ISO 27001-gecertificeerd voor informatiebeveiliging
October 9, 2025
Read time: 6 minutes
Auteur: Maria Hovila
Leestijd: 6 min
Auteur: Maria Hovila
Kort antwoord
eMabler heeft de ISO 27001-certificering behaald, de internationaal erkende norm voor managementsystemen voor informatiebeveiliging, geaudit en verleend door DNV. De certificering dekt belangrijke beveiligingsmaatregelen, waaronder toegangsbeheer, cryptografie, leveranciersbeheer, softwareontwikkelpraktijken en bedrijfscontinuïteitsplanning, en toont aan dat deze maatregelen actief worden toegepast en nageleefd als onderdeel van de dagelijkse werking, en niet enkel op papier staan. Voor klanten, met name grotere ondernemingen die gecertificeerde leveranciers eisen als onderdeel van hun eigen risicobeheer, biedt de certificering geverifieerde zekerheid over de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Het artikel deelt het volledige certificeringstraject, waaronder gap-analyse, risicobeoordeling, beleidsontwikkeling, interne en externe audits, en de praktische lessen die onderweg zijn geleerd.
Dit artikel behandelt elk van deze punten in detail.
Ik ben er trots op te kunnen aankondigen dat we nu ISO 27001-gecertificeerd zijn, een blijk van onze toewijding aan compliance en cyberbeveiliging.
Wat is ISO 27001?
ISO 27001 is een wereldwijd erkende norm voor managementsystemen voor informatiebeveiliging (ISMS). De norm biedt een gestructureerde aanpak om gevoelige bedrijfsinformatie te beschermen en de vertrouwelijkheid, integriteit en beschikbaarheid ervan te waarborgen. Het behalen van de ISO 27001-certificering weerspiegelt onze blijvende toewijding aan de bescherming van onze data-assets en geeft onze klanten vertrouwen in onze beveiligingspraktijken en servicecontinuïteit. Enkele voorbeelden van de behandelde beveiligingsmaatregelen hebben betrekking op toegangsbeheer, cryptografie, leveranciersbeheer, beveiligingsbewustzijn, softwareontwikkeling, bedrijfscontinuïteit en uitwijkplannen.
Daarnaast toont certificering tegen de gekozen norm aan dat eMabler de vereiste beveiligingsmaatregelen heeft ingevoerd en deze officieel naleeft als onderdeel van het dagelijkse werk.
Deze certificeringen worden verleend door een externe certificeringsinstantie na een uitgebreid auditproces dat door een onafhankelijke auditor wordt uitgevoerd. In het geval van eMabler werd de externe audit uitgevoerd door DNV, een van 's werelds toonaangevende certificeringsinstanties.
Waarom doen we dit?
Onze klanten, vooral de grotere, eisen vaak dat softwareleveranciers ISO 27001-gecertificeerd zijn als onderdeel van hun risicobeheerstrategie. Het behalen van de ISO 27001-certificering positioneert onze organisatie niet alleen gunstig in de markt, maar maakt haar ook aantrekkelijker voor een breder zakelijk publiek. Ons platform is bedrijfskritisch voor onze klanten, en ISO 27001 helpt ons risico's en kansen te identificeren en corrigerende maatregelen te plannen om de betrouwbaarheid van onze dienst te verbeteren. Bovendien sluit naleving van ISO 27001 aan op de AVG en andere regelgevende normen, waardoor compliance in alle aspecten van onze bedrijfsvoering gewaarborgd is.
Wat betekent dit voor u, onze klanten van eMabler?
✅ Verhoogde betrouwbaarheid: Onze ISO 27001-certificering waarborgt een managementsysteem voor informatiebeveiliging (ISMS) dat uw gegevens beschermt tegen ongeoorloofde toegang, wijziging of verlies. Het identificeert en beperkt voortdurend risico's en zorgt zo voor beveiliging van het hoogste niveau.
✅ Vertrouwen en transparantie: Uw gegevens zijn veilig en u kunt rekenen op onze naleving van de hoogste normen. Samenwerken met een gecertificeerde aanbieder als eMabler geeft gemoedsrust, met de wetenschap dat uw gegevens in veilige handen zijn. Onze ISO 27001-certificering toont onze toewijding aan gegevensbeveiliging; deze certificering wordt internationaal erkend en versterkt zo het vertrouwen onder uw klanten en stakeholders.
