Service aanvraag Neem contact op
Branches
Hoofdmenu
Contact
Support Bereikbaar
Vandaag bereikbaar t/m 17:00
Veenendaal
Wiltonstraat 41e
3905 KW Veenendaal


info@masugro.nl
088 040 8200
Neem contact met ons op Service aanvraag
Werken bij Masugro? Bekijk vacatures
Samenwerken? Met plezier gaan we voor jou aan de slag!
ISO 27001 regelen? Begin hier
Blog

​ISO 27001 regelen? Begin hier (en niet bij een cursus)

Jasper van Riessen op 27 mei 2026

Je directie zegt: “Regel ISO 27001.” Je knikt, loopt terug naar je bureau en denkt: waar begin ik? Je googelt, je leest, je verdrinkt in documenten over risicoanalyses, Annex A en Statement of Applicability. Herkenbaar? In deze blog vertelt Ewout Joosten, mede-eigenaar van Masugro, welke vijf stappen je als eerste zet. Zonder cursus, zonder dikke handleiding. Gewoon beginnen met wat werkt.

De opdracht klinkt simpeler dan hij is

“Regel ISO 27001.” Drie woorden, maar erachter zit een wereld aan rollen, processen, documentatie en technische maatregelen. De meeste IT managers of operations managers die deze opdracht krijgen, hebben geen compliance achtergrond. Ze beheren netwerken, lossen tickets op en houden de boel draaiend. En nu moeten ze ineens een managementsysteem voor informatiebeveiliging opzetten.

Het goede nieuws: je hoeft geen expert te worden. Je moet weten waar je begint, wie je nodig hebt en welke stappen je in welke volgorde zet. Dat is precies wat we hier doorlopen.

Stap 1. Bepaal wie welke rol krijgt

Voordat je ook maar één document schrijft, moet je weten wie waarvoor verantwoordelijk is. ISO 27001 vraagt minimaal om een Security Officer, een Privacy Officer, een Risk Manager en iemand die wijzigingen beheert. In veel organisaties van 80 tot 500 medewerkers bestaan die rollen niet. Of ze zijn belegd bij iemand die er geen tijd voor heeft.

Dat hoeft geen probleem te zijn. Eén persoon mag meerdere rollen combineren, zolang je het vastlegt en de tijdsbesteding realistisch inschat. Reken op twee tot vier uur per week per rol, afhankelijk van de organisatiegrootte. Maak een overzicht van de rollen, koppel er namen aan en bespreek het met je directie. Want zonder hun akkoord kom je niet ver.

Stap 2. Richt je ISMS in als werkend systeem

Een ISMS (Information Security Management System) klinkt als een softwarepakket, maar het is vooral een manier van werken. Het beschrijft hoe jouw organisatie omgaat met informatiebeveiliging: welk beleid geldt, wie beslist, hoe je risico’s beheert en hoe je verbeteringen doorvoert.

Begin klein. Stel een informatiebeveiligingsbeleid op van maximaal twee pagina’s. Beschrijf daarin de scope (welke systemen en processen vallen eronder), de verantwoordelijkheden en de doelstellingen. Laat je directie dit goedkeuren. Dat document is je startpunt. Alles wat je daarna doet, vloeit hieruit voort.

Stap 3. Breng je risico’s in kaart

De risicoanalyse is het hart van ISO 27001. Hier bepaal je wat er mis kan gaan, hoe waarschijnlijk dat is en wat de impact zou zijn. Denk aan: ongeautoriseerde toegang tot klantgegevens, uitval van bedrijfskritische systemen, ransomware of het vertrek van de enige persoon die weet hoe de back-ups werken.

Maak het niet te ingewikkeld. Gebruik een eenvoudige matrix met kans en impact. Scoor elk risico op een schaal van 1 tot 5. Prioriteer de risico’s die hoog scoren en koppel er maatregelen aan. Die maatregelen vind je grotendeels terug in de CIS Controls, een set van 18 praktische beveiligingsmaatregelen die goed aansluiten op ISO 27001.

Stap 4. Pak de quick wins

Na de risicoanalyse weet je waar de gaten zitten. Sommige daarvan los je snel op. Multifactorauthenticatie instellen op alle accounts? Dat kost je een middag en blokkeert volgens Microsoft tot 99,9% van de geautomatiseerde aanvallen. Verouderde accounts van ex-medewerkers opruimen? Een uur werk dat direct risico wegneemt.

Begin met de maatregelen die weinig tijd kosten maar veel opleveren. Dat geeft intern vertrouwen en laat zien dat het traject niet alleen papierwerk oplevert. Je directie ziet resultaat, je collega’s merken dat het werkbaar is. Dat momentum heb je nodig voor de volgende stap.

Stap 5. Creëer draagvlak (want alleen red je het niet)

Dit is de stap die de meeste IT managers onderschatten. ISO 27001 raakt niet alleen IT. HR moet meewerken aan bewustwordingstrainingen. Finance moet begrijpen waarom er budget nodig is. Management moet het beleid goedkeuren en uitdragen. En je collega’s op de werkvloer moeten weten waarom ze voortaan hun wachtwoord niet meer op een geeltje mogen plakken.

Maak het concreet. Leg niet uit dat “informatiebeveiliging een strategisch speerpunt is”, maar vertel wat er gebeurt als een aanvaller toegang krijgt tot het ERP systeem. Hoeveel dagen ligt de productie dan stil? Wat kost dat per dag? Die taal begrijpt iedereen. Plan een korte presentatie van een halfuur voor het managementteam en bereid een samenvatting voor van twee kantjes. Geen dik rapport, wel heldere cijfers.

En daarna? Dan begint het echte werk

Deze vijf stappen zijn je fundament. Daarna volgt het opbouwen van documentatie, het uitvoeren van interne audits en het inrichten van de PDCA cyclus (Plan, Do, Check, Act) waardoor je compliance niet eenmalig is maar blijft draaien. Dat klinkt als veel, en het is ook werk. Maar het wordt behapbaar als je het in de juiste volgorde doet en weet wat je zelf oppakt en wat je uitbesteedt.

Bij Masugro hebben we dit traject zelf doorlopen voor onze eigen ISO 27001 certificering. We weten uit ervaring dat het overweldigend voelt aan het begin. Daarom hebben we een samenwerkingsportal ontwikkeld met het complete raamwerk voor ISO 27001 en NIS2. Geen theorie, wel een beproefde structuur die je stap voor stap door het traject leidt.

Wil je weten waar jouw organisatie staat?

Bel Ewout op 088 040 8200, mail naar e.joosten@masugro.nl of plan direct een afspraak in. Dan bespreken we waar je staat, wat je zelf kunt doen en waar je hulp bij nodig hebt.

Ewout Joosten, mede-eigenaar Masugro

Terug naar blog