⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
NL EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT PL PT RO SK SL SV
Compliance

Voorbij de handdruk: leveranciersbeveiliging beheersen met ISO 27001 en GDPR

Igor Petreski
12 min read
#ISO 27001:2022 #GDPR #Leveranciersbeheer #Risicomanagement #Gegevensbescherming #NIS2 #DORA

Uw leveranciers zijn een verlengstuk van uw organisatie, maar ook van uw aanvalsoppervlak. Zwakke leveranciersbeveiliging kan leiden tot datalekken, boetes van toezichthouders en operationele ontwrichting. Robuust beheer is daarom geen optie, maar een vereiste. Deze gids biedt een praktische aanpak om leveranciersbeveiliging te beheersen met ISO 27001:2022 en om via effectieve contracten en toezicht te voldoen aan de GDPR-verplichtingen voor verwerkers.

Wat staat er op het spel

In het huidige, sterk verweven zakelijke ecosysteem opereert geen enkele organisatie in een vacuüm. U vertrouwt op een netwerk van leveranciers voor uiteenlopende activiteiten, van cloudhosting en softwareontwikkeling tot marketinganalyse en salarisverwerking. Deze uitbesteding verhoogt de efficiëntie, maar introduceert ook aanzienlijke risico’s. Telkens wanneer u een derde partij toegang geeft tot uw gegevens, systemen of infrastructuur, vertrouwt u erop dat die partij dezelfde beveiligingsstandaarden hanteert als u. Wanneer dat vertrouwen onterecht blijkt, kunnen de gevolgen ernstig zijn en veel verder reiken dan een eenvoudige verstoring van de dienstverlening. Een inbreuk die ontstaat in uw toeleveringsketen blijft uw inbreuk; de operationele, financiële en reputatieschade komt rechtstreeks bij uw organisatie terecht.

Het regelgevingslandschap, met name in Europa, laat geen ruimte voor dubbelzinnigheid. De GDPR maakt onder Article 28 expliciet duidelijk dat verwerkingsverantwoordelijken aansprakelijk zijn voor het handelen van hun verwerkers. Dit betekent dat u wettelijk verplicht bent due diligence uit te voeren en ervoor te zorgen dat elke leverancier die persoonsgegevens verwerkt voldoende garanties biedt op het gebied van informatiebeveiliging, passend bij het risico. Alleen een contract ondertekenen is onvoldoende; u moet beschikken over een formele, gedocumenteerde verwerkersovereenkomst waarin specifieke beveiligingsmaatregelen, vertrouwelijkheidsverplichtingen, protocollen voor melding van inbreuken en auditrechten zijn vastgelegd. Het nalaten hiervan kan leiden tot zware boetes, maar de schade stopt daar niet. Regelgeving zoals NIS2 en DORA breidt deze verwachtingen uit en verlangt gecoördineerde risicobeoordelingen en contractuele beveiligingsverplichtingen in de volledige ICT-toeleveringsketen, met name voor kritieke en financiële sectoren.

Neem een kleine e-commerceorganisatie die een extern marketingbureau inschakelt om e-mailcampagnes voor klanten te beheren. Het marketingbureau slaat de klantenlijst op een slecht geconfigureerde cloudserver op. Een dreigingsactor ontdekt de kwetsbaarheid, exfiltreert de persoonsgegevens van duizenden klanten en publiceert deze online. Voor de e-commerceorganisatie is de impact onmiddellijk en ingrijpend. Zij krijgt te maken met een GDPR-onderzoek, mogelijke boetes, verlies van klantvertrouwen dat jaren kan duren om te herstellen, en de operationele druk van incidentrespons en het meldproces. De oorzaak lag niet in een fout in de eigen systemen, maar in het onvoldoende beoordelen van de leverancier en het ontbreken van contractueel afdwingbare, specifieke beveiligingsstandaarden. Dit scenario onderstreept een fundamentele waarheid: uw informatiebeveiliging is slechts zo sterk als uw zwakste leverancier.

