#iso-27001
14 artikelen met dit onderwerp
Bewijsvoering voor access reviews: wat bewaar je en waar?
Een review zonder bewijs is voor de auditor een review die niet heeft plaatsgevonden. Hier wat je bewaart, in welk formaat, en hoe lang.
PDF redactieAudit trail voor redactie: wat log je, waarom, hoe lang?
Een auditor komt langs en vraagt: "laat zien hoe jullie klant-data hebben geanonimiseerd voor rapport X." Zonder audit trail sta je met lege handen. Hier wat je logt.
ComplianceISO 27001 kosten: van eerste gap-analyse tot certificaat
Realistische budget-plaatje voor een 30-mans MKB. Interne uren, externe audit, consultancy (zo min mogelijk), jaarlijkse onderhoud. Geen marketingpraatjes.
ComplianceISO 27001 of SOC 2? Welke past bij jouw Nederlandse MKB?
ISO 27001 is Europees-geörienteerd, SOC 2 Amerikaans. Welke hebben je klanten nodig? En kun je ze combineren? Hier het praktijk-verschil voor een MKB.
Access reviewsPeriodieke access reviews: proces, frequentie, bewijsvoering
Een access review is een audit-vereiste waar bijna elk MKB mee worstelt. De tweede keer hoef je er geen week meer voor uit te trekken — als je het de eerste keer goed opzet.
ComplianceNEN 7510 voor zorgondernemers: extra bovenop ISO 27001
Werk je in of met de zorg? Dan is NEN 7510 naast (of in plaats van) ISO 27001 realiteit. De overlap is groot, de verschillen zitten in patiëntgegevens en specifieke Annex-controls.
ComplianceDe management review: wat moet erin en wie doet mee?
Eén van de sectie-9-eisen van ISO 27001. Jaarlijks, met de directie, 2 uur. Hier de agenda die een auditor accepteert én die voor jou als oefening bruikbaar is.
ComplianceDe PDCA-cyclus uitgelegd voor bestuurders
Plan-Do-Check-Act klinkt bureaucratisch. In de praktijk is het: schrijf op wat je doet, doe het, kijk of het werkt, pas het aan. Hier de kortste bruikbare uitleg.
ComplianceEen incidentenlog opzetten dat auditors geloven
Een lege incident-log is een rode vlag voor auditors. Het betekent niet dat er geen incidenten zijn — het betekent dat je ze niet logt. Hier hoe je een werkbaar log opzet.
ComplianceISO 27001 pre-audit checklist: 2 weken voor Stage 2
Stage 2 is over twee weken. Deze 22-punts checklist loopt alles na dat auditors typisch vragen — als één hokje mist, fix het nu.
ComplianceEen ISO-risk-register dat werkt (en er niet uitziet als een consultant-export)
Een risk register hoeft geen 300-regelige spreadsheet te zijn. Voor een MKB zijn 30-60 risico's realistisch. Hier het format dat een audit overleeft én dagelijks bruikbaar is.
ComplianceWat is een ISMS en waar begin je?
Information Security Management System — het klinkt groter dan het is. Voor een MKB is het een set documenten en routines, geen platform dat je ergens op installeert.
ComplianceISO 27001 Annex A.9: wat de auditor écht wil zien
Annex A.9 — Access Control — is de zwaarste van de 14 secties. Hier een concrete uitleg per sub-control: A.9.1 t/m A.9.4, met wat in het MKB werkt als bewijs.
ComplianceISO 27001 voor het MKB zonder €50k aan consultants
ISO 27001 is behapbaar als je de structuur snapt. Hier het minimale werk dat een 30-man MKB nodig heeft om door een Stage 2-audit te komen, wat het kost, en waar consultants wél waarde toevoegen.