.png)
ISO 27001 beleid en scope bepalen, zo doe je dat
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Stap 1: de scope bepalen – trek de cirkel
De scope bepaalt de grenzen van je Information Security Management System (ISMS). Veel organisaties maken de fout om direct alles te willen certificeren, maar voor het MKB is het vaak slimmer om te focussen op de kernprocessen. Bij het bepalen van de scope kijk je naar:
- Locaties: welke fysieke kantoren of datacenters vallen binnen de certificering?
- Diensten en producten: voor welke specifieke dienstverlening wil je het certificaat behalen?
- Interne en externe factoren: welke eisen stellen klanten, en welke wetgeving (zoals de AVG of NIS2) is van invloed?
Een scherpe scope voorkomt onnodige ISO 27001-kosten en zorgt ervoor dat je team niet overbelast raakt tijdens de implementatie.
Stap 2: het informatiebeveiligingsbeleid opstellen
Het informatiebeveiligingsbeleid is het overkoepelende document waarin de directie haar visie en ambities op het gebied van security vastlegt. Het is geen technisch handboek, maar een strategisch document.
Belangrijke elementen in het beleid zijn:
- Doelstellingen: wat wil je bereiken met informatiebeveiliging?
- Rollen en verantwoordelijkheden: wie is de Security Officer en wie rapporteert aan de directie?
- Naleving: hoe controleren we of medewerkers zich aan de regels houden?
Stap 3: De koppeling met de Verklaring van Toepasselijkheid (SoA)
Zodra de scope en het beleid staan, volgt de verklaring van toepasselijkheid. Hierin koppel je de risico's uit je organisatie aan de 93 beheersmaatregelen (controls) van de norm. Je bepaalt hierin heel specifiek welke maatregelen je wel en niet doorvoert op basis van je gekozen scope.
Waarom dit nu belangrijker is dan ooit
Met de naderende handhaving van de Cyberbeveiligingswet in 2026 wordt een heldere scope en beleid een wettelijke noodzaak voor veel bedrijven. Het helpt je niet alleen bij het behalen van je ISO 27001-certificaat, maar ook bij het aantonen van je zorgplicht als organisatie.
Hulp nodig bij het trekken van de juiste cirkel?
Het bepalen van de scope is een strategische keuze die grote invloed heeft op het succes en de kosten van je traject. Wil je zeker weten dat jouw scope en beleid voldoen aan de eisen van de auditor? Plan dan een vrijblijvend en kosteloos adviesgesprek in. Samen leggen we het fundament voor een veiligere organisatie.