✅ Strategisch concurrentievoordeel: Gegevensbeveiliging is cruciaal. De keuze voor eMabler toont uw toewijding aan hoge normen op het gebied van gegevensbescherming, geeft u een concurrentievoordeel en trekt meer zakelijke kansen aan.
Welke impact heeft dit op de medewerkers van eMabler?
Het succes van het ISO 27001-project hangt af van de gezamenlijke inspanningen van ons hele team. Tijdens de invoering van het ISMS hebben we trainingen verzorgd over beveiligingsprotocollen, best practices en de individuele verantwoordelijkheden op het gebied van de informatiebeveiliging van het bedrijf.
✅ Verhoogd beveiligingsbewustzijn: Medewerkers krijgen regelmatig training en updates over best practices voor informatiebeveiliging, waardoor ze het belang van de bescherming van gevoelige gegevens beter begrijpen. Dit leidt tot een veiligere werkomgeving en vermindert het risico op datalekken.
✅ Helderdere rollen en verantwoordelijkheden: De invoering van ISO 27001 gaat vaak gepaard met het opstellen van duidelijke richtlijnen en procedures voor medewerkers, wat verwarring vermindert en verantwoording waarborgt. Dit kan leiden tot meer efficiëntie en productiviteit.
✅ Mogelijkheid tot loopbaanontwikkeling: De nadruk op continue verbetering en de kans om te leren kan tot persoonlijke en professionele groei leiden. Medewerkers krijgen mogelijk de kans nieuwe vaardigheden en certificeringen te verwerven, wat hun carrièreperspectieven kan verbeteren.
Hieronder volgt een samenvatting van het traject naar de ISO 27001-certificering en enkele geleerde lessen:
Het traject naar certificering
Het traject naar de ISO 27001-certificering was zowel uitdagend als lonend. Hier zijn enkele belangrijke stappen die we hebben gezet:
Gap-analyse: We begonnen met een grondige beoordeling van onze bestaande beveiligingspraktijken ten opzichte van de ISO 27001-vereisten. Dit hielp ons verbeterpunten te identificeren.
Governance: De CISO (Chief Information Security Officer) werd aangesteld, het InfoSec-team werd opgericht en aan heel eMabler werd gecommuniceerd waarom eMabler het managementsysteem voor informatiebeveiliging invoerde en welke impact dit heeft op de medewerkers, de klanten en de organisatie als geheel.
Risicobeoordeling: Er werd een uitgebreide risicobeoordeling uitgevoerd om mogelijke dreigingen en kwetsbaarheden te identificeren, inclusief penetratietesten. Hierdoor konden we onze beveiligingsmaatregelen effectief prioriteren.
Beleidsontwikkeling: We ontwikkelden en implementeerden een reeks beleidsregels en procedures voor informatiebeveiliging die zijn afgestemd op de behoeften van onze organisatie. Dit beleid vormt de basis van ons ISMS.
Training en bewustwording: Het betrekken van onze medewerkers was cruciaal. We verzorgden trainingen om het bewustzijn over best practices voor informatiebeveiliging en het belang van compliance te vergroten.
Implementatie van maatregelen: Op basis van onze risicobeoordeling hebben we diverse technische en organisatorische maatregelen ingevoerd om de geïdentificeerde risico's te beperken. Dit omvatte het versterken van onze netwerkbeveiliging, toegangscontroles en procedures voor incidentrespons.
Interne audits: Voorafgaand aan de externe audit voerden we interne audits uit om te waarborgen dat ons ISMS naar behoren functioneerde en om eventuele punten te identificeren die verdere verbetering behoefden.
Externe audits: We schakelden een geaccrediteerde certificeringsinstantie in om de externe audit uit te voeren. Hun grondige evaluatie bevestigde dat ons ISMS aan de ISO 27001-normen voldeed.
Certificering: Het duurde ongeveer een maand na de externe audit voordat we het officiële certificaat ontvingen.
Geleerde lessen
Betrokkenheid van stakeholders
Bespreek voordat u certificering nastreeft de doelstellingen van uw organisatie met het topmanagement, de businesseigenaren, het technische personeel en de medewerkers. Hun betrokkenheid is cruciaal voor de inspanning, tijd en kosten die certificering vereist. Zodra u hun steun heeft, kunt u vol vertrouwen verder. Bij eMabler maakten beide oprichters deel uit van het InfoSec-team.
Management en leiderschap
De invoering van het ISMS noopte ons door een grote verandering in de organisatie te navigeren, en dat vergt een combinatie van zowel managementvaardigheden als leiderschapsvaardigheden.
