ISO-27001 in de praktijk
Veel organisaties willen aan ISO-27001 of SOC 2 voldoen, maar lopen vast in de uitvoering. Policies worden geschreven, Excel-lijsten gevuld, en rond de audit breekt paniek uit om ontbrekend bewijs. Het resultaat: een ISMS dat vooral op papier bestaat.
Dat kan anders. Een Information Security Management System hoort niet statisch te zijn, maar onderdeel van de manier waarop je werkt. Het moet ademen met je organisatie.
In deze blog deel ik tien praktische tips uit onze eigen aanpak — over hoe je van papier naar praktijk komt met herkenbare tools, routines en gezond verstand.
1. Vermijd het Excel-ISMS
De grootste valkuil bij elke implementatie: alles in Excel willen bijhouden.
In het begin lijkt het overzichtelijk, maar na een paar maanden is het bestand verouderd, staat er dubbele data in en weet niemand wie verantwoordelijk is.
Kies vanaf dag één een compliance-managementtool. Wij gebruiken Scrut.io om alle frameworks, controls en reviews bij te houden. Scrut stuurt automatische herinneringen, plant kwartaalreviews in en koppelt direct met Jira, AWS, Wiz en je andere tooling.
Zo blijft alles synchroon zonder handmatig onderhoud.
Scrut is slechts een voorbeeld, er zijn vele, en hele goede, alternatieven.
“Het centrale Scrut-dashboard: in één oogopslag zie je de status van elk van je frameworks.”
2. Begin bij de basis: scope, BIA en RIA
Voordat je policies schrijft, moet je weten waarover je ISMS gaat.
We startten met een duidelijke scope statement: welke applicaties, processen en ondersteunende diensten vallen eronder?
Daarna volgden twee analyses die vaak worden overgeslagen maar essentieel zijn:
- De Business Impact Assessment (BIA): wat kan er misgaan en hoe ernstig is dat?
- De Risk Impact Assessment (RIA): hoe groot is de kans dat het gebeurt?
Deze analyses geven richting. Zo ontdekten we dat Identity & Access Management veel belangrijker was dan fysieke securitymaatregelen.
“Onze BIA in Confluence: Een eenvoudig overzicht van onze kritieke en ondersteunende services met de minimale levels gedefinieerd door de board.”
3. Structuur geeft overzicht
Een ISMS is snel een kluwen van beleid en documenten. Door het te verdelen in tien herkenbare thema’s – van governance en risk tot people en communication – ontstaat structuur.
Die thema’s fungeren als kapstok en helpen je kiezen wat wel en niet relevant is. Niet elk bedrijf heeft een brandblusprotocol nodig; een SaaS-organisatie focust liever op databeveiliging en identiteit.
“De tien thema’s vormen de ruggengraat van het ISMS: overzichtelijk, herkenbaar en schaalbaar.”
4. Plaats beleid waar het leeft
Policies horen niet in een mapje “ISMS” dat alleen de auditor kan vinden.
Plaats ze op de plek waar je teams al werken.
Wij gebruiken Confluence: daar lezen, bewerken en linken teams dagelijks aan elkaar’s documenten.
Onder elke policy staat een sectie Evidence & Links met directe verwijzingen naar Jira-tickets, Cloud-settings of Wiz-scans.
Iedereen, let op de juiste autorisatie, kan zo van beleid naar bewijs klikken, zonder losse bestanden of screenshots.
5. Bewijs komt uit de praktijk
Incidenten, onboarding, pentests of changerequests: dat bewijs heb je vaak al, je moet het alleen verbinden.
Wij gebruiken Jira als bron: alles wat relevant is krijgt een label “ISMS Evidence”.
Ook Keyhub (voor IAM), Wiz (voor cloudsecurity) en Datadog (voor monitoring) leveren direct bewijs.
Zo hoef je nooit meer screenshots te verzamelen; bewijs ontstaat vanzelf uit je operationele processen.
“Door labels te gebruiken herkent Jira direct welke tickets als audit-evidence meetellen.”
6. Geef eigenaarschap waar het hoort
Een ISMS leeft pas als eigenaarschap laag in de organisatie ligt.
In Scrut wijzen we controls en bewijzen toe aan de mensen of teams die ermee werken.
De CISO coördineert, maar de verantwoordelijke zit daar waar de kennis is.
Elke twee weken bespreken we de interne auditresultaten met de accountable en de custodian.
Zo wordt het ISMS onderdeel van de normale werkcyclus, niet van een halfjaarlijks project.
“Eigenaarschap zichtbaar per control; iedereen weet wat zijn bijdrage is.”
7. Maak het menselijk: awareness met impact
Awareness-trainingen zijn pas effectief als ze herkenbaar zijn.
We leggen elk thema uit op drie niveaus: wat houdt het in, wat betekent het voor de organisatie, en wat betekent het voor jou?
De sessies zijn kort, praktisch en meerdere keren per jaar.
De vragen worden telkens iets moeilijker.
En soms voegen we een verrassing toe – bijvoorbeeld een gesimuleerde phishingmail. Dat zorgt voor gesprek, en precies dat is de bedoeling: alert blijven.
8. Bouw op echte ervaringen, niet op perfectie (inclusief DRP)
De meeste organisaties voeren braaf hun jaarlijkse DRP-test uit – vaak een database-restore of standaard uitwijk – zonder te vragen of dat eigenlijk wel hun grootste risico is.
Wij draaien het om: welke ‘disaster’ willen we écht kunnen overleven?
Dat kan een langdurige cloud-outage zijn, een kritisch lek in een library, of een verloren IAM-sleutel.
Door DRP te koppelen aan reële scenario’s blijft het relevant.
Policies starten we bewust eenvoudig; verbeteringen komen later, vaak vanuit de teams zelf.
9. Audit-ready by design
Een goed ISMS is automatisch audit-klaar.
Omdat beleid, controls en bewijs aan elkaar gekoppeld zijn, is alles altijd actueel.
Confluence laat zien welke policies review nodig hebben, Scrut bewaakt deadlines en Jira houdt verbeteracties bij.
We werken met een jaarlijkse roadmap en kwartaaldoelen waar teams suggesties aan toevoegen.
Audits zijn daardoor geen stressmomenten meer, maar een logische check op een systeem dat al leeft.
10. Denk in evolutie: 1 % beter
Een ISMS is nooit af.
De scope verandert, risico’s veranderen, mensen veranderen.
De kunst is kleine stappen blijven zetten. Wij hanteren het principe 1 % beter per week — haalbaar, meetbaar en effectief.
Na een jaar ben je 50 % verder, zonder grote reorganisatie.
Wel bewaken we de basis: als MFA verplicht is, dan blijft dat zo.
Verbeteren mag nooit betekenen dat je verslapt.
Tot slot
Een levend ISMS is geen verzameling documenten, maar een manier van werken.
Het leeft in de tools die je al gebruikt, het wordt gedragen door de mensen die ermee werken, en het groeit elke week een beetje verder.
Comments are closed