Wat is ISO 27001?
ISO/IEC 27001 is de internationale norm voor een Information Security Management System (ISMS): een managementsysteem waarmee een organisatie de vertrouwelijkheid, integriteit en beschikbaarheid van informatie systematisch borgt. De norm beschrijft niet welke specifieke technologie je moet inzetten, maar welke processen, rollen en controles aanwezig moeten zijn om informatierisico's te beheersen. De norm wordt onderhouden door de International Organization for Standardization en in Nederland uitgegeven via het NEN.
Belangrijk om te begrijpen is dat "ISO 27001 certificering" twee verschillende dingen kan betekenen. Een organisatie kan zich laten certificeren door een geaccrediteerde certificerende instelling. Een professional kan zich persoonlijk laten certificeren via een examen (zoals Lead Implementer of Lead Auditor). Dit artikel richt zich vooral op die persoonlijke certificeringen en de carrière die daarbij hoort, maar behandelt ook kort het organisatietraject.
Persoonlijke ISO 27001-certificeringen: een overzicht
Er zijn drie niveaus van persoonlijke certificering, die elk bij een andere rol en ervaringsniveau passen. De meeste examens worden aangeboden via certificerende organisaties als PECB, BSI of via NEN-erkende opleiders.
| Certificering | Niveau | Voor wie | Duur training |
|---|---|---|---|
| ISO 27001 Foundation | Basis | Iedereen die de norm wil begrijpen | 1-2 dagen |
| ISO 27001 Lead Implementer | Gevorderd | Security Officers, ISMS-managers, consultants | 5 dagen |
| ISO 27001 Lead Auditor | Gevorderd | (IT-)auditors, kwaliteitsmanagers | 5 dagen |
Lead Implementer vs. Lead Auditor: wat is het verschil?
Dit is veruit de meest gestelde vraag van professionals die zich willen specialiseren in ISO 27001. Het verschil is fundamenteel en bepaalt welke kant je carrière op gaat.
De Lead Implementer leert hoe je een ISMS van de grond af opbouwt: het uitvoeren van een risicoanalyse, het opstellen van beleid, het selecteren en implementeren van de Annex A-controls, en het inrichten van de Plan-Do-Check-Act-cyclus. Dit is de rol van de bouwer. Lead Implementers werken vaak als IT Security Officer, ISMS-coördinator of security consultant.
De Lead Auditor leert juist hoe je een bestaand ISMS toetst aan de norm. Het draait om auditmethodologie, het verzamelen van bewijs, het rapporteren van non-conformiteiten en het leiden van een auditteam. Dit is de rol van de beoordelaar. Lead Auditors werken bij certificerende instellingen, als interne auditor of als IT Security Auditor. Wil je breder de auditkant op, dan is ook de CISA-certificering een logische aanvulling.
Kort gezegd: Implementers bouwen het systeem, auditors beoordelen het. Veel ervaren professionals halen uiteindelijk beide certificeringen, omdat het begrip van beide perspectieven hen waardevoller maakt.
Wat verandert er met ISO 27001:2022?
De norm is in 2022 ingrijpend herzien. Wie zich nu laat certificeren, leert vanzelfsprekend de actuele 2022-versie. De belangrijkste wijzigingen ten opzichte van de oude 2013-versie zijn:
- Minder controls: het aantal Annex A-controls is teruggebracht van 114 naar 93.
- Vier nieuwe thema's: de controls zijn opnieuw ingedeeld in vier categorieën: organisatorisch, mensen, fysiek en technologisch.
- 11 nieuwe controls: waaronder enkele die de moderne dreigingen weerspiegelen.
De 11 nieuwe controls zijn een directe reactie op de verschuiving naar cloud, remote werken en geavanceerdere dreigingen:
| Control | Onderwerp |
|---|---|
| A.5.7 | Threat intelligence |
| A.5.23 | Informatiebeveiliging bij gebruik van clouddiensten |
| A.5.30 | ICT-gereedheid voor bedrijfscontinuïteit |
| A.7.4 | Fysieke beveiligingsmonitoring |
| A.8.9 | Configuratiebeheer |
| A.8.10 | Verwijderen van informatie |
| A.8.11 | Data masking |
| A.8.12 | Data leakage prevention |
| A.8.16 | Monitoring van activiteiten |
| A.8.23 | Webfiltering |
| A.8.28 | Secure coding |
De overgangsperiode om van de 2013-versie naar de 2022-versie te migreren is op 31 oktober 2025 verlopen. Organisaties die niet op tijd overstapten, hebben een ongeldig certificaat en moeten een volledig nieuw certificeringstraject doorlopen. Voor professionals betekent dit dat kennis van de 2022-controls inmiddels de standaard is.
Wat kost een ISO 27001-certificering?