Waar volwassen leveranciersbeveiliging aan voldoet

Robuuste leveranciersbeveiliging draait niet om het bouwen van ondoordringbare muren; het gaat om een transparant, risicogebaseerd kader voor het beheer van relaties met derde partijen. Een volwassen programma, afgestemd op ISO 27001:2022, verandert leveranciersbeheer van een inkoopformaliteit in een strategische beveiligingsfunctie. Het begint met de principes uit beheersmaatregel A.5.19, die zich richt op het vaststellen en onderhouden van duidelijk beleid voor informatiebeveiliging in leveranciersrelaties. Dit betekent dat niet elke leverancier op dezelfde manier wordt behandeld. Leveranciers worden ingedeeld op basis van het risiconiveau dat zij introduceren, rekening houdend met factoren zoals de gevoeligheid van de gegevens waartoe zij toegang hebben, de kritikaliteit van de dienst die zij leveren en hun integratie met uw kernsystemen.

Deze risicogebaseerde aanpak bepaalt rechtstreeks de contractuele eisen die voortvloeien uit beheersmaatregel A.5.20, waarin informatiebeveiliging binnen leveranciersovereenkomsten wordt behandeld. Voor een leverancier met een hoog risico, zoals een aanbieder van cloudinfrastructuur, moet de overeenkomst uitgebreid zijn. Zij specificeert technische beheersmaatregelen zoals encryptiestandaarden, verplicht regelmatige beveiligingsaudits, definieert strikte meldtermijnen voor inbreuken en borgt uw recht om naleving te controleren. Voor een leverancier met een laag risico, zoals een schoonmaakdienst voor kantoorruimten, kunnen de eisen beperkt blijven tot een vertrouwelijkheidsclausule. Het doel is ervoor te zorgen dat elke leveranciersrelatie wordt beheerst door duidelijke, afdwingbare beveiligingsverplichtingen die in verhouding staan tot het betrokken risico. Dit gestructureerde proces zorgt ervoor dat beveiliging vanaf het moment dat een nieuwe leverancier wordt overwogen een kerncriterium is, en geen bijzaak nadat het contract is ondertekend. Onze uitgebreide bibliotheek met beheersmaatregelen helpt deze specifieke maatregelen voor verschillende leveranciersniveaus te definiëren.1

Stel u een groeiende fintech-start-up voor die gevoelige financiële gegevens verwerkt. Het leveranciersbeveiligingsprogramma is daar een voorbeeld van efficiëntie. Wanneer de organisatie een nieuwe cloudprovider inschakelt om haar kernapplicatie te hosten, wordt deze provider geclassificeerd als “kritiek risico”. Dit activeert een streng due-diligenceproces, inclusief beoordeling van het ISO 27001-certificaat en het SOC 2-rapport. De verwerkersovereenkomst wordt door juridische en beveiligingsteams beoordeeld om te waarborgen dat deze voldoet aan de GDPR-vereisten voor gegevensresidentie en beheer van subverwerkers. Wanneer dezelfde organisatie daarentegen een lokaal ontwerpbureau inschakelt voor een eenmalig marketingproject, wordt dat bureau geclassificeerd als “laag risico”. Het tekent uitsluitend een standaard geheimhoudingsovereenkomst en krijgt alleen toegang tot niet-gevoelige merkactiva. Deze gelaagde, methodische aanpak stelt de start-up in staat haar middelen te richten op de hoogste risico’s en tegelijk wendbaar te blijven.

Praktische aanpak

Het bouwen van een duurzaam leveranciersbeveiligingsprogramma vereist een gestructureerde, gefaseerde aanpak die beveiliging integreert in de volledige leverancierslevenscyclus, van selectie tot offboarding. Het is geen eenmalig project, maar een doorlopend bedrijfsproces waarin inkoop, juridische zaken en IT op elkaar worden afgestemd. Door de implementatie op te delen in beheersbare stappen kunt u snel voortgang boeken en waarde aantonen, zonder uw teams te overbelasten. Deze aanpak zorgt ervoor dat beveiligingseisen worden vastgesteld, contracten robuust zijn en toezicht continu plaatsvindt. Zo ontstaat een beheersingssysteem dat auditors overtuigt en risico’s daadwerkelijk verlaagt. Onze implementatiegids voor het ISMS, de Zenith Blueprint, biedt een gedetailleerd projectplan voor het inrichten van deze basisprocessen.2

De eerste fase draait om het leggen van de basis. Dit betekent inzicht krijgen in uw bestaande leverancierslandschap en de spelregels definiëren voor alle toekomstige relaties. U kunt niet beschermen wat u niet kent; daarom is een volledige inventaris van alle huidige leveranciers de noodzakelijke eerste stap. Dit proces brengt vaak afhankelijkheden en risico’s aan het licht die eerder niet waren gedocumenteerd. Zodra u zicht heeft, kunt u beleid en procedures ontwikkelen die het programma sturen en ervoor zorgen dat iedereen in de organisatie zijn rol begrijpt in het handhaven van de beveiliging van de toeleveringsketen.

