BasisHost

Premium ISO 27001 Gap Analysis: Hoe Werkt Het?

De Premium ISO 27001 Gap Analysis brengt uw huidige informatiebeveiliging in kaart en vergelijkt die met de 93 controls van ISO 27001:2022 (Annex A). U krijgt per control een volwassenheids-score, een gap-overzicht en een concreet actieplan richting certificering.

Wat is de Premium ISO 27001 Gap Analysis?

ISO 27001 is de internationale standaard voor informatiebeveiligingsmanagement. Een gap analysis is de eerste, niet-publieke stap in een certificeringstraject: u meet waar u nu staat, voordat u een externe auditor binnenhaalt.

Deze assessment doorloopt de complete Annex A 2022 (93 controls in 4 thema's: organisatorisch, mensen, fysiek, technologisch). Per control beoordeelt u uw huidige volwassenheid op een 0-5 schaal (CMMI). Het rapport laat u zien waar de grootste gaps zitten en welke acties u prioriteit moet geven.

De 4 categorieën

1

Organisatorische controls (37 controls, 30 punten)

Beleid, rollen, verantwoordelijkheden, leveranciers-management, incident-response. Dit thema is het zwaarst omdat de meeste organisaties hier de grootste gaps vertonen.

Denk aan: ISMS-scope, classificatie van informatie, AVG-koppeling, supply-chain risico-evaluatie en risico-management proces.

2

Mensen-controls (8 controls, 20 punten)

Awareness, training, screening, vertrouwelijkheids-overeenkomsten, disciplinair proces. Klein in aantal maar groot in impact — phishing en menselijke fouten zijn nog steeds oorzaak nummer 1 van breaches.

De assessment toetst of u een gestructureerd awareness-programma heeft en of HR-processen aansluiten op security.

3

Fysieke controls (14 controls, 20 punten)

Toegangsbeveiliging, clear desk, equipment-beveiliging, beveiligde verwijdering. Ook relevant voor hybride/thuiswerken.

Opmerkelijk veel organisaties scoren hier laag door achterhaalde processen rond afvoer van apparatuur (laptops, USB-sticks).

4

Technologische controls (34 controls, 30 punten)

Identity & access, kwetsbaarhedenbeheer, log-monitoring, back-ups, network-security, cryptografie, secure development.

De assessment toetst niet alleen of u maatregelen heeft, maar ook of ze gedocumenteerd, gemeten en periodiek herzien worden — daar zakt 70% van de organisaties op door.

Wat wordt er gecontroleerd?

Per control beoordeelt u op de CMMI-schaal (0=niet, 1=ad-hoc, 2=herhaalbaar, 3=gedefinieerd, 4=gemanaged, 5=geoptimaliseerd):

  • 5.1 Beleid: goedgekeurd informatiebeveiligings-beleid bestaat en wordt periodiek herzien.
  • 5.7 Threat intelligence: proces voor het verzamelen en evalueren van dreigingsinformatie.
  • 5.23 Cloud-beveiliging: cloud-services zijn geïdentificeerd, beoordeeld en gecontracteerd.
  • 5.24-5.30 Incident-management: response-plan, melding, escalatie en lessons learned.
  • 6.3 Awareness: alle medewerkers volgen verplichte security-awareness training.
  • 7.4 Fysieke monitoring: toegangsregistratie en cameratoezicht waar relevant.
  • 8.7 Malware: bescherming, detectie en respons op malware-incidenten.
  • 8.8 Kwetsbaarheden: proces voor het identificeren en patchen van kwetsbaarheden binnen SLA.
  • 8.13 Back-up: back-up beleid, encryptie, off-site, restore-tests.
  • 8.16 Monitoring: centraal log-management met alerting op anomalieën.
  • 8.24 Cryptografie: beleid, key-management en compliance.
  • 8.25-8.34 Secure development: security-by-design, code review, secrets management, security-testing.

Resultaten interpreteren

Na afronding van de assessment ontvangt u een uitgebreid resultaatoverzicht met de volgende onderdelen:

  • Volwassenheids-score (0-100) met letter-grade en gap-percentage.
  • Heat-map per thema (organisatorisch, mensen, fysiek, technologisch).
  • 93 controls met huidige score en gap (gewenste vs huidige volwassenheid).
  • Top-10 gaps gerangschikt op risico en implementatie-effort.
  • Roadmap richting Stage-1 audit (typisch 6-12 maanden).
  • SoA-template (Statement of Applicability) als startpunt voor uw ISMS.

Voor certificering is een gemiddelde score van 3.5+ (CMMI) realistisch nodig. Lager dan 2.5 betekent meestal een 6-12 maanden traject voordat u Stage-1 kunt aanvragen — gebruik het rapport dan eerst voor draagvlak bij management en als basis voor een implementatie-plan.

Wat zit er in het rapport?

Premium ISO 27001 Gap Analysis — €89

De Premium ISO 27001 Gap Analysis levert een compleet, professioneel rapport. Het rapport bevat:

  • Volwassenheids-meting tegen alle 93 ISO 27001:2022 Annex A controls
  • Heat-map en gap-analyse per thema
  • Top-10 prioriteits-acties met impact en effort schatting
  • Roadmap richting Stage-1 certificerings-audit
  • Statement of Applicability template als startpunt
  • Downloadbaar PDF-rapport (NL/EN) voor management en consultancy
  • 3 herhalingen om voortgang per kwartaal te meten

Veelgestelde vragen

Vervangt dit een externe ISO 27001-audit?

Nee — een formele certificering vereist een geaccrediteerde auditor (DNV, BSI, Lloyd's, etc.). Deze gap-analyse is de interne voorbereiding: u weet voor de Stage-1 al precies waar u staat en wat er nog moet gebeuren.

Hoeveel tijd kost het invullen?

Reken op 4-6 uur voor een grondige zelfbeoordeling, het beste verspreid over twee sessies met betrokkenen uit IT, HR en bedrijfsvoering. De tool slaat tussenresultaten op zodat u kunt pauzeren.

Welke versie van ISO 27001 wordt getoetst?

ISO/IEC 27001:2022 met de 93 herziene Annex A controls (vs 114 in de 2013-versie). Migratie van 2