Blog · Norm uitgelegd

ISO 27001 hoofdstuk 4 t/m 10 uitgelegd

De eisen van ISO 27001 staan in hoofdstuk 4 tot en met 10. Kort samengevat: hoofdstuk 4 (context) en 5 (leiderschap) leggen de basis, 6 (planning) gaat over risico's en doelen, 7 (ondersteuning) over middelen en bewustzijn, 8 (uitvoering) over de werking, 9 (evaluatie) over meten en auditen, en 10 (verbetering) over bijsturen. Samen vormen ze de PDCA-cyclus van uw ISMS.

Vraag een audit-scan aan

Hoofdstuk 4 — Context van de organisatie

Bepaal wat relevant is voor uw informatiebeveiliging: interne en externe factoren, belanghebbenden (klanten, toezichthouders) en de scope van het ISMS. Dit is de fundering; een verkeerd afgebakende scope wreekt zich in de hele audit.

Hoofdstuk 5 — Leiderschap

De directie moet zichtbaar betrokken zijn: beleid vaststellen, rollen en verantwoordelijkheden beleggen en middelen vrijmaken. Informatiebeveiliging die alleen "van IT" is, voldoet niet aan dit hoofdstuk.

Hoofdstuk 6 — Planning

Het hart van de norm: de risicobeoordeling en -behandeling, plus meetbare doelstellingen. Hier ontstaat ook de Statement of Applicability die risico's koppelt aan Annex A-maatregelen.

Hoofdstuk 7 — Ondersteuning

Zorg voor middelen, competente mensen, bewustwording, communicatie en gedocumenteerde informatie. Bewustwording is geen eenmalige training maar een doorlopend proces.

Hoofdstuk 8 — Uitvoering

De maatregelen draaien in de praktijk: processen worden uitgevoerd en risicobehandelingen toegepast. Dit is de "Do" waar de auditor het meeste bewijs zoekt.

Hoofdstuk 9 — Evaluatie van prestaties

Meten, monitoren, interne audit en management review. Hier toont u aan dat u controleert of het werkt — en dit hoofdstuk komt in elke audit zwaar aan bod.

Het ISO 27001 auditproces in vijf stappen: scope bepalen, documentreview, interviews en steekproeven, bevindingenrapport, verbeterplan en follow-up — Het auditproces in 5 stappen.

Hoofdstuk 10 — Verbetering

Afwijkingen corrigeren, oorzaken wegnemen en het ISMS continu verbeteren. Zonder aantoonbare opvolging van bevindingen is de cyclus niet rond.

ISO/IEC 27001 — officiële normpagina (officiële bron).

FAQ

Veelgestelde vragen

Korte, directe antwoorden — geschreven voor mensen én voor AI-zoekfuncties.

Waarom begint ISO 27001 bij hoofdstuk 4?

Hoofdstuk 1 tot en met 3 bevatten het toepassingsgebied, normverwijzingen en termen; dat zijn geen eisen. De daadwerkelijke, auditeerbare eisen beginnen bij hoofdstuk 4 (context) en lopen door tot hoofdstuk 10 (verbetering). Daarom spreken auditors over 'de eisen van hoofdstuk 4 t/m 10'.

Wat is het verschil tussen hoofdstuk 4-10 en Annex A?

Hoofdstuk 4 t/m 10 beschrijven de eisen aan het managementsysteem (hoe u informatiebeveiliging stuurt en verbetert). Annex A is een lijst van 93 concrete beheersmaatregelen waaruit u kiest op basis van uw risico's. De hoofdstukken vormen het systeem; Annex A levert de bouwstenen.

Welk hoofdstuk is het belangrijkst voor de audit?

Geen enkel hoofdstuk staat los, maar hoofdstuk 6 (risico's en SoA), 8 (werking) en 9 (interne audit en management review) krijgen vaak de meeste aandacht. Daar bewijst u dat het systeem risicogestuurd is, in de praktijk werkt en wordt geëvalueerd en bijgestuurd.

Gerelateerd