  • Week 1: Inventarisatie en beleidsbasis
    • Stel een volledige inventaris op van alle huidige leveranciers, inclusief de diensten die zij leveren en de gegevens waartoe zij toegang hebben.
    • Ontwikkel een risicobeoordelingsmethodologie om leveranciers in te delen in niveaus (bijvoorbeeld hoog, middel, laag) op basis van gegevensgevoeligheid, kritikaliteit van de dienst en systeemtoegang.
    • Stel een formeel leveranciersbeveiligingsbeleid op waarin de eisen per risiconiveau zijn vastgelegd.
    • Maak een gestandaardiseerde beveiligingsvragenlijst en een sjabloon voor verwerkersovereenkomsten die aansluiten op GDPR Article 28.

Nu het basisbeleid is vastgesteld, richt de volgende fase zich op het inbedden van deze nieuwe eisen in uw inkoop- en juridische workflows. Hier verschuift het programma van theorie naar praktijk. Het is essentieel dat geen enkele nieuwe leverancier kan worden onboarded zonder de passende beveiligingsbeoordeling te doorlopen. Dit vereist nauwe samenwerking met de teams die leverancierscontracten en betalingen beheren. Door beveiliging als verplichte poort in het inkoopproces op te nemen, voorkomt u dat risicovolle relaties ontstaan en zorgt u ervoor dat alle overeenkomsten de noodzakelijke juridische waarborgen bevatten.

  • Week 2: Integratie en due diligence
    • Integreer het proces voor beveiligingsbeoordeling in uw bestaande workflow voor inkoop en leveranciersonboarding.
    • Begin met het beoordelen van nieuwe leveranciers aan de hand van uw beveiligingsvragenlijst en risicomethodologie.
    • Werk samen met uw juridische team om ervoor te zorgen dat alle nieuwe contracten, met name contracten waarin persoonsgegevens een rol spelen, uw standaard verwerkersovereenkomst en beveiligingsclausules bevatten.
    • Start met de retrospectieve beoordeling van bestaande leveranciers met een hoog risico en herstel eventuele contractuele hiaten.

De derde fase verschuift de aandacht naar doorlopende monitoring en beoordeling. Leveranciersbeveiliging is geen activiteit die na inrichting kan worden vergeten. Het dreigingslandschap verandert, leveranciersdiensten ontwikkelen zich en het informatiebeveiligingsniveau van leveranciers kan na verloop van tijd verslechteren. Een volwassen programma bevat mechanismen voor doorlopend toezicht om te waarborgen dat leveranciers gedurende de volledige relatie blijven voldoen aan hun contractuele verplichtingen. Dit omvat periodieke contactmomenten, beoordeling van auditrapporten en een duidelijk proces voor het beheren van wijzigingen in de geleverde diensten.

  • Week 3: Monitoring en wijzigingsbeheer
    • Stel een planning vast voor periodieke beoordelingen van leveranciers met een hoog risico (bijvoorbeeld jaarlijks). Dit moet het opvragen van bijgewerkte certificeringen of auditrapporten omvatten.
    • Definieer een formeel proces voor het beheren van wijzigingen in leveranciersdiensten. Elke significante wijziging, zoals de introductie van een nieuwe subverwerker of een wijziging in de locatie van gegevensverwerking, moet leiden tot een hernieuwde risicobeoordeling.
    • Implementeer een systeem om de prestaties van leveranciers ten opzichte van beveiligings-SLA’s en contractuele eisen te volgen.

Tot slot moet het programma voorbereid zijn op incidenten en op een veilige beëindiging van leveranciersrelaties. Hoe grondig uw due diligence ook is, incidenten kunnen zich blijven voordoen. Een goed gedefinieerd incidentresponsplan waarin ook uw leveranciers zijn opgenomen, is cruciaal voor een snelle en effectieve reactie. Even belangrijk is een veilig offboardingproces. Wanneer een contract eindigt, moet u ervoor zorgen dat al uw gegevens worden teruggegeven of veilig worden vernietigd en dat alle toegang tot uw systemen wordt ingetrokken, zodat er geen beveiligingshiaten achterblijven.

