Wat is een ISO 27001 checklist?

Een ISO 27001 checklist is een stapsgewijze gids die alle vereisten dekt die u moet vervullen vóór een certificeringsaudit: het ISMS-toepassingsgebied bepalen, een risicobeoordeling uitvoeren, Bijlage A-maatregelen selecteren, verplichte documentatie opstellen, een interne audit uitvoeren, enzovoort. De volledige implementatie omvat doorgaans 14 afzonderlijke stappen.

Hoeveel beheersmaatregelen bevat Bijlage A van ISO 27001:2022?

Bijlage A van ISO 27001:2022 bevat 93 beheersmaatregelen georganiseerd in vier thema's: Organisatorisch (37 maatregelen), Mensen (8 maatregelen), Fysiek (14 maatregelen) en Technologisch (34 maatregelen). Dit is een vermindering ten opzichte van de 114 maatregelen in ISO 27001:2013.

Welke documenten zijn verplicht voor ISO 27001-certificering?

Verplichte documenten omvatten: ISMS-toepassingsgebied, informatiebeveiligingsbeleid, risicobeoordelmethodiek, risicobehandelingsplan, Verklaring van Toepasselijkheid (VvT), informatiebeveiligingsdoelstellingen, competentiebewijzen, monitoringbewijzen, intern auditprogramma en -resultaten, management review-verslagen, en registraties van non-conformiteiten en corrigerende maatregelen.

Hoe lang duurt de implementatie van ISO 27001?

De meeste organisaties behalen ISO 27001-certificering in 6 tot 12 maanden. Kleine bedrijven met volwassen beveiligingspraktijken kunnen dit terugbrengen tot 3 tot 6 maanden. Compliance-automatiseringssoftware verkort de implementatiefase doorgaans met 40 tot 60% vergeleken met handmatige benaderingen.

Wat zijn de meest voorkomende redenen waarom bedrijven zakken voor het ISO 27001-audit?

De belangrijkste redenen voor het mislukken van een audit zijn: onvolledige of verouderde documentatie, discrepantie tussen schriftelijk beleid en werkelijke praktijk, ontoereikende risicobeoordeling (geen actueel risicoregister), onvoldoende bewijs van management review, en niet-geteste bedrijfscontinuïteitsplannen.

Wat is de Verklaring van Toepasselijkheid bij ISO 27001?

De Verklaring van Toepasselijkheid (VvT) is een verplicht document dat alle 93 Bijlage A-maatregelen opsomt, aangeeft of elke maatregel van toepassing is of uitgesloten, en beide beslissingen onderbouwt. Uw auditor gebruikt de VvT als leidraad — elke maatregel die als van toepassing is aangemerkt, moet worden onderbouwd met implementatiebewijzen.

ISO 27001 Checklist: 14-Stappen Implementatieroadmap voor 2026

2026-03-17

By Orbiq Team

ISO 27001 Checklist: 14-Stappen Implementatieroadmap voor 2026

Een praktische ISO 27001 checklist met alle 14 implementatiestappen — van gap-analyse tot certificeringsaudit. Inclusief Bijlage A-beheersmaatregelen, verplichte documenten en veelvoorkomende faalpatronen.

iso-27001

checklist

compliance

isms

certificering

ISO 27001 Checklist: 14-Stappen Implementatieroadmap voor 2026

ISO 27001-certificering is geen eenmalige gebeurtenis. Het is een gestructureerd programma dat maanden van planning, implementatie, documentatie en auditing omvat. Organisaties die mislukken — en dat zijn er veel bij de eerste poging — struikelen bijna altijd over dezelfde vermijdbare problemen: onvolledige documentatie, tegenstrijdig beleid of een risicobeoordeling die niet is bijgewerkt sinds de eerste opstelling.

Deze checklist leidt u door elke stap in de juiste volgorde. Volg hem sequentieel en u arriveert bij uw certificeringsaudit zonder verrassingen.

