ISO 27001 bevat 93 beveiligingsmaatregelen in Annex A van de versie uit 2022. Deze maatregelen zijn verdeeld over vier hoofdcategorieën: organisatorische maatregelen (37 maatregelen), personele maatregelen (8 maatregelen), fysieke en omgevingsmaatregelen (14 maatregelen) en technologische maatregelen (34 maatregelen). Niet alle maatregelen hoeven te worden geïmplementeerd: organisaties selecteren relevante maatregelen op basis van hun risicoanalyse.
Wat is ISO 27001 en waarom zijn controls zo belangrijk?
ISO 27001 is een internationale norm voor informatiebeveiliging die organisaties helpt bij het opzetten van een robuust informatiebeveiligingsmanagementsysteem (ISMS). De norm biedt richtlijnen voor het beschermen van bedrijfsinformatie tegen cyberdreigingen, datalekken en andere beveiligingsrisico’s.
Controls vormen het hart van ISO 27001, omdat ze concrete beveiligingsmaatregelen beschrijven die organisaties kunnen implementeren. Deze maatregelen beschermen vertrouwelijke informatie, waarborgen de integriteit van gegevens en zorgen voor continue beschikbaarheid van kritieke systemen. Zonder effectieve controls blijft een organisatie kwetsbaar voor cyberaanvallen en kan zij niet voldoen aan regelgeving.
De controls in ISO 27001 zijn gebaseerd op internationale best practices en dekken alle aspecten van informatiebeveiliging af. Ze helpen organisaties om systematisch beveiligingsrisico’s te identificeren en passende maatregelen te treffen.
Hoeveel controls bevat ISO 27001 Annex A precies?
Annex A van ISO 27001:2022 bevat exact 93 beveiligingsmaatregelen, verdeeld over vier hoofdcategorieën. Dit is een significante wijziging ten opzichte van de vorige versie uit 2013, die 114 controls bevatte. De nieuwe structuur is gestroomlijnd en beter afgestemd op moderne beveiligingsuitdagingen.
De 93 controls zijn als volgt verdeeld:
- Organisatorische maatregelen: 37 controls
- Personele maatregelen: 8 controls
- Fysieke en omgevingsmaatregelen: 14 controls
- Technologische maatregelen: 34 controls
Deze nieuwe indeling maakt het voor organisaties gemakkelijker om verantwoordelijkheden toe te wijzen en implementatieplannen op te stellen. Elke categorie richt zich op specifieke beveiligingsaspecten die samen een volledig beveiligingsraamwerk vormen.
Welke soorten beveiligingscontrols onderscheidt ISO 27001?
ISO 27001 onderscheidt vier hoofdcategorieën van beveiligingscontrols, elk gericht op verschillende aspecten van informatiebeveiliging binnen organisaties.
Organisatorische maatregelen (37 controls) vormen de grootste categorie en omvatten beleidsvorming, risicoanalyse, leveranciersbeheer, incidentrespons en businesscontinuïteitsplanning. Deze controls leggen de fundamenten voor een effectief beveiligingsbeleid.
Personele maatregelen (8 controls) richten zich op humanresourcesaspecten, zoals screening van medewerkers, bewustwording en training, disciplinaire procedures en verantwoordelijkheden bij beëindiging van dienstverbanden.
Fysieke en omgevingsmaatregelen (14 controls) beschermen tegen fysieke bedreigingen door toegangscontrole tot gebouwen, bescherming van apparatuur, veilige vernietiging van media en monitoring van fysieke omgevingen.
Technologische maatregelen (34 controls) dekken technische beveiligingsaspecten, zoals toegangsbeheer, cryptografie, netwerkbeveiliging, applicatiebeveiliging en systeemhardening. Deze controls beschermen tegen digitale bedreigingen.
Moet je alle ISO 27001 controls implementeren in je organisatie?
Nee, organisaties hoeven niet alle 93 controls te implementeren. ISO 27001 volgt een risicogebaseerde benadering waarbij organisaties zelf bepalen welke controls relevant zijn voor hun specifieke situatie en risicoprofiel.
