ISO 27001-checklist: in 8 stappen naar certificering
Een ISO 27001-certificering haal je niet in één middag, maar met een duidelijke checklist wordt het traject overzichtelijk. Hieronder de acht stappen van scope tot certificaat — en hoe je elke stap met private AI versnelt.
1. Bepaal de scope en context
Leg vast welke processen, locaties en systemen onder je managementsysteem voor informatiebeveiliging (ISMS) vallen. Breng belanghebbenden, wettelijke eisen en je risicocontext in kaart. Een scherpe scope voorkomt later onnodig werk.
2. Voer een risicobeoordeling uit
Identificeer informatiebeveiligingsrisico's, bepaal impact en waarschijnlijkheid en prioriteer ze. Dit is het hart van ISO 27001: maatregelen volgen uit risico's, niet andersom.
3. Stel je Verklaring van Toepasselijkheid (VvT) op
Bepaal welke van de 93 Annex A-maatregelen van toepassing zijn en motiveer in- of uitsluiting. De VvT (Statement of Applicability) is een kerndocument voor de auditor.
4. Implementeer de Annex A-maatregelen
Voer de gekozen organisatorische, persoonsgebonden, fysieke en technologische maatregelen in. Wijs eigenaren toe en plan de uitvoering met duidelijke deadlines.
5. Documenteer beleid en procedures
Leg beleid, rollen en procedures vast — van toegangsbeheer tot incidentrespons. Documentatie maakt je beheer aantoonbaar voor de auditor.
6. Train medewerkers en creëer bewustzijn
De meeste incidenten ontstaan bij mensen. Zorg voor bewustwordingstraining en vastgelegde afspraken over veilig gedrag.
7. Voer een interne audit en directiebeoordeling uit
Toets je ISMS intern op effectiviteit en laat de directie de resultaten beoordelen. Corrigeer afwijkingen vóór de externe audit.
8. De certificeringsaudit (Fase 1 en 2)
Een geaccrediteerde certificerende instantie toetst eerst je documentatie (Fase 1) en daarna de werking in de praktijk (Fase 2). Daarna volgt jaarlijkse surveillance om je certificaat te behouden.
Sneller met private AI
SQwaire automatiseert de zwaarste stappen: de private AI-agents stellen risicobeoordelingen en beleid op, koppelen maatregelen aan bewijs en bereiden audits voor — op een private LLM, zodat je data je omgeving nooit verlaat. Bekijk het volledige ISO 27001-platform of boek een demo.
SQwaire