Wat u nodig hebt voor u begint

Controleer drie dingen voordat u begint met implementatiewerk:

Betrokkenheid van het management is gewaarborgd. ISO 27001 clausule 5.1 vereist dat het topmanagement leiderschap en betrokkenheid toont. Zonder actieve steun van de directie — niet alleen een handtekening — stagneren de meeste ISMS-projecten binnen 60 dagen wanneer concurrerende prioriteiten opduiken.
Er is een budget toegewezen. De totale kosten voor een middelgroot bedrijf liggen doorgaans tussen €20.000 en €80.000 over de driejarige certificeringscyclus, inclusief consultantkosten, de certificeringsaudit zelf en jaarlijkse surveillanceaudits. De kosten worden verwacht met circa 20% te stijgen in 2026 ten opzichte van 2025 [1].
Er is een ISMS-eigenaar aangesteld. Iemand moet dagelijks verantwoordelijk zijn voor dit programma. Dat is vaak een CISO, Hoofd Informatiebeveiliging, of een aangestelde Information Security Manager.

In Nederland worden ISO 27001-certificeringsaudits uitgevoerd door certificerende instellingen die zijn geaccrediteerd door de Raad voor Accreditatie (RvA). Bekende certificerende instellingen zijn onder andere Bureau Veritas, Lloyd's Register, BSI en TÜV Rheinland Nederland.

De ISO 27001 Implementatiechecklist

Stap 1: ISMS-toepassingsgebied bepalen

Wat u moet produceren: Een schriftelijk document over het ISMS-toepassingsgebied.

Het toepassingsgebied bepaalt welke onderdelen van uw organisatie, welke locaties, welke informatiemiddelen en welke processen onder het ISMS vallen. Een te smal toepassingsgebied kan de auditor tevreden stellen maar laat materiële risico's buiten het programma. Een te breed toepassingsgebied maakt de implementatie onbeheerbaar.

Checklistitems voor stap 1:

Organisatorische eenheden in het ISMS identificeren
Producten, diensten of processen in het toepassingsgebied definiëren
Interne en externe interfaces en afhankelijkheden documenteren
Toepassingsgebied bevestigen met management en goedkeuring vastleggen

Veelgemaakte fout: Cloudinfrastructuur of externe verwerkers uit het toepassingsgebied houden om de implementatie te vereenvoudigen. Auditoren vragen hier steeds vaker expliciet naar, met name na NIS2 en DORA waar ketenverantwoordelijkheid verplicht is.

Stap 2: Gap-analyse uitvoeren

Wat u moet produceren: Een gap-analyserapport dat uw huidige situatie vergelijkt met de vereisten van ISO 27001:2022.

Een gap-analyse vergelijkt uw bestaande beveiligingsmaatregelen, beleid en processen met elke clausule (clausules 4 tot 10) en elke toepasselijke Bijlage A-maatregel. Het laat zien hoeveel werk er nog ligt en waar u prioriteit aan moet geven.

Checklistitems voor stap 2:

Alle 11 clausules van ISO 27001:2022 doorlichten (clausules 4 tot 10 zijn auditeerbaar)
Bestaande maatregelen koppelen aan Bijlage A-categorieën
Ontbrekende verplichte documentatie identificeren
Hiaten prioriteren op risiconiveau en implementatie-inspanning
Benodigde middelen en tijdlijn inschatten

Een professionele gap-analyse door een externe consultant kost doorgaans €5.000 tot €15.000 [2]. Automatiseringsplatforms zoals Orbiq kunnen een doorlopende gap-analyse uitvoeren als onderdeel van hun ISMS-monitoringcapaciteit, wat dit verandert van een momentopname naar een continu proces.

Stap 3: ISMS-raamwerk opzetten

Wat u moet produceren: ISMS-beleidsdocumenten en governancestructuur.

