewerkers weten dat ze verantwoordelijk zijn voor hun credentials. Bewijs: onboarding-training-log, acceptable use policy met handtekening.

A.9.4 System and application access control

  • A.9.4.1 Information access restriction: need-to-know, zie least privilege.
  • A.9.4.2 Secure log-on procedures: MFA waar mogelijk, logging van login-pogingen.
  • A.9.4.3 Password management system: wachtwoord-complexiteit, rotatie (of niet-rotatie, mits MFA).
  • A.9.4.5 Access control to program source code: wie kan wijzigingen aan productiecode maken?

Wat auditors het vaakst afwijzen

  • "Wij doen reviews" zonder bewijsrapport per cyclus — zo weet de auditor niet of het waar is.
  • Privileged access inventaris niet actueel — "Global Admin is X" maar X is 4 maanden geleden vertrokken.
  • Offboarding-bewijs incompleet — wel disable, niet licentie opgezegd.

Zie ook: pre-audit checklist voor de volledige lijst waar auditors op letten.

Onderwerpen

#audit #iso-27001 #annex-a9 #toegangsbeheer

Volledige gids: ISO 27001 voor het MKB zonder €50k aan consultants

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 voor het MKB zonder €50k aan consultants

ISO 27001 is behapbaar als je de structuur snapt. Hier het minimale werk dat een 30-man MKB nodig heeft om door een Stage 2-audit te komen, wat het kost, en waar consultants wél waarde toevoegen.

2 min
Compliance

ISO 27001 kosten: van eerste gap-analyse tot certificaat

Realistische budget-plaatje voor een 30-mans MKB. Interne uren, externe audit, consultancy (zo min mogelijk), jaarlijkse onderhoud. Geen marketingpraatjes.

2 min
Compliance

ISO 27001 of SOC 2? Welke past bij jouw Nederlandse MKB?

ISO 27001 is Europees-geörienteerd, SOC 2 Amerikaans. Welke hebben je klanten nodig? En kun je ze combineren? Hier het praktijk-verschil voor een MKB.

2 min
Compliance

NEN 7510 voor zorgondernemers: extra bovenop ISO 27001

Werk je in of met de zorg? Dan is NEN 7510 naast (of in plaats van) ISO 27001 realiteit. De overlap is groot, de verschillen zitten in patiëntgegevens en specifieke Annex-controls.

2 min
Compliance

De management review: wat moet erin en wie doet mee?

Eén van de sectie-9-eisen van ISO 27001. Jaarlijks, met de directie, 2 uur. Hier de agenda die een auditor accepteert én die voor jou als oefening bruikbaar is.

2 min
Compliance

De PDCA-cyclus uitgelegd voor bestuurders

Plan-Do-Check-Act klinkt bureaucratisch. In de praktijk is het: schrijf op wat je doet, doe het, kijk of het werkt, pas het aan. Hier de kortste bruikbare uitleg.

2 min
← Alle artikelen in "Compliance"