  • Week 4: Incidentrespons en offboarding
    • Neem leveranciers op in uw incidentresponsplan en verduidelijk hun rollen, verantwoordelijkheden en communicatieprotocollen bij een beveiligingsinbreuk.
    • Ontwikkel een formele checklist voor leveranciersoffboarding. Deze moet stappen bevatten voor teruggave of vernietiging van gegevens, intrekking van alle fysieke en logische toegang en definitieve afwikkeling van accounts.
    • Test het communicatieplan voor leveranciersincidenten om te bevestigen dat het werkt zoals bedoeld.
    • Begin met het toepassen van het offboardingproces op leveranciersrelaties die worden beëindigd.

Beleid dat het borgt

Een praktisch implementatieplan is essentieel, maar zonder duidelijk en afdwingbaar beleid zullen zelfs de beste processen onder druk falen. Beleidsdocumenten vormen de ruggengraat van uw leveranciersbeveiligingsprogramma: zij vertalen strategische doelstellingen naar concrete regels die dagelijkse beslissingen sturen. Zij geven duidelijkheid aan medewerkers, stellen ondubbelzinnige verwachtingen aan leveranciers en creëren een auditeerbare registratie van uw governancekader. Goed opgesteld beleid neemt onzekerheid weg en zorgt ervoor dat beveiligings-due diligence consistent wordt toegepast in de hele organisatie, van het inkoopteam dat een nieuw contract onderhandelt tot het IT-team dat toegang verleent aan een externe consultant.

De hoeksteen van dit kader is het beleid voor beveiliging van derde partijen en leveranciers.3 Dit document fungeert als centrale autoriteit voor alle beveiligingsonderwerpen die verband houden met leveranciers. Het definieert formeel de inzet van de organisatie voor het beheer van risico’s in de toeleveringsketen en beschrijft de volledige levenscyclus van een leveranciersrelatie vanuit beveiligingsperspectief. Het legt de methodologie voor risicoclassificatie vast, specificeert de minimale beveiligingseisen per niveau en wijst duidelijke rollen en verantwoordelijkheden toe. Dit beleid zorgt ervoor dat beveiliging geen optionele toevoeging is, maar een verplicht onderdeel van elke leveranciersrelatie. Het biedt de bevoegdheid die nodig is om naleving af te dwingen en leveranciers af te wijzen die niet aan uw standaarden voldoen.

Een middelgroot logistiek bedrijf vertrouwt bijvoorbeeld op een dozijn verschillende softwareleveranciers voor alles van routeplanning tot magazijnbeheer. Het beleid voor beveiliging van derde partijen en leveranciers schrijft voor dat elke leverancier die verzend- of klantgegevens verwerkt als “hoog risico” wordt geclassificeerd. Voordat het financiële team een factuur voor een nieuw softwareabonnement kan verwerken, moet de inkoopmanager een ondertekende verwerkersovereenkomst en een ingevulde beveiligingsvragenlijst uploaden naar een centrale opslagplaats. De IT-beveiligingsmanager ontvangt automatisch een melding om de documenten te beoordelen. Ontbreken de documenten of zijn de antwoorden van de leverancier onvoldoende, dan blokkeert het systeem de betalingsgoedkeuring en wordt het onboardingproces effectief stopgezet totdat aan de beveiligingseisen is voldaan. Deze eenvoudige, beleidsgestuurde workflow zorgt ervoor dat geen risicovolle leverancier tussen wal en schip valt.

Checklists

Om een volledig en herhaalbaar proces voor leveranciersbeveiliging te waarborgen, is het nuttig de kernactiviteiten op te splitsen in toepasbare checklists. Deze lijsten begeleiden uw teams door de cruciale fasen van het opbouwen van het programma, het dagelijks uitvoeren ervan en het verifiëren van de doeltreffendheid op langere termijn. Zij helpen uw aanpak te standaardiseren, verkleinen het risico op menselijke fouten en leveren duidelijk bewijsmateriaal voor auditors dat uw beheersmaatregelen consistent worden geïmplementeerd.