De kosten hangen sterk af van het niveau en de opleider. Onderstaande bedragen zijn indicatief voor de Nederlandse markt in 2026 en exclusief btw.
| Type | Indicatieve kosten | Wat is inbegrepen |
|---|---|---|
| Foundation | € 700 - € 1.500 | Training + examen |
| Lead Implementer | € 2.500 - € 3.500 | 5-daagse training + examen |
| Lead Auditor | € 2.000 - € 3.000 | 5-daagse training + examen |
Voor organisaties die zich willen laten certificeren liggen de kosten hoger: afhankelijk van de omvang en complexiteit varieert een volledig certificeringstraject (inclusief de driejaarlijkse auditcyclus bij een geaccrediteerde instelling) doorgaans tussen de € 8.000 en € 35.000. Kleine organisaties betalen aan de onderkant van die bandbreedte, grote of complexe organisaties aan de bovenkant.
ISO 27001 en compliance: de link met NIS2, DORA en de AVG
ISO 27001 is geen wettelijke verplichting, maar de norm sluit nauw aan op de beveiligingseisen van actuele wetgeving. Dat maakt het certificaat strategisch waardevol. De NIS2-richtlijn vereist bijvoorbeeld een risicogebaseerde aanpak van informatiebeveiliging, incident management en ketenbeheersing, allemaal kernonderdelen van een ISMS. Voor de financiële sector stelt DORA vergelijkbare eisen aan operationele weerbaarheid.
Een goed geïmplementeerd ISMS levert direct bruikbaar bewijsmateriaal voor toezichthouders en auditors. Organisaties die ISO 27001 al hebben ingericht, hebben een aanzienlijke voorsprong bij het aantonen van NIS2- en DORA-compliance. Ook bij de AVG helpt de norm: controls rond data masking, toegangsbeheer en data leakage prevention ondersteunen de technische en organisatorische maatregelen die de privacywetgeving vereist. Voor professionals die deze frameworks weten te verbinden, zijn er volop kansen als GRC Manager of IT Compliance Auditor.
Salaris en carrièreperspectief
ISO 27001-kennis wordt op de Nederlandse arbeidsmarkt goed beloond. Het is een van de meest gevraagde competenties in vacatures voor informatiebeveiliging. De salarissen variëren uiteraard per rol, ervaring en sector, maar onderstaande bedragen geven een realistisch beeld van het bruto jaarsalaris in 2026.
| Rol | Indicatief bruto jaarsalaris |
|---|---|
| Information Security Officer | € 55.000 - € 80.000 |
| ISMS Manager / Coördinator | € 65.000 - € 95.000 |
| Lead Auditor (certificerende instelling) | € 60.000 - € 90.000 |
| Information Security Manager | € 75.000 - € 110.000 |
Sectoren als finance, energie, overheid en logistiek betalen gemiddeld beter, vanwege de hogere risico's en strengere compliance-eisen. Ook geldt dat salarissen in de Randstad doorgaans hoger liggen dan daarbuiten. Een logisch carrièrepad loopt van Security Officer, via ISMS Manager, naar een leidende functie. Wie de stap naar het hoogste niveau wil maken, oriënteert zich op een CISO-functie, waar ISO 27001-ervaring vrijwel altijd als pré of eis geldt.
Welke certificering past bij jou?
De keuze hangt af van je achtergrond en ambitie. Kom je uit de techniek of het securitybeheer en wil je systemen opzetten en verbeteren? Dan is de Lead Implementer de logische keuze. Heb je een audit-, kwaliteits- of compliance-achtergrond en wil je beoordelen en toetsen? Kies dan voor de Lead Auditor. Twijfel je nog of wil je eerst de norm goed begrijpen voordat je een grote investering doet? Begin dan met de Foundation.
Een veelgemaakte fout is het halen van een certificering zonder praktijkervaring. De grootste waarde ontstaat wanneer je het geleerde direct toepast: betrokken raken bij een lopend ISMS-traject, meelopen met een interne audit of een risicoanalyse uitvoeren. Werkgevers waarderen aantoonbare praktijkervaring vaak hoger dan een certificaat op zichzelf. Combineer je ISO 27001-kennis bovendien met een specialisatie als cloud security, dan vergroot je je waarde op de arbeidsmarkt aanzienlijk.
Op zoek naar een baan in IT Compliance?
Bekijk onze vacatures en vind de perfecte match voor jouw carrière.
Bekijk vacaturesWerken met ISO 27001 en ISMS?
Professionals met ISO 27001-ervaring zijn zeer gevraagd bij organisaties die hun informatiebeveiliging naar een hoger niveau tillen. Bekijk actuele vacatures voor Security Officers en ISMS-specialisten in Nederland.
Bekijk Security Officer vacatures