ISO/IEC 27001 is de internationale referentienorm voor het Information Security Management System (ISMS). Steeds vaker geeist door opdrachtgevers, in aanbestedingen, door cyberverzekeraars of voor toegang tot bepaalde exportmarkten. SYAGA begeleidt u van de gap assessment tot de voorbereiding van de certificeringsaudit.
ISO 27001 is geen algemene wettelijke verplichting, maar wordt een onontkoombare commerciele vereiste
ISO/IEC 27001 blijft een vrijwillig traject. Ze wordt echter steeds vaker geeist in aanbestedingen, door grote opdrachtgevers, door bepaalde cyberverzekeraars, of als voorwaarde voor toegang tot bepaalde exportmarkten.
De meerderheid van MKB- en middenbedrijven heeft geen gestructureerd Information Security Management System opgezet. Het onderwerp wordt ervaren als complex, technisch en langdurig.
Klassieke certificeringsopdrachten belasten uw teams gedurende meerdere maanden en vertegenwoordigen een aanzienlijke investering, vaak buiten bereik van een MKB-bedrijf.
De CIO of de security officer maandenlang inzetten om een ISMS op te bouwen is niet haalbaar in een MKB-bedrijf waar iedereen al meerdere petten draagt.
Een gestructureerd traject in 3 fasen, gebaseerd op dezelfde methodologie die SYAGA al beproefde met PSSI-Express
Kadergesprek met de directie en de IT-verantwoordelijke, gevolgd door een systematische beoordeling van elk van de 93 beveiligingsmaatregelen van Annex A (editie 2022), verdeeld over de 4 thema's organisatorisch, menselijk, fysiek en technologisch. Oplevering van een feitelijk verschillenrapport.
Opstelling of update van het beveiligingsbeleid (ISMS), van de Verklaring van Toepasselijkheid (VvT) die de toepassing of uitsluiting van elk van de 93 maatregelen onderbouwt, en van een geprioriteerd remediatieplan om de in fase 1 geidentificeerde verschillen te dichten.
Opvolging van de uitvoering van het remediatieplan, documentaire review, en voorbereiding van uw team op de audit uitgevoerd door een onafhankelijke geaccrediteerde certificerende instelling. SYAGA bereidt u voor op de audit; de certificering zelf wordt afgegeven door deze externe instelling.
De structurerende documenten van het ISO 27001-certificeringsdossier
Feitelijke beoordeling van uw compliancegraad ten opzichte van de norm.
Centraal normatief document van het ISO 27001-certificeringsdossier.
Het governance-document vereist door de clausules 4 tot 10 van de norm.
De routekaart om de geidentificeerde verschillen te dichten.
Documenten die uw teams direct kunnen toepassen.
Alle documenten in formaten die u kunt laten evolueren.
Het ISO 27001-ISMS overlapt van nature met meerdere referentiekaders
Centraal referentiekader: clausules 4 tot 10 (managementeisen) en Annex A (93 beveiligingsmaatregelen verdeeld over 4 thema's).
De cyberrisicobeheermaatregelen vereist door de NIS2-richtlijn overlappen grotendeels met de maatregelen van Annex A ISO 27001. Een ISO 27001-ISMS vergemakkelijkt de NIS2-compliance voor de betrokken entiteiten.
De maatregelen van de informatiehygienegids van het ANSSI (Franse cyberbeveiligingsautoriteit) overlappen aanzienlijk met de maatregelen van Annex A ISO 27001. Overeenstemming gedocumenteerd in het remediatieplan.
De passende technische en organisatorische maatregelen vereist door artikel 32 van de AVG steunen op dezelfde best practices als Annex A ISO 27001 (toegangscontrole, versleuteling, incidentbeheer).
Elke ISO 27001-opdracht wordt gedimensioneerd naar uw scope en huidige volwassenheid. Altijd offerte op maat.
Eerste foto van uw verschillen
Van gap assessment tot voorbereiding van de audit
Na certificering of doorlopend
Neem contact met ons op voor een offerte op maat naargelang uw scope en huidige volwassenheid.
Wat ISO/IEC 27001 echt zegt, eenvoudig uitgelegd. Elk punt verwijst naar zijn officiele bron (ISO, AFNOR, COFRAC, ANSSI), bijgewerkt op 17/07/2026.
ISO/IEC 27001 is een erkende methode om de dreigingen voor uw gegevens te identificeren, de risico's te beheersen en de juiste beschermingen in te voeren, zodat uw informatie vertrouwelijk, beschikbaar en betrouwbaar blijft. Het is geen software, het is een organisatie die in het bedrijf moet worden opgezet.
Bron: AFNOR CertificationIn tegenstelling tot andere trajecten (zoals de veiligheidshomologatie die aan bepaalde overheidssystemen wordt opgelegd), is ISO 27001 facultatief: het is een certificerende norm, geen algemene wettelijke verplichting. U kiest ervoor om klanten, partners en verzekeraars gerust te stellen.
Bron: ANSSI (methodefiche)Nooit het bedrijf zelf, noch een consultant: alleen een onafhankelijke en geaccrediteerde certificerende instelling kan het afgeven (het COFRAC is de enige Franse accreditatie-instantie, opgericht in 1994). Het verkregen certificaat is 3 jaar geldig.
Bron: COFRACVoorafgaande beoordeling (optioneel), voorbereiding, documentreview, audit ter plaatse om te verifieren wat echt is ingevoerd, afgifte van het certificaat (3 jaar), gevolgd door een jaarlijkse controlebezoek en een volledige vernieuwingsaudit na 3 jaar. Niets ligt eens en voor altijd vast.
Bron: AFNOR CertificationVolgens een AFNOR-studie onder gecertificeerde bedrijven: 89% constateerde minder beveiligingsincidenten, 83% heeft solidere interne beveiligingsprocessen, en 88% behield klanten die zonder de certificering hadden kunnen vertrekken.
Bron: AFNOR-studie 2019Het is de meest gebruikte informatiebeveiligingsnorm ter wereld volgens de ISO zelf. En de accreditatie die de certificerende instellingen controleert (zoals het COFRAC in Frankrijk) wordt internationaal erkend via akkoorden tussen landen, wat de toegang tot markten in Europa en daarbuiten vergemakkelijkt.
Bron: ISO (comite JTC1/SC27)