Is een informatiebeveiligingsbeleid vereist voor ISO 27001?

Ja. ISO 27001 Clausule 5.2 vereist expliciet dat het topmanagement een informatiebeveiligingsbeleid vaststelt dat passend is bij het doel van de organisatie, een commitment bevat tot continue verbetering en een kader biedt voor het stellen van informatiebeveiligingsdoelstellingen. Het beleid moet gedocumenteerd, gecommuniceerd en beschikbaar zijn voor belanghebbenden.

Wat is het verschil tussen een informatiebeveiligingsbeleid en een beleid voor aanvaardbaar gebruik?

Een informatiebeveiligingsbeleid is een document op hoog niveau dat de algehele benadering van de organisatie ten aanzien van informatiebeveiliging definieert — principes, doelstellingen en governancestructuur. Een beleid voor aanvaardbaar gebruik (AUP) is een specifiek, operationeel beleid dat bepaalt hoe medewerkers IT-middelen van de organisatie mogen gebruiken (apparaten, e-mail, internet, software). Het AUP is doorgaans een van de ondersteunende beleidsregels die het informatiebeveiligingsbeleid implementeren.

Hoe vaak moet een informatiebeveiligingsbeleid worden herzien?

ISO 27001 vereist dat het beleid op geplande intervallen of bij significante wijzigingen wordt herzien. Best practice is minimaal jaarlijks herzien, en daarnaast na grote organisatorische veranderingen (fusies, herstructurering), significante beveiligingsincidenten, wijzigingen in wettelijke vereisten of wezenlijke veranderingen in het dreigingslandschap. De herziening moet worden gedocumenteerd met bewijs van managementgoedkeuring.

Wie is verantwoordelijk voor het informatiebeveiligingsbeleid?

ISO 27001 wijst de verantwoordelijkheid toe aan het topmanagement (Clausule 5.1, 5.2). In de praktijk stelt de CISO of Information Security Manager het beleid op en onderhoudt het, maar het moet worden goedgekeurd en onderschreven door de directie. NIS2 gaat verder door expliciet te vereisen dat leden van het bestuurlijk orgaan cyberbeveiligingsrisicobeheermaatregelen goedkeuren en hen mogelijk persoonlijk aansprakelijk te stellen.

Wat moet een informatiebeveiligingsbeleid bevatten?

Een uitgebreid informatiebeveiligingsbeleid moet bevatten: (1) Doel en toepassingsgebied — wat het beleid bestrijkt en waarom; (2) Beveiligingsdoelstellingen — wat de organisatie wil bereiken; (3) Rollen en verantwoordelijkheden — wie waarvoor verantwoordelijk is; (4) Risicobeheerbenadering — hoe risico's worden geïdentificeerd en behandeld; (5) Kernprincipes — classificatie, toegangscontrole, incidentbeheer; (6) Nalevingsvereisten — toepasselijke regelgeving en standaarden; (7) Herziening en verbetering — hoe het beleid wordt onderhouden; (8) Consequenties bij niet-naleving.

Heb ik afzonderlijke beleidsregels nodig voor NIS2-compliance?

NIS2 Artikel 21 vereist 'beleid inzake risicoanalyse en informatiesysteembeveiliging' als eerste van tien risicobeheermaatregelen. Hoewel NIS2 geen specifieke beleidsformaten voorschrijft, hebt u gedocumenteerde beleidsregels nodig die alle tien gebieden bestrijken: risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, toeleveringsketenbeveiliging, netwerkbeveiliging, kwetsbaarheidsbeheer, effectiviteitsbeoordeling, cyberhygiëne, cryptografie en personeelsbeveiliging. Dit kunnen afzonderlijke beleidsregels of secties binnen een beleidskader zijn.

Informatiebeveiligingsbeleid: wat het is, wat erin moet staan en hoe u er een schrijft

Published 7 mrt 2026

By Emre Salmanoglu

Informatiebeveiligingsbeleid: wat het is, wat erin moet staan en hoe u er een schrijft

Q: Wat is een informatiebeveiligingsbeleid?