Een solide basis is cruciaal voor elk effectief beveiligingsprogramma. Voordat u individuele leveranciers kunt beoordelen, moet u eerst het interne kader opzetten dat het volledige proces ondersteunt. Dit omvat het definiëren van uw risicobereidheid, het opstellen van de noodzakelijke documentatie en het toewijzen van duidelijk eigenaarschap. Zonder deze basiscomponenten worden uw inspanningen onsamenhangend, inconsistent en moeilijk schaalbaar naarmate uw organisatie groeit. Deze initiële inrichtingsfase gaat over het creëren van de instrumenten en regels die alle toekomstige activiteiten rond leveranciersbeveiliging zullen sturen.

Bouwen: uw leveranciersbeveiligingskader vaststellen

  • Ontwikkel en keur een formeel beleid voor beveiliging van derde partijen en leveranciers goed.
  • Maak een volledige inventaris van alle bestaande leveranciers en de gegevens waartoe zij toegang hebben.
  • Definieer een duidelijke risicobeoordelingsmethodologie en criteria voor het indelen van leveranciers in risiconiveaus.
  • Ontwerp een gestandaardiseerde beveiligingsvragenlijst voor due diligence van leveranciers.
  • Maak een juridisch sjabloon voor verwerkersovereenkomsten dat voldoet aan GDPR Article 28.
  • Wijs duidelijke rollen en verantwoordelijkheden toe voor leveranciersbeveiligingsbeheer over afdelingen heen.

Zodra het kader staat, verschuift de aandacht naar de operationele, dagelijkse activiteiten voor het beheren van leveranciersrelaties. Dit houdt in dat beveiligingscontroles worden ingebed in uw reguliere bedrijfsprocessen, met name inkoop en onboarding. Elke nieuwe leverancier moet deze beveiligingspoorten doorlopen voordat toegang wordt verleend tot uw gegevens of systemen. Deze operationele checklist zorgt ervoor dat het opgestelde beleid in de praktijk consequent wordt toegepast op elke afzonderlijke leveranciersrelatie.

Uitvoeren: de leverancierslevenscyclus beheren

  • Voer beveiligings-due diligence en een risicobeoordeling uit voor alle nieuwe leveranciers voordat het contract wordt ondertekend.
  • Zorg ervoor dat een ondertekende verwerkersovereenkomst en passende beveiligingsclausules zijn opgenomen in alle relevante leverancierscontracten.
  • Verleen leverancierstoegang op basis van het principe van minimale privileges.
  • Volg en beheer beveiligingsgerelateerde uitzonderingen of geaccepteerde risico’s voor specifieke leveranciers.
  • Voer het formele offboardingproces uit wanneer een leverancierscontract wordt beëindigd, inclusief vernietiging van gegevens en intrekking van toegangsrechten.

Tot slot is een beveiligingsprogramma alleen effectief wanneer het regelmatig wordt gemonitord, beoordeeld en verbeterd. De fase “Verifiëren” richt zich op het vaststellen dat de beheersmaatregelen werken zoals bedoeld en dat leveranciers op termijn aan hun beveiligingsverplichtingen blijven voldoen. Dit omvat periodieke controles, formele audits en de bereidheid om te leren van incidenten en bijna-incidenten. Deze continue verificatielus verandert een statische set regels in een dynamische en weerbare beveiligingsfunctie.

Verifiëren: leveranciersbeveiliging monitoren en auditen

  • Plan en voer periodieke beveiligingsbeoordelingen uit van leveranciers met een hoog risico.
  • Vraag nalevingsbewijsmateriaal van leveranciers op en beoordeel dit, zoals ISO 27001-certificaten of resultaten van penetratietesten.
  • Voer interne audits uit op het leveranciersbeveiligingsproces om naleving van beleid te waarborgen.
  • Beoordeel en actualiseer leveranciersrisicobeoordelingen naar aanleiding van significante wijzigingen in diensten of in het dreigingslandschap.
  • Verwerk geleerde lessen uit leveranciersgerelateerde beveiligingsincidenten in uw beleid en procedures.