Stel de governancelaag in voordat u begint met het schrijven van maatregelen:

Checklistitems voor stap 3:

Informatiebeveiligingsbeleid opstellen (vereiste van clausule 5.2)
Rollen en verantwoordelijkheden voor informatiebeveiliging definiëren
ISMS-commissie of stuurgroep instellen
Informatiebeveiligingsdoelstellingen vaststellen (meetbaar, clausule 6.2)
ISMS-projectplan opstellen met mijlpalen

Het informatiebeveiligingsbeleid moet worden goedgekeurd door het topmanagement, worden gecommuniceerd aan alle medewerkers en beschikbaar zijn voor relevante belanghebbenden. Eén pagina is voldoende als het doel, doelstellingen, principes en de verbintenis tot voortdurende verbetering dekt.

Stap 4: Risicobeoordeling uitvoeren

Wat u moet produceren: Methodiekdocument voor risicobeoordeling + ingevuld risicoregister.

Dit is de motor van uw ISMS. Alles wat volgt — welke maatregelen u implementeert, wat uw Verklaring van Toepasselijkheid zegt, hoe u prioriteiten stelt — vloeit voort uit de risicobeoordeling.

ISO 27001:2022 clausule 6.1.2 vereist dat u:

Criteria voor het aanvaarden van risico's bepaalt
Een herhaalbare methodiek opstelt voor het identificeren en beoordelen van risico's
Risico's identificeert in verband met het verlies van vertrouwelijkheid, integriteit of beschikbaarheid van informatie
De waarschijnlijkheid en gevolgen van elk risico beoordeelt
Risico's prioriteert voor behandeling

Checklistitems voor stap 4:

Risicobeoordelmethodiek en -criteria documenteren
Informatiemiddelen binnen het toepassingsgebied identificeren
Bedreigingen en kwetsbaarheden voor elk middel identificeren
Waarschijnlijkheid en impact beoordelen (gebruik een consistente schaal)
Risiconiveaus berekenen en rangschikken
Risicoeigenaren aanwijzen voor elk significant risico
Risicoregister beoordelen en laten goedkeuren door het management

Wat de meeste handleidingen niet vermelden: De risicobeoordeling is geen eenmalig document. Auditoren controleren of uw risicoregister is bijgewerkt wanneer het bedrijf verandert — nieuwe producten, nieuwe clouddiensten, M&A-activiteiten of significante regelgevingswijzigingen. Een risicoregister dat niet is aangeraakt sinds de initiële certificering is een waarschuwingssignaal dat tot dieper onderzoek leidt.

Stap 5: Risicobehandelingsplan opstellen

Wat u moet produceren: Risicobehandelingsplan + Verklaring van Toepasselijkheid (VvT).

Voor elk risico boven uw acceptatiedrempel moet u een behandelingsoptie kiezen: mitigeren (een maatregel implementeren), overdragen (verzekering of contract), aanvaarden (beslissing documenteren) of vermijden (de activiteit verwijderen).

Checklistitems voor stap 5:

Behandelingsopties selecteren voor alle onaanvaardbare risico's
Behandelingsbeslissingen koppelen aan specifieke Bijlage A-maatregelen
Onderbouwingen documenteren voor opgenomen en uitgesloten maatregelen
Verklaring van Toepasselijkheid (VvT) opstellen — alle 93 Bijlage A-maatregelen moeten erin voorkomen
Risicobehandelingsplan laten goedkeuren door het management

De VvT in detail: De Verklaring van Toepasselijkheid is waarschijnlijk het belangrijkste document in uw ISMS. Het moet alle 93 Bijlage A-maatregelen van ISO 27001:2022 bevatten, aangeven of elke maatregel van toepassing is of uitgesloten, de beslissing in beide richtingen onderbouwen en — voor van toepassing zijnde maatregelen — de implementatiestatus aangeven. Uw certificeringsauditor gebruikt dit document als zijn primaire leidraad.

Stap 6: Bijlage A-maatregelen implementeren

Wat u moet produceren: Bewijs van geïmplementeerde maatregelen (beleid, procedures, configuraties, registraties).

