Hoe weet ik of een ISO 27001-gecertificeerde leverancier echt zijn zaakjes op orde heeft?
Het certificaat zegt dat een externe partij een ISMS heeft beoordeeld, maar niet welke risico's en controls in scope zaten. Stel altijd door op scope, Statement of Applicability en certificeringsinstantie.
Probeer dit eerst zelf
- 1Vraag het certificaat zelf op, niet alleen het logo. Controleer dat het door een geaccrediteerde certificerende instelling is afgegeven en dat de versie ISO 27001:2022 is.
- 2Lees de scope-tekst. Geldt het voor het volledige bedrijf en de dienst die jij afneemt, of alleen een kantoor of een ander product?
- 3Vraag het Statement of Applicability of een samenvatting daarvan. Daarin staan welke controls van toepassing zijn en welke uitgesloten met onderbouwing.
- 4Vraag of er recente audit-bevindingen of penetratietests zijn die ze willen delen onder NDA. Een gezond ISMS kent open punten, perfectie is verdacht.
- 5Combineer het certificaat met je eigen contractuele eisen: SLA, beveiligingsbijlage, meldplicht bij datalek, recht op audit waar relevant.
Wanneer ons inschakelen
Bij hoog-risico verwerkingen of gevoelige sectoren (zorg, financieel) is ISO alleen niet genoeg. Vraag aanvullend om SOC 2 type II of een NEN 7510-rapport.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en heb je meer dan 50 medewerkers of meer dan 10 miljoen omzet. Daaronder val je alleen indirect, via je klanten.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2. Inwerkingtreding loopt via de wetgevingsagenda van het ministerie van Justitie en Veiligheid, exacte datum volg je via NCSC.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.