Veelvoorkomende valkuilen

Zelfs met een goed ontworpen programma lopen organisaties vaak in bekende valkuilen die hun inspanningen op het gebied van leveranciersbeveiliging ondermijnen. Bewustzijn van deze valkuilen is de eerste stap om ze te vermijden. Een van de meest voorkomende fouten is leveranciersbeveiliging behandelen als een eenmalige afvinkactiviteit tijdens onboarding. Een leverancier kan bij het ondertekenen van het contract een uitstekend informatiebeveiligingsniveau hebben, maar de situatie kan veranderen. Fusies, overnames, nieuwe subverwerkers of zelfs eenvoudige configuratiedrift kunnen nieuwe kwetsbaarheden introduceren. Het niet uitvoeren van periodieke beoordelingen, vooral bij leveranciers met een hoog risico, betekent dat u opereert op basis van verouderde en mogelijk onjuiste aannames over hun beveiliging.

Een andere grote valkuil is het blind accepteren van documentatie van leveranciers. Grote aanbieders, vooral in de cloud- en SaaS-markten, presenteren hun standaardcontracten en beveiligingsvoorwaarden vaak als niet-onderhandelbaar. Veel organisaties die snel met een project willen starten, ondertekenen deze overeenkomsten zonder grondige beoordeling door hun juridische en beveiligingsteams. Dit kan leiden tot het accepteren van ongunstige voorwaarden, zoals uiterst beperkte aansprakelijkheid bij een inbreuk, dubbelzinnige bepalingen over gegevenseigendom of het ontbreken van auditrechten. Onderhandeling is misschien lastig, maar het is cruciaal om afwijkingen van uw eigen beveiligingsbeleid te identificeren en de risicoacceptatie formeel te documenteren als u besluit door te gaan. Hun voorwaarden ondertekenen zonder de implicaties te begrijpen is een tekortkoming in due diligence.

Een derde veelvoorkomende fout is gebrekkige interne communicatie en onduidelijk eigenaarschap. Leveranciersbeveiliging is niet uitsluitend de verantwoordelijkheid van de IT- of beveiligingsafdeling. Inkoop moet de contracten beheren, juridische zaken moet de voorwaarden beoordelen en de bedrijfseigenaren die afhankelijk zijn van de dienst van de leverancier moeten de betrokken risico’s begrijpen. Wanneer deze afdelingen in silo’s werken, ontstaan onvermijdelijk hiaten. Inkoop kan een contract verlengen zonder een vereiste hernieuwde beveiligingsbeoordeling te activeren, of een bedrijfseenheid kan een nieuwe “goedkope” leverancier inschakelen zonder enige beveiligingsbeoordeling. Een succesvol programma vereist een multidisciplinair team met duidelijke rollen en een gedeeld begrip van het proces.

Tot slot plannen veel organisaties onvoldoende voor het einde van de relatie. Offboarding is net zo belangrijk als onboarding. Een veelvoorkomende fout is het beëindigen van een contract zonder de toegang van de leverancier tot systemen en gegevens in te trekken. Achterblijvende, ongebruikte accounts zijn een aantrekkelijk doelwit voor aanvallers. Een formeel offboardingproces met een checklist voor het intrekken van alle inloggegevens, het teruggeven of vernietigen van alle bedrijfsgegevens en het bevestigen van de beëindiging van toegang is essentieel om te voorkomen dat deze zombieaccounts uitgroeien tot een toekomstig beveiligingsincident.

Volgende stappen

Klaar om een weerbaar leveranciersbeveiligingsprogramma op te bouwen dat bestand is tegen toetsing door toezichthouders en uw organisatie beschermt? Onze uitgebreide toolkits bieden het beleid, de beheersmaatregelen en de implementatiebegeleiding die u nodig heeft om te starten.

Referenties

  1. Zenith Controls ↩︎

  2. Zenith Blueprint ↩︎

  3. Beleid voor beveiliging van derde partijen en leveranciers ↩︎

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Aan de slag met ISO 27001:2022: een praktische gids

Aan de slag met ISO 27001:2022: een praktische gids

Inleiding

ISO 27001 is de internationale norm voor managementsystemen voor informatiebeveiliging (ISMS). Deze praktische gids begeleidt u door de essentiële stappen om ISO 27001 binnen uw organisatie te implementeren, van de initiële planning tot en met certificering.

Wat is ISO 27001?

ISO 27001 biedt een systematische aanpak voor het beheren van gevoelige bedrijfsinformatie en het waarborgen dat deze informatie adequaat wordt beveiligd. De norm omvat mensen, processen en IT-systemen door middel van een risicogebaseerde aanpak.