Controle A.5.1 in ISO 27001:2022 Bijlage A vormt de basis van uw gehele informatiebeveiligingsbeheersysteem. Het vereist dat uw organisatie een reeks informatiebeveiligingsbeleidsregels definieert, goedkeurt, publiceert en communiceert — en deze op gezette tijden of bij belangrijke wijzigingen herziet.
Als je A.5.1 goed doet, wordt elke andere controle uit bijlage A makkelijker om te doen. Doe je het verkeerd, dan zullen auditors hiaten in je hele ISMS signaleren.
Wat vereist controle A.5.1?
De formele vereiste uit ISO 27001:2022 Bijlage A luidt als volgt:
A.5.1 — Beleid voor informatiebeveiliging: Er moet een reeks beleidsregels voor informatiebeveiliging worden vastgesteld, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door het relevante personeel en de relevante belanghebbenden, en op gezette tijden of bij belangrijke wijzigingen worden herzien.
In de praktijk betekent dit dat u het volgende nodig hebt:
Waarom A.5.1 belangrijk is
A.5.1 is vaak de eerste controle die auditors onderzoeken, omdat deze de toon zet voor uw gehele ISMS. Dit is waarom het zo belangrijk is:
Stapsgewijze implementatie
Stap 1: Bepaal de hiërarchie van uw beleid
Begin met een gelaagde aanpak:
De meeste organisaties hebben tussen de 8 en 15 themaspecifieke beleidsregels nodig. Stel geen beleidsregels op omwille van het opstellen zelf — elke beleidsregel moet aansluiten bij de risico's die in uw risicobeoordeling zijn geïdentificeerd.
Stap 2: Stel beleidsregels op die aansluiten bij uw risicoregister
Vermeld voor elk specifiek beleid de risico's waarop het betrekking heeft. Een goed beleid omvat:
Stap 3: Krijg goedkeuring van het management
ISO 27001 vereist expliciet goedkeuring door het management. Dit betekent:
Stap 4: Communiceer en vraag om bevestiging
Het opstellen van beleid is niet voldoende. U moet aantonen dat de relevante personen het beleid hebben ontvangen en begrepen:
Stap 5: Plan en voer beoordelingen uit
Stel een beoordelingsfrequentie vast — minimaal jaarlijks, of op basis van:
Documenteer elke beoordeling, zelfs als er geen wijzigingen zijn aangebracht. Auditors willen zien dat u actief hebt overwogen of updates nodig waren.
Bewijs dat nodig is voor auditors
Wanneer de certificeringsauditor A.5.1 onderzoekt, let hij op het volgende:
Bewijs Wat het bewijst Informatiebeveiligingsbeleid op het hoogste niveau (ondertekend, gedateerd) Toewijding van het management en strategische richting Reeks themaspecifieke beleidsregels Dekking van relevante domeinen uit bijlage A Verslagen van goedkeuring van het beleid (handtekeningen, notulen van vergaderingen)Formele goedkeuring door het managementCommunicatielogboek/distributieregistersBeleid is gedeeld met relevant personeelBevestigingsregisters (ondertekende formulieren, digitale bevestigingen)Personeel heeft het beleid ontvangen en geaccepteerdBeoordelingsregisters met datums en resultatenBeleid wordt bijgehouden en is actueelVersiegeschiedenis/wijzigingslogboekGecontroleerd documentbeheer
Veelvoorkomende valkuilen
Hoe ISMS Copilot helpt
ISMS Copilot versnelt de implementatie van A.5.1 door:
In plaats van wekenlang beleid vanaf nul op te stellen, voltooien teams die ISMS Copilot gebruiken hun volledige beleidsset doorgaans binnen enkele dagen.
Gerelateerde controles
A.5.1 sluit rechtstreeks aan op verschillende andere controles uit bijlage A:
Veelgestelde vragen
Hoeveel informatiebeveiligingsbeleidsregels heb ik nodig voor ISO 27001?
Er is geen vast aantal. ISO 27001 vereist één informatiebeveiligingsbeleid op het hoogste niveau plus specifieke beleidsregels die relevant zijn voor uw organisatie. De meeste bedrijven implementeren tussen de 8 en 15 specifieke beleidsregels. Het belangrijkste is dat uw beleidsregels de risico's dekken die zijn geïdentificeerd in uw risicobeoordeling en de controles in bijlage A van uw verklaring van toepasselijkheid. Een start-up met 20 medewerkers heeft minder beleidsregels nodig dan een onderneming met 5000 medewerkers.
Hoe vaak moet het informatiebeveiligingsbeleid worden herzien?
ISO 27001 vereist beoordelingen met "geplande tussenpozen" — de meeste organisaties hanteren een jaarlijkse beoordelingscyclus. U moet het beleid echter ook herzien wanneer zich belangrijke veranderingen voordoen: een ernstig beveiligingsincident, een reorganisatie, nieuwe regelgeving of wijzigingen in uw technologiestack. Documenteer elke beoordeling, zelfs als er geen wijzigingen zijn aangebracht, om aan te tonen dat u continu aan de normen voldoet.
Kan ik beleidssjablonen gebruiken voor ISO 27001 A.5.1?
Sjablonen zijn een handig uitgangspunt, maar ze moeten worden aangepast aan de daadwerkelijke activiteiten, het risicoprofiel en de context van uw organisatie. Auditors zoeken naar beleid dat specifiek en uitvoerbaar is, niet naar algemene documenten die op elk bedrijf van toepassing kunnen zijn. Tools zoals ISMS Copilot genereren op maat gemaakte concepten op basis van uw specifieke input, wat tijd bespaart en tegelijkertijd de relevantie garandeert.