Welke documentatie is verplicht voor ISO 27001?

Voor ISO 27001-certificering zijn specifieke documenten wettelijk verplicht volgens de internationale norm. De vereiste documentatie omvat beleidsdocumenten, procedures, risicobeoordelingen en operationele records die samen je Information Security Management System (ISMS) vormen. Deze documentatie toont aan dat je organisatie informatiebeveiliging structureel beheerst en voldoet aan alle normvereisten.

Wat zijn de verplichte documenten voor ISO 27001-certificering?

ISO 27001 vereist zeven verplichte documenten die expliciet genoemd worden in de norm, plus aanvullende procedures en records die noodzakelijk zijn voor een effectief ISMS. Deze documenten vormen de basis van je informatiebeveiliging en worden tijdens audits grondig beoordeeld.

De verplichte documenten volgens ISO 27001 zijn:

• Toepassingsverklaring (Statement of Applicability) – overzicht van alle 114 controls uit Annex A met een motivatie waarom deze wel of niet van toepassing zijn
• Informatiebeveiligingsbeleid – het overkoepelende beleid dat richting geeft aan je ISMS
• Risicobeoordelingsmethodiek – documentatie van hoe je risico’s identificeert en evalueert
• Risicobeoordelingsrapport – actuele analyse van alle geïdentificeerde risico’s
• Risicobehandelingsplan – concrete maatregelen om risico’s te beheersen
• Competentieoverzicht – documentatie van kennis en vaardigheden van medewerkers
• Operationele procedures – werkwijzen voor kritieke beveiligingsprocessen

Daarnaast zijn verschillende records verplicht, zoals incidentregistraties, auditverslagen, managementreviews en bewijs van training en bewustwording. Deze records tonen aan dat je ISMS daadwerkelijk functioneert en continu verbetert.

Hoe stel je de documentatie voor ISO 27001 efficiënt op?

Begin met een gestructureerde aanpak waarbij je eerst je huidige situatie in kaart brengt voordat je nieuwe documentatie opstelt. Dit voorkomt dubbel werk en zorgt ervoor dat documentatie aansluit bij je werkelijke bedrijfsprocessen en organisatiestructuur.

Volg deze praktische stappen voor efficiënte documentatie:

1. Inventariseer bestaande documentatie – veel organisaties hebben al procedures die aangepast kunnen worden
2. Bepaal je scope en context – definieer helder wat wel en niet onder je ISMS valt
3. Gebruik templates als uitgangspunt – pas standaardsjablonen aan je specifieke situatie aan
4. Schrijf in begrijpelijke taal – vermijd jargon en zorg dat medewerkers procedures kunnen volgen
5. Houd documentatie beknopt – lange documenten worden niet gelezen en onderhouden
6. Betrek medewerkers bij de opstelling – zij kennen de praktijk en moeten ermee werken

Zorg voor een logische documentstructuur met duidelijke naamgeving en versiecontrole. Gebruik een centrale locatie waar iedereen de juiste versies kan vinden. Documenteer alleen wat echt nodig is: meer documentatie betekent meer onderhoud en een hogere kans op verouderde informatie.

Welke fouten worden vaak gemaakt bij ISO 27001-documentatie?

De meest voorkomende fout is overdocumentatie, waarbij organisaties veel meer vastleggen dan nodig, wat leidt tot onderhoudslast en verouderde informatie. Andere veelgemaakte fouten zijn onduidelijke procedures die niet aansluiten bij de werkelijkheid en documenten die niemand gebruikt.

Veelgemaakte valkuilen bij ISMS-documentatie:

• Kopiëren van voorbeelddocumenten zonder aanpassing aan de eigen situatie – leidt tot irrelevante procedures
• Te technisch schrijven – procedures die alleen IT-specialisten begrijpen, maar niet uitvoerbaar zijn voor eindgebruikers
• Vergeten van versiecontrole – onduidelijkheid over welke versie actueel is
• Geen eigenaar per document – niemand voelt zich verantwoordelijk voor updates
• Procedures die niet getest zijn – blijken in de praktijk niet werkbaar
• Onvolledige risicobeoordelingen – missen belangrijke assets of dreigingen
• Statement of Applicability zonder onderbouwing – controls uitgesloten zonder geldige reden

Vermijd deze fouten door regelmatig te controleren of procedures nog kloppen met de praktijk. Test nieuwe procedures eerst in een kleine groep en vraag feedback van gebruikers. Zorg dat elk document een duidelijke eigenaar heeft die verantwoordelijk is voor updates en kwaliteit.

Hoe houd je ISO 27001-documentatie actueel en compliant?

Effectief documentbeheer vereist een systematische aanpak met vaste reviewcycli, duidelijke verantwoordelijkheden en geautomatiseerde herinneringen. Plan minimaal jaarlijkse reviews van alle documenten, maar controleer kritieke procedures vaker op actualiteit en effectiviteit.

Strategieën voor actueel documentbeheer:

• Jaarplanning voor documentreviews – spreid reviews over het jaar om de werkdruk te verdelen
• Wijzigingsmanagement – proces voor het doorvoeren en goedkeuren van aanpassingen
• Automatische notificaties – herinneringen voor geplande reviews en verlopen documenten
• Feedback van gebruikers – medewerkers kunnen verbeteringen voorstellen
• Koppeling aan incidenten – evalueer procedures na beveiligingsincidenten
• Managementreview-input – bespreek documentkwaliteit in managementbeoordelingen

Tijdens controle-audits wordt specifiek gekeken naar de actualiteit van je documentatie en of deze overeenkomt met de werkelijke praktijk. Auditoren controleren of procedures gevolgd worden, records compleet zijn en wijzigingen correct doorgevoerd zijn.

Wij helpen organisaties met professionele begeleiding bij het opstellen en onderhouden van ISO 27001-documentatie. Onze ervaren auditors kennen de praktische uitdagingen en zorgen voor documentatie die voldoet aan de norm én werkbaar is in je organisatie. Voor meer informatie over onze ISO 27001-certificering of om je vragen te bespreken, kun je direct contact met ons opnemen.

Gerelateerde artikelen

• Welke resources heb je nodig voor NEN 7510?
• Wat is het verschil tussen ISO 27001 en de AVG?
• Hoe bereid je je voor op een NEN 7510 audit?
• Hoe zorg je voor top management commitment bij NEN 7510?
• Wat zijn de ISO 27001 vereisten voor cloud werken?