Bijlage A van ISO 27001:2022 bevat 93 maatregelen georganiseerd in vier thema's [3]:

Thema	Maatregelen	Voorbeelden
Organisatorisch	37	Informatiebeveiligingsbeleid, middelenbeheer, toegangsbeheerbeleid, leveranciersrelaties
Mensen	8	Screening, arbeidsvoorwaarden, informatiebeveiligingsbewustzijn, disciplinair proces
Fysiek	14	Fysieke beveiligingsperimeters, clean desk-beleid, veilige vernietiging van media
Technologisch	34	Gebruikersendpoints, geprivilegieerde toegang, malwarebeveiliging, back-up, logging, versleuteling

Niet alle 93 maatregelen zijn van toepassing op uw organisatie. De VvT documenteert welke van toepassing zijn en waarom. Het uitsluiten van een maatregel vereist echter een gedocumenteerde onderbouwing — "we hebben geen fysieke kantoren" is geldig voor fysieke perimetermaatregelen; "het zou te lang duren om te implementeren" niet.

Checklistitems voor stap 6:

Alle in de VvT als van toepassing gemarkeerde maatregelen implementeren
Procedures schrijven voor elke geïmplementeerde maatregel
Implementatiebewijzen verzamelen en opslaan (screenshots, configuraties, registraties)
Maatregel-eigenaren aanwijzen die verantwoordelijk zijn voor voortdurende werking
Nieuwe ISO 27001:2022-specifieke maatregelen beoordelen: dreigingsinformatie (5.7), cloudbeveiliging (5.23), ICT-continuïteit (5.30), gegevensmaskering (8.11), preventie van gegevenslekken (8.12), webfiltering (8.23), veilig programmeren (8.28)

Stap 7: Verplichte documentatie opstellen

Wat u moet produceren: Een volledig pakket vereiste gedocumenteerde informatie.

ISO 27001:2022 specificeert verplichte gedocumenteerde informatie in meerdere clausules. Het ontbreken van een van deze documenten is automatisch een non-conformiteit.

Checklist verplichte documenten:

Tip: De kwaliteit van documentatie is even belangrijk als de kwantiteit. Auditoren herkennen documenten die zijn opgesteld alleen om de audit te doorstaan en vervolgens zijn weggelegd. Beleid moet verwijzen naar echte processen; procedures moeten overeenkomen met wat medewerkers werkelijk doen.

Stap 8: Beveiligingsbewustzijnsprogramma uitvoeren

Wat u moet produceren: Trainingsregistraties en documentatie van het bewustzijnsprogramma.

ISO 27001:2022 clausule 7.3 vereist dat alle medewerkers zich bewust zijn van het informatiebeveiligingsbeleid, hun bijdrage aan de ISMS-doeltreffendheid en de gevolgen van non-conformiteit.

Checklistitems voor stap 8:

Beveiligingsbewustzijnstraining ontwerpen en verzorgen voor alle medewerkers
Rolspecifieke trainingen uitvoeren voor hoog-risico functies (IT, financiën, HR)
Trainingsafronding en beoordelingsresultaten vastleggen
Opfriscursussen inplannen (minimaal jaarlijks)
Beveiligingsbewustzijn opnemen in het onboardingproces van nieuwe medewerkers

Stap 9: Monitoring en meting implementeren

Wat u moet produceren: Monitoringmetrieken, meetprocedures en bewijs van regelmatige beoordelingen.

Clausule 9.1 vereist dat u bepaalt wat moet worden gemonitord, hoe dit te doen, wanneer en wie verantwoordelijk is. U moet voortdurende doeltreffendheid van maatregelen kunnen aantonen — niet alleen de initiële implementatie.

Checklistitems voor stap 9:

KPI's en metrieken definiëren voor sleutelmaatregelen (bijv. patch-dekking %, voltooiingspercentage toegangsbeoordelingen %, responstijd incidenten)
Technische monitoring implementeren (SIEM, kwetsbaarheidsscanning, toegangslogboeken)
Meetmethodiek documenteren
Cadans instellen voor het beoordelen van metrieken (maandelijks aanbevolen, driemaandelijks minimum)
Management-dashboards of -rapporten opstellen

Stap 10: Interne audit uitvoeren

Wat u moet produceren: Intern auditprogramma, individuele auditrapporten en registraties van corrigerende maatregelen.