De selectie van controls begint met een grondige risicoanalyse waarin organisaties hun informatie-assets identificeren, bedreigingen analyseren en kwetsbaarheden in kaart brengen. Op basis van deze analyse bepalen zij welke risico’s behandeld moeten worden en welke controls daarvoor geschikt zijn.
Organisaties documenteren hun keuzes in een Statement of Applicability (SoA), waarin zij voor elke control aangeven of deze wel of niet van toepassing is. Voor niet-geïmplementeerde controls moeten zij een onderbouwde reden geven. Deze flexibiliteit zorgt ervoor dat het beveiligingsprogramma proportioneel en praktisch uitvoerbaar blijft.
De risicogebaseerde aanpak maakt ISO 27001 geschikt voor organisaties van elke omvang en uit verschillende sectoren, van kleine IT-bedrijven tot grote multinationals.
Hoe kies je de juiste ISO 27001 controls voor jouw bedrijf?
Het selecteren van de juiste controls begint met een systematische risicoanalyse, gevolgd door een gap-analyse en het opstellen van een Statement of Applicability (SoA). Deze stapsgewijze aanpak zorgt voor een doelgerichte implementatie.
Begin met het identificeren van alle informatie-assets in je organisatie, zoals klantgegevens, financiële informatie en intellectueel eigendom. Analyseer vervolgens welke bedreigingen deze assets kunnen treffen en waar kwetsbaarheden liggen in je huidige beveiliging.
Voer daarna een gap-analyse uit door je huidige beveiligingsmaatregelen te vergelijken met de 93 beschikbare controls. Identificeer welke controls al (gedeeltelijk) geïmplementeerd zijn en waar nog hiaten bestaan.
Prioriteer de implementatie op basis van risicoscore en bedrijfsimpact. Controls die hoge risico’s afdekken of wettelijk verplicht zijn, krijgen voorrang. Houd ook rekening met implementatiekosten en beschikbare resources.
Documenteer je keuzes in het Statement of Applicability en zorg voor regelmatige evaluatie. Naarmate je organisatie groeit of bedreigingen veranderen, kunnen andere controls relevant worden. Een ervaren adviseur kan helpen bij het navigeren door dit complexe proces en zorgen voor een efficiënte implementatie die aansluit bij je bedrijfsdoelstellingen.
Hoe Diks Process Support helpt met ISO 27001 implementatie
Diks Process Support biedt praktische ondersteuning bij het implementeren van ISO 27001 controls in jouw organisatie. Onze aanpak zorgt voor een efficiënte en doelgerichte implementatie die aansluit bij jouw specifieke bedrijfsbehoeften:
- Risicoanalyse en control-selectie: We helpen bij het uitvoeren van een grondige risicoanalyse en selecteren samen met jou de meest relevante controls uit de 93 beschikbare maatregelen
- Gap-analyse en implementatieplan: We analyseren je huidige beveiligingssituatie en stellen een praktisch stappenplan op voor de implementatie van ontbrekende controls
- Documentatie en procedures: We ondersteunen bij het opstellen van het Statement of Applicability en andere vereiste documentatie conform ISO 27001 standaarden
- Training en bewustwording: We verzorgen training voor jouw team om de geïmplementeerde controls effectief te kunnen beheren en onderhouden
Wil je weten hoe wij jouw organisatie kunnen helpen bij een succesvolle ISO 27001 implementatie? Neem contact met ons op voor een vrijblijvend gesprek over de mogelijkheden.
Gerelateerde artikelen
- Wat zijn ISO 27001-best practices?
- Kan een interim expert ons managementsysteem opzetten?
- Hoe implementeer ik een nieuw beleid met een interim expert?
- Wat zijn de voordelen van een interim expert?
- Hoe zorg ik voor een goede overdracht na een interim HSE opdracht?
- Wat gebeurt er tijdens een ISO 27001-audit?
- Hoe kies je de juiste ISO 27001 controls?
- Wat zijn de drie principes van ISO 27001?
- Wat doet een interim kwaliteitsmanager bij ons in de praktijk?
- Hoe houd ik mijn certificering geldig zonder vaste specialist?