We hebben zowel de technische vaardigheden nodig om projecten te beheren, een plan te maken, verantwoordelijken aan te wijzen en op de opleveringen toe te zien, als de emotionele vaardigheden om een visie over te brengen, tot actie te inspireren en begrip te tonen voor zorgen.
Bepaal de scope
Begin de scope van uw certificering te bepalen terwijl u met stakeholders in gesprek bent. ISO 27001 staat toe om uw hele organisatie of een deel ervan te certificeren. Een bredere scope betekent meer werk; begin daarom waar het beveiligingsbeheer de meeste verbetering behoeft, zoals de processen rond een product, dienst of business unit. U kunt de scope later zo nodig uitbreiden.
Verwacht uitdagingen:
Verhoogde werklast: In het begin kan er een leercurve zijn naarmate medewerkers zich aanpassen aan nieuwe procedures en beveiligingsmaatregelen en bijdragen aan de invoering van het ISMS.
Strengere compliance: Medewerkers moeten mogelijk strengere richtlijnen naleven, zoals wachtwoordbeleid en toegangscontroles, wat als belastend kan worden ervaren.
Mogelijkheid tot meer toezicht: Medewerkers kunnen zich nauwer gevolgd voelen, vooral tijdens audits en beoordelingen. Als medewerkers niet zijn ingelicht of zich er niet van bewust zijn waarom bijvoorbeeld kwetsbaarheidsscans nodig zijn, of waarom apparaten van het bedrijf beheertools moeten hebben, of waarom hun laptops, dan denken ze misschien dat de IT-afdeling hun privéberichten of foto's kan zien, wat zeker niet het geval is.
Begin direct met documenteren!
Een aanzienlijk deel van de ISO 27001-norm gaat over documentatie. U moet uw eisen, processen en beleid voor beveiligingsbeheer vastleggen en over voldoende documentatie en bewijs beschikken om aan te tonen dat u deze eisen naleeft. Het is daarom cruciaal om vanaf het begin van uw certificeringstraject elke vergadering, beslissing, gap-analyse en geïdentificeerd risico te documenteren. Deze documentatie bewijst dat u consequent naar certificering hebt toegewerkt en maakt het ook eenvoudiger om uw verbeteringen te traceren. De auditor zal dit zeker opmerken.
Kies de juiste maatregelen voor uw behoeften:
De ISO 27001-norm bestaat uit twee delen: de hoofdstukken (clauses) en de maatregelen uit Annex A. U kunt beide invoeren of slechts enkele Annex A-maatregelen, of een andere set maatregelen. Deze flexibiliteit stelt u in staat relevante maatregelen voor uw bedrijfsvoering te kiezen. U moet uw keuzes en uitsluitingen echter wel onderbouwen. Het helder afbakenen van uw certificeringsscope en organisatorische context is cruciaal.
Er is altijd ruimte voor verbetering:
Houd er bij de planning van uw certificeringstraject rekening mee dat perfectie niet vereist is. Richt u in plaats daarvan op continue en holistische verbetering, met oog voor relevante risico's en dreigingen. Beveiligingsmaatregelen moeten zijn gedefinieerd en in gebruik, maar hoeven niet perfect te zijn. Beheer uw beveiligingsprocessen actief, inclusief doorlopende verbetering en het wegwerken van tekortkomingen. Het identificeren van gaps en risico's en het aanpakken ervan helpt u de certificering te behalen.
Het is oké om niet alles te weten:
Als u merkt dat de tijd dringt of dat uw organisatie bepaalde competenties mist, en/of er geen tijd is om het zelf te leren, aarzel dan niet om hulp te vragen! We hadden een uitstekende samenwerking met Public Cloud Group. Hun expertise maakte dit traject niet alleen soepel, maar ook lonend.
Vooruitblik en dankbaarheid
Het behalen van de ISO 27001-certificering is niet het einde van onze reis; het is pas het begin. We zijn toegewijd aan continue verbetering en zullen ons ISMS regelmatig evalueren en bijwerken om ons aan te passen aan het evoluerende dreigingslandschap. Ons doel is een cultuur van beveiligingsbewustzijn en weerbaarheid in de hele organisatie te bevorderen.
Tot slot wil ik mijn dankbaarheid uitspreken aan iedereen die bij dit project betrokken was. Jullie harde werk en toewijding hebben deze prestatie mogelijk gemaakt. Samen beschermen we niet alleen onze informatie; we bouwen ook vertrouwen op met onze klanten en stakeholders.
Bedankt dat jullie deel uitmaken van deze reis!