ISO 27001:2022 clausule 9.2 vereist interne audits op geplande intervallen. De meeste certificerende instellingen verwachten minimaal één volledige interne auditcyclus vóór de fase-2 certificeringsaudit.

Checklistitems voor stap 10:

Formeel intern auditprogramma opstellen dat alle ISMS-clausules dekt
Auditfrequentie plannen — hoog-risicogebieden vaker auditoren
Interne auditoren aanstellen die onafhankelijk zijn van de gebieden die worden geauditeerd
Audits uitvoeren conform de norm en uw eigen gedocumenteerde procedures
Alle bevindingen documenteren, inclusief conformiteiten en non-conformiteiten
Corrigerende maatregelen opstarten voor elke non-conformiteit
Verifiëren dat corrigerende maatregelen zijn geïmplementeerd vóór de certificeringsaudit

Timing: Start interne audits minimaal zes maanden vóór uw geplande fase-2 certificeringsaudit. Dit geeft u de tijd om non-conformiteiten te identificeren en op te lossen voordat de externe auditor arriveert.

Stap 11: Management review uitvoeren

Wat u moet produceren: Verslagen van management review en actieregistraties.

Clausule 9.3 vereist dat het topmanagement het ISMS op geplande intervallen beoordeelt. Dit is geen formaliteit — auditoren lezen uw management review-verslagen zorgvuldig door om echte betrokkenheid van de directie te verifiëren.

Verplichte inputs voor de management review omvatten:

Status van acties uit voorgaande beoordelingen
Veranderingen in externe/interne kwesties relevant voor het ISMS
Feedback over beveiligingsprestaties (auditresultaten, non-conformiteiten, monitoringmetrieken)
Resultaten van risicobeoordeling en status van het risicobehandelingsplan
Kansen voor voortdurende verbetering

Checklistitems voor stap 11:

Management review plannen minimaal 8 weken vóór de fase-2 audit
Agenda voorbereiden die alle verplichte inputs dekt (clausule 9.3.2)
Vergadering vastleggen met voldoende details om echte beoordeling te bewijzen
Outputs documenteren: beslissingen over verbeterkansen, resourcebehoeften, ISMS-wijzigingen
Actie-eigenaren en voltooiingsdata toewijzen

Stap 12: Alle non-conformiteiten oplossen

Wat u moet produceren: Registraties van corrigerende maatregelen met grondoorzaakanalyse en geverifieerde afsluiting.

Vóór fase 2 moet elke non-conformiteit die door interne audits is geïdentificeerd worden aangepakt. Dit betekent:

De grondoorzaak identificeren (niet alleen het symptoom)
Een corrigerende maatregel implementeren die de grondoorzaak aanpakt
De doeltreffendheid van de maatregel verifiëren
Het volledige proces documenteren

Checklistitems voor stap 12:

Alle open interne auditbevindingen doorlopen
Grondoorzaakanalyse uitvoeren voor elke non-conformiteit
Corrigerende maatregelen implementeren en documenteren
Maatregelen die door non-conformiteiten worden beïnvloed opnieuw testen
Afsluiting van corrigerende maatregelen laten goedkeuren door de betreffende maatregel-eigenaar

Stap 13: Fase-1 audit — Documentatiebeoordeling

Wat er gebeurt: De certificerende instelling beoordeelt uw documentatie en bevestigt gereedheid voor fase 2.

Fase 1 is primair een bureauonderzoek. De auditor controleert:

Dat alle verplichte documenten bestaan en actueel zijn
Dat uw ISMS-toepassingsgebied passend is
Dat de Verklaring van Toepasselijkheid compleet is
Dat interne audits en management reviews zijn uitgevoerd

Fase 1 duurt doorgaans 1 tot 2 dagen en resulteert in een van drie uitkomsten: klaar om door te gaan, kleine verduidelijkingen nodig, of grote hiaten die voor fase 2 moeten worden verholpen.