Een informatiebeveiligingsbeleid is een formeel document dat de aanpak van een organisatie voor het beschermen van informatie-assets definieert. Het stelt beveiligingsdoelstellingen vast, wijst verantwoordelijkheden toe, bepaalt regels voor aanvaardbaar gebruik en vormt de basis voor alle andere beveiligingsmaatregelen. Het is het document op het hoogste niveau binnen een Information Security Management System (ISMS).

Een praktische gids voor informatiebeveiligingsbeleid — wat het is, waarom het belangrijk is, wat erin moet staan, hoe u er een schrijft dat voldoet aan de eisen van ISO 27001, NIS2 en SOC 2, en hoe u het effectief houdt na de initiële certificering.

Informatiebeveiligingsbeleid

ISO 27001

NIS2

SOC 2

ISMS

Beveiligingsgovernance

Informatiebeveiligingsbeleid: wat het is, wat erin moet staan en hoe u er een schrijft

Een informatiebeveiligingsbeleid is het basisdocument van elk beveiligingsprogramma. Het definieert wat uw organisatie beschermt, hoe ze dat doet en wie daarvoor verantwoordelijk is. Elk compliance-framework — ISO 27001, SOC 2, NIS2, DORA — vereist er een, en elke auditor vraagt er als eerste naar.

Deze gids behandelt wat erin moet staan, hoe u het structureert en hoe u het nuttig houdt na de certificeringsplank.

Wat is een informatiebeveiligingsbeleid?

Een informatiebeveiligingsbeleid is een formeel, door het management goedgekeurd document dat de benadering van uw organisatie voor het beschermen van informatie-assets vastlegt. Het dient als het document op het hoogste niveau in uw beveiligingsgovernancestructuur — het stelt principes, doelstellingen en grenzen vast die alle andere beveiligingsmaatregelen en -procedures ondersteunen.

Het beantwoordt drie vragen:

Wat beschermen we? — Het toepassingsgebied van informatie-assets, systemen en processen
Hoe beschermen we het? — De principes, standaarden en benaderingen die de organisatie volgt
Wie is verantwoordelijk? — De governancestructuur, rollen en verantwoordelijkheden

Een goed informatiebeveiligingsbeleid is kort genoeg om te lezen, specifiek genoeg om nuttig te zijn en gezaghebbend genoeg om gedrag te sturen.

Waarom het belangrijk is

Wettelijke vereisten

ISO 27001 Clausule 5.2 vereist een informatiebeveiligingsbeleid goedgekeurd door het topmanagement
NIS2 Artikel 21(2)(a) schrijft beleid voor risicoanalyse en informatiesysteembeveiliging voor
DORA Artikel 5 vereist ICT-risicobeheerbeleid goedgekeurd door het bestuurlijk orgaan
SOC 2 CC1.1 verwacht een gedefinieerde organisatiestructuur met beleidsregels en procedures

Praktische waarde

Naast compliance dient het beleid praktische doelen:

Afstemming — Iedereen werkt vanuit dezelfde beveiligingsverwachtingen
Besliskader — Biedt principes voor het oplossen van beveiligingsafwegingen
Verantwoording — Duidelijk eigenaarschap voorkomt verantwoordelijkheidslacunes
Bewijs — Gedocumenteerd beleid toont governance aan klanten, auditors en toezichthouders
Cultuur — Signaleert dat beveiliging een leiderschapsprioriteit is, niet alleen een IT-aangelegenheid

Wat erin moet staan

1. Doel en toepassingsgebied

Definieer waarom het beleid bestaat en wat het bestrijkt:

Welke informatie-assets vallen binnen het toepassingsgebied (alle organisatie-informatie, of specifieke systemen)
Welke personen vallen eronder (medewerkers, contractanten, derden met toegang)
Welke locaties en systemen zijn inbegrepen
Eventuele uitsluitingen en hun onderbouwing

2. Beveiligingsdoelstellingen

Vermeld wat de organisatie wil bereiken. ISO 27001 vereist dat doelstellingen meetbaar, consistent met het beleid en gemonitord zijn. Gangbare doelstellingen:

De vertrouwelijkheid, integriteit en beschikbaarheid van informatie beschermen
Voldoen aan toepasselijke wettelijke, regelgevende en contractuele vereisten
Het vertrouwen van klanten en belanghebbenden behouden
Het bedrijf in staat stellen veilig te opereren

Vermijd vage doelstellingen. "Een incidentresponstijd onder de 4 uur handhaven voor kritieke incidenten" is beter dan "snel op incidenten reageren."

