De meeste organisaties horen dat een ISO 27001-implementatie zes tot twaalf maanden duurt. Toch zien wij in de praktijk dat een goed afgebakend traject binnen twee maanden auditklaar kan zijn. Dat is geen marketingbelofte, maar het resultaat van een strakke scope, een vaste eigenaar en tooling die het handwerk wegneemt. In dit artikel leggen we uit voor welke organisaties dit realistisch is, hoe je het aanpakt en waar de valkuilen zitten.
Voor wie is twee maanden realistisch
Eerlijk is eerlijk: niet elke organisatie haalt dit tempo. Twee maanden is haalbaar voor kleinere en middelgrote organisaties met een overzichtelijke scope, bijvoorbeeld een SaaS-bedrijf of een scale-up met één hoofdproduct en een beperkt aantal systemen. Belangrijke randvoorwaarden zijn dat het management de implementatie prioriteit geeft, dat er één persoon verantwoordelijk is met voldoende tijd, en dat de basis op orde is: toegangsbeheer, back-ups en logging draaien al, ook al is er nog geen formeel beleid omheen. Voor grote, complexe organisaties met versnipperde IT en veel legacy is een langer traject verstandiger.
De certificeringsaudit zelf valt buiten die twee maanden. Je ISMS kan binnen twee maanden auditklaar zijn, maar een geaccrediteerde certificeringsinstelling moet nog ingepland worden en voert de fase 1- en fase 2-audit uit. Reken voor dat deel op extra doorlooptijd. Wat je in twee maanden bereikt, is een volledig en werkend managementsysteem dat de toets kan doorstaan.
Week 1 en 2: scope, gap-analyse en risicobeoordeling
Het traject begint met het vaststellen van de scope. Welke producten, systemen, locaties en processen vallen binnen het ISMS? Een scherpe, niet te brede scope is de belangrijkste tijdwinst van het hele traject. Vervolgens voer je een gap-analyse uit: waar staat de organisatie nu ten opzichte van de eisen van ISO 27001 en de beheersmaatregelen uit Annex A? Parallel start je de risicobeoordeling, het hart van de norm. Je identificeert de belangrijkste bedreigingen en kwetsbaarheden, bepaalt kans en impact, en koppelt daar beheersmaatregelen aan.
Week 3 en 4: beleid, procedures en de SoA
In deze fase richt je het beleidsraamwerk in. Een informatiebeveiligingsbeleid, rollen en verantwoordelijkheden, en de kernprocedures rond toegangsbeheer, incidentmanagement, wijzigingsbeheer en leveranciersbeheer. Tegelijk stel je de Statement of Applicability op: het document waarin je per Annex A-maatregel onderbouwt of die van toepassing is en hoe die wordt ingevuld. Het opstellen van beleid vanaf nul is traditioneel een tijdrovende klus; met sjablonen die je toespitst op de eigen context win je hier weken.
Week 5 en 6: implementeren en bewijs verzamelen
Beleid op papier is niet genoeg; de auditor wil zien dat de maatregelen in de praktijk werken. In deze weken implementeer je de openstaande controls en begin je systematisch met het verzamelen van bewijslast. Denk aan toegangsreviews, bewijs van back-uptests, screenshots van configuraties en logbestanden. Hier maakt tooling het grootste verschil: in plaats van bewijs te verzamelen in mappen en spreadsheets, koppel je bewijs direct aan de betreffende control en houd je realtime overzicht van wat compleet is en wat nog ontbreekt.
Week 7 en 8: interne audit en management review
ISO 27001 verplicht een interne audit en een management review vóór certificering. De interne audit toetst of het ISMS werkt zoals beschreven en legt verbeterpunten bloot voordat de externe auditor langskomt. De management review is het moment waarop het management de effectiviteit van het systeem beoordeelt, auditresultaten bespreekt en besluiten neemt over verbeteringen en middelen. Na deze twee stappen is je ISMS auditklaar.
Waarom tooling het verschil maakt
De grootste tijdverslinders in een traditioneel ISO 27001-traject zijn niet de inhoudelijke beslissingen, maar het administratieve werk eromheen: bijhouden welke control welk bewijs nodig heeft, versies van documenten beheren, en achterhalen wie nog iets moet aanleveren. Een GRC-platform dat de Annex A-controls, de risicobeoordeling, de bewijslast en de taken in één omgeving samenbrengt, neemt dat werk weg. Het team ziet in één oogopslag de voortgang, bewijs is gekoppeld aan de juiste maatregel, en niets valt tussen wal en schip. Dat is precies wat een traject van twaalf naar twee maanden brengt.
Veelgemaakte fouten bij een snel traject
De grootste fout is de scope te breed maken. Elke extra locatie of systeem vermenigvuldigt het werk. Een tweede fout is beleid schrijven dat niet aansluit op de praktijk, waardoor medewerkers het negeren en je tijdens de audit door de mand valt. Een derde fout is het bewijs tot het laatst bewaren; bewijslast verzamel je gaandeweg, niet in een eindsprint. En tot slot: onderschat de doorlooptijd van de certificeringsinstelling niet, en plan die op tijd in.
Secure Audit begeleidt organisaties bij een versnelde maar gedegen ISO 27001-implementatie, ondersteund door onze eigen GRC-tool waarin controls, risico's en bewijslast samenkomen. De certificeringsaudit zelf voert een geaccrediteerde certificeringsinstelling uit. Neem contact op voor een realistische inschatting van jouw traject.
Veelgestelde vragen
Kun je ISO 27001 echt in 2 maanden implementeren?+
Voor kleinere en middelgrote organisaties met een overzichtelijke scope, een vaste eigenaar en een basis die al op orde is, is een auditklaar ISMS binnen twee maanden haalbaar. Voor grote, complexe organisaties is een langer traject verstandiger.
Valt de certificeringsaudit binnen die twee maanden?+
Nee. In twee maanden maak je je ISMS auditklaar. De fase 1- en fase 2-audit worden uitgevoerd door een geaccrediteerde certificeringsinstelling en vragen extra doorlooptijd die je op tijd moet inplannen.
Wat bepaalt of een snel traject slaagt?+
Een scherpe scope, commitment van het management, een verantwoordelijke met voldoende tijd, een basis die technisch al grotendeels op orde is, en tooling die het administratieve werk rond bewijslast en controls wegneemt.
Waarom versnelt tooling de implementatie zo sterk?+
Het meeste tijdverlies zit in administratie: bijhouden welk bewijs bij welke control hoort, documentversies en openstaande taken. Een platform dat controls, risico's, bewijslast en taken samenbrengt, neemt dat handwerk weg en geeft realtime zicht op de voortgang.
Lees ook
Van gap-analyse tot certificeringsaudit: een praktische gids voor ISO 27001 implementatie en certificering.
Veel ISO 27001-trajecten verzanden in spreadsheets en gedeelde mappen. Een GRC-platform brengt controls, risico's en bewijslast samen en versnelt de implementatie aanzienlijk.
Een gap-analyse vergelijkt je huidige beveiligingsniveau met de eisen van een standaard. De ideale eerste stap richting certificering of compliance.
Over de auteur
Partner | IT-auditor