Checklistitems voor stap 13:

Bevestigen dat alle verplichte documenten volledig en goedgekeurd zijn
Zorgdragen dat de VvT actueel is en het risicobehandelingsplan weerspiegelt
Bewijzen van interne audit en management review beschikbaar stellen
Team informeren over wat te verwachten bij auditorinterviews
Fase-1-bevindingen aanpakken vóór fase 2

Stap 14: Fase-2 audit — Certificeringsaudit

Wat er gebeurt: De auditor test de implementatiedoeltreffendheid via interviews, tests en steekproeven.

Fase 2 is de volledige certificeringsaudit. De auditor zal:

Medewerkers op meerdere niveaus interviewen
Technische maatregelen testen (screenshots, configuraties, logboeken opvragen)
Bewijzen van operationele processen steekproefsgewijs beoordelen
Registraties doorlichten om doorlopende werking te bevestigen, niet alleen de initiële instelling

Fase-2-bevindingen vallen in drie categorieën:

Grote non-conformiteit: Certificering kan pas worden afgegeven na oplossing. Betekent vaak een vervolgaudit.
Kleine non-conformiteit: Certificering kan worden afgegeven met een corrigerende maatregelenplan dat binnen 90 dagen gereed moet zijn.
Observatie: Adviserend punt zonder verplichte actie vereist.

Checklistitems voor stap 14:

Bewijspakketten voorbereiden voor alle van toepassing zijnde Bijlage A-maatregelen
Medewerkers briefen die waarschijnlijk worden geïnterviewd (met name IT, HR, management)
Alle documentatie gemakkelijk toegankelijk houden — papier en digitaal
Één aanspreekpunt aanwijzen voor de auditlogistiek
Post-audit corrigerende maatregelen inplannen in uw projectschema

Na certificering: ISO 27001 in stand houden

Certificering is niet de finish. ISO 27001 werkt op een driejarige certificeringscyclus met jaarlijkse surveillanceaudits in jaar 1 en 2 en een volledige hercertificeringsaudit in jaar 3.

Doorlopende verplichtingen:

Jaarlijkse surveillanceaudits (doorgaans 1 tot 2 dagen, kosten €3.000 tot €7.500 per audit)
Jaarlijkse beoordeling van risicobeoordeling en bijwerking van risicoregister
Jaarlijkse interne auditcyclus
Jaarlijkse management review
Onmiddellijke melding aan de certificerende instelling van significante wijzigingen in toepassingsgebied of beveiligingspositie
Continue monitoring van maatregelen

De meest voorkomende reden waarom organisaties hun certificering verliezen tussen surveillanceaudits is dat ze het ISMS als een project behandelen in plaats van een doorlopend programma. De maatregelen worden niet meer uitgevoerd, het risicoregister wordt niet meer bijgewerkt, en de kloof die in 12 maanden ontstaat, kost nog eens 6 maanden om te dichten.

ISO 27001 Kostenoverzicht (2026)

Component	Klein bedrijf (<50 medewerkers)	Middelgroot bedrijf (50–500 medewerkers)	Groot bedrijf (500+ medewerkers)
Gap-analyse	€3.000–€8.000	€8.000–€20.000	€20.000–€50.000
Implementatie (consultancy)	€5.000–€15.000	€15.000–€40.000	€40.000–€100.000
Certificeringsaudit (fase 1+2)	€5.000–€10.000	€10.000–€25.000	€25.000–€60.000
Jaarlijkse surveillanceaudit	€3.000–€5.000	€5.000–€7.500	€7.500–€20.000
3-jaar totaal (platform)	€15.000–€30.000	€30.000–€80.000	€80.000–€200.000

De kosten stijgen naar verwachting met circa 20% in 2026 ten opzichte van 2025, gedreven door toegenomen vraag en beperkte beschikbaarheid van geaccrediteerde auditoren [1].

De 7 meest voorkomende ISO 27001 auditfouten

Weten waarom organisaties mislukken helpt u dezelfde fouten te vermijden:

Onvolledige documentatie. Als een document niet bestaat op het moment van audit, bestaat de maatregel niet. Ontbrekende verplichte documenten — met name de VvT, het risicoregister of het interne auditrapport — kunnen de audit beëindigen voordat hij goed op gang is [4].
Discrepantie tussen beleid en praktijk. Het toegangsbeheerbeleid stelt dat accounts driemaandelijks worden beoordeeld. De auditor raadpleegt het toegangsbeoordelingslogboek en vindt geen beoordelingen in 18 maanden. Dit is een grote non-conformiteit.
Verouderde risicobeoordeling. Het bedrijf heeft drie nieuwe producten gelanceerd, is gemigreerd naar een nieuwe cloudprovider en heeft 40 mensen aangenomen sinds de laatste update van de risicobeoordeling. Het risicoregister moet het bedrijf weerspiegelen dat u vandaag exploiteert.
Ontoereikende management review. Een e-mailwisseling van twee alinea's vormt geen management review. Auditoren verwachten gedocumenteerde verslagen met inhoudelijke bespreking van prestatiemetrieken en verbeteringsacties.
Geen opvolging van corrigerende maatregelen. Interne audits identificeerden non-conformiteiten maar ze werden geregistreerd en nooit afgesloten. Open corrigerende maatregelen bij fase 2 zijn een waarschuwingssignaal.
Niet-geteste continuïteitsplannen. ISO 27001 vereist dat bedrijfscontinuïteitsplannen worden getest. Een plan dat nooit is geoefend, kan niet als doeltreffend worden bewezen [5].
Geïmplementeerde maar niet-werkende maatregelen. Een logboekbeleid bestaat. Een SIEM is geconfigureerd. Maar niemand heeft de SIEM-meldingen de afgelopen vier maanden bekeken. Implementatie zonder doorlopende werking slaagt niet voor de doeltreffendheidstest.

Aanvullende bronnen

Voor een gedetailleerde kostenuitsplitsing, zie onze ISO 27001 certificeringskosten-gids. Voor de volledige technische diepgaande analyse van de norm, zie ISO 27001 Certificering: De Volledige Gids.

Als u uw implementatietijdlijn wilt verkorten en de doorlopende bewijsverzameling wilt automatiseren, automatiseert Orbiq's ISMS-platform 70% van het doorlopende compliance-werk — van risicoregisterbeheer tot Bijlage A-maatregel-monitoring.

ISO 27001 Checklist: 14-Stappen Implementatieroadmap voor 2026

ISO 27001 Checklist: 14-Stappen Implementatieroadmap voor 2026

Wat u nodig hebt voor u begint

De ISO 27001 Implementatiechecklist

Stap 1: ISMS-toepassingsgebied bepalen

Stap 2: Gap-analyse uitvoeren

Stap 3: ISMS-raamwerk opzetten

Stap 4: Risicobeoordeling uitvoeren

Stap 5: Risicobehandelingsplan opstellen

Stap 6: Bijlage A-maatregelen implementeren

Stap 7: Verplichte documentatie opstellen

Stap 8: Beveiligingsbewustzijnsprogramma uitvoeren

Stap 9: Monitoring en meting implementeren

Stap 10: Interne audit uitvoeren

Stap 11: Management review uitvoeren

Stap 12: Alle non-conformiteiten oplossen

Stap 13: Fase-1 audit — Documentatiebeoordeling

Stap 14: Fase-2 audit — Certificeringsaudit

Na certificering: ISO 27001 in stand houden

ISO 27001 Kostenoverzicht (2026)

De 7 meest voorkomende ISO 27001 auditfouten

Aanvullende bronnen

Bronnen & Referenties