3. Rollen en verantwoordelijkheden

Wijs duidelijke verantwoordelijkheden toe:

Rol	Verantwoordelijkheid
Directie	Beleid goedkeuren, middelen toewijzen, risicobereidheid vaststellen
CISO / Security Manager	Beleid ontwikkelen en onderhouden, ISMS beheren, rapporteren aan management
IT-operations	Technische maatregelen implementeren, infrastructuurbeveiliging beheren
Afdelingshoofden	Beleid handhaven binnen hun teams, beveiligingszorgen melden
Alle medewerkers	Beleid naleven, beveiligingstraining voltooien, incidenten melden
Derden	Voldoen aan contractuele beveiligingsvereisten

4. Risicobeheerbenadering

Verwijs naar uw risicomanagementkader en -methodologie:

Hoe risico's worden geïdentificeerd en beoordeeld
Risicoacceptatiecriteria en risicobereidheid
Risicobehandelingsproces (verwijs naar het risicobehandelingsplan)
Herziening- en monitoringfrequentie

5. Kernbeveiligingsprincipes

Stel de basisprincipes vast die beveiligingsbeslissingen sturen:

Informatieclassificatie — Hoe informatie wordt gecategoriseerd en behandeld op basis van gevoeligheid
Toegangscontrole — Minimale rechten, need-to-know, functiescheiding
Incidentbeheer — Detectie, respons, melding en leren
Bedrijfscontinuïteit — Weerbaarheidsvereisten en hersteldoelstellingen
Wijzigingsbeheer — Gecontroleerde wijzigingen aan informatiesystemen
Leveranciersbeveiliging — Eisen aan derden met toegang tot informatie

6. Nalevingsvereisten

Vermeld toepasselijke regelgeving en standaarden:

Wettelijke vereisten (NIS2, DORA, AVG)
Branchestandaarden (ISO 27001, SOC 2)
Contractuele verplichtingen (beveiligingseisen van klanten)
Interne standaarden en procedures

7. Beleidsgovernance

Definieer hoe het beleid wordt onderhouden:

Herzieningsfrequentie (minimaal jaarlijks)
Goedkeuringsautoriteit (directie)
Communicatie- en trainingsvereisten
Versiebeheer en wijzigingsgeschiedenis
Uitzonderingsproces bij afwijkingen

8. Handhaving en consequenties

Vermeld de consequenties bij niet-naleving:

Disciplinaire maatregelen voor medewerkers
Contractbeëindiging voor derden
Escalatieprocedures bij incidenten
Meldingskanalen voor beleidsschendingen

Structuur en lengte

Houd het kort

Het informatiebeveiligingsbeleid is een governancedocument, geen procedurehandboek. Het moet 5-15 pagina's beslaan — lang genoeg om volledig te zijn, kort genoeg om gelezen te worden.

Gedetailleerde procedures horen in ondersteunende documenten:

Document	Doel
Informatiebeveiligingsbeleid	Principes en governance op hoog niveau (dit document)
Beleid voor aanvaardbaar gebruik	Regels voor het gebruik van IT-middelen van de organisatie
Toegangscontrolebeleid	Gedetailleerde procedures voor toegangsbeheer
Incidentresponsplan	Stapsgewijze procedures voor incidentafhandeling
Dataclassificatiebeleid	Classificatieniveaus en behandelingsvereisten
Bedrijfscontinuïteitsplan	Continuïteits- en herstelprocedures
Leveranciersbeveiligingsbeleid	Eisen voor beoordeling en monitoring van derden

Schrijf voor de doelgroep

De primaire doelgroep is management, auditors en medewerkers — niet beveiligingsingenieurs. Gebruik duidelijke taal, vermijd onnodig jargon en licht afkortingen bij eerste gebruik toe.

Voldoen aan frameworkvereisten

ISO 27001

ISO 27001 Clausule 5.2 vereist dat het beleid:

Passend is bij het doel van de organisatie
Informatiebeveiligingsdoelstellingen bevat of een kader biedt om deze te stellen
Een commitment bevat om aan toepasselijke vereisten te voldoen
Een commitment bevat tot continue verbetering
Beschikbaar is als gedocumenteerde informatie
Gecommuniceerd wordt binnen de organisatie
Beschikbaar is voor belanghebbenden waar passend

NIS2

NIS2 Artikel 21(2)(a) noemt "beleid inzake risicoanalyse en informatiesysteembeveiliging" als eerste vereiste maatregel. Uw beleidskader moet alle tien Artikel 21-domeinen adresseren:

Beleid voor risicoanalyse en informatiesysteembeveiliging
Incidentafhandeling
Bedrijfscontinuïteit en crisisbeheer
Toeleveringsketenbeveiliging
Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
Beleid en procedures voor het beoordelen van effectiviteit
Basispraktijken voor cyberhygiëne en cyberbeveiligingstraining
Beleid en procedures voor het gebruik van cryptografie
Personeelsbeveiliging, toegangscontrolebeleid en assetmanagement
Gebruik van multi-factor-authenticatie en beveiligde communicatie

SOC 2

De Common Criteria van SOC 2 vereisen gedocumenteerd beleid voor alle Trust Services Criteria-gebieden. Het informatiebeveiligingsbeleid dient als overkoepelend document, met ondersteunende beleidsregels voor elk criteriumdomein.

Veelgemaakte fouten

Een beleid schrijven dat niemand leest. Een document van 50 pagina's vol juridische taal wordt gearchiveerd en vergeten. Houd het beknopt en uitvoerbaar.
Sjablonen kopiëren zonder aanpassing. Generieke sjablonen missen uw specifieke regelgevingsvereisten, risicolandschap en organisatiecontext. Sjablonen zijn vertrekpunten, geen eindproducten.
Het beleid als statisch behandelen. Een informatiebeveiligingsbeleid dat twee jaar niet is herzien, vormt een compliance-risico. Regelmatige herziening houdt het afgestemd op actuele dreigingen, regelgeving en bedrijfsveranderingen.
Geen managementbekrachtiging. Een beleid zonder goedkeuring van de directie mist gezag. ISO 27001 en NIS2 vereisen beide expliciet managementcommitment — handtekeningen zijn van belang.
Beleid loskoppelen van de praktijk. Als het beleid het ene zegt en de organisatie het andere doet, hebt u een auditbevinding. Zorg dat beleidsregels de daadwerkelijke praktijk weerspiegelen, of pas de praktijk aan op het beleid.

Van beleid naar bewijs

Het hebben van beleid is de eerste stap. Aantonen dat het is geïmplementeerd, nageleefd en effectief is, is wat auditors en toezichthouders daadwerkelijk beoordelen:

Communicatiebewijs — Bewijs dat het beleid is verspreid en erkend
Trainingsregistraties — Bewijs dat medewerkers hun verantwoordelijkheden begrijpen
Herzieningsgeschiedenis — Gedocumenteerde herzieningen met managementgoedkeuring
Nalevingsmonitoring — Bewijs dat aan beleidsvereisten wordt voldaan
Incidentregistraties — Aantonen dat het beleid wordt toegepast bij beveiligingsgebeurtenissen

Een Trust Center maakt dit bewijs toegankelijk voor externe belanghebbenden — door uw beleidskader, nalevingsstatus en certificeringsbewijs te publiceren zodat kopers en auditors uw beveiligingsgovernance kunnen verifiëren.

Hoe Orbiq informatiebeveiligingsbeleid ondersteunt

Trust Center: Publiceer uw beveiligingsgovernance-framework, certificeringen en beleidssamenvatting voor due diligence door kopers
Bewijsbeheer: Geautomatiseerde verzameling van compliance-bewijs dat beleidsimplementatie aantoont
Continue monitoring: Volg de effectiviteit van maatregelen om te waarborgen dat beleidsregels in de praktijk worden nageleefd
AI-gestuurde vragenlijsten: Beantwoord beveiligingsvragen van kopers over uw beleid automatisch

Verder lezen

Risicomanagement-frameworks — Het juiste framework kiezen voor uw ISMS
Compliance-automatisering — De bewijsverzameling automatiseren die beleidsimplementatie aantoont
NIS2-compliance: de complete gids — NIS2-beleidsvereisten in detail

Deze gids wordt onderhouden door het Orbiq-team. Laatste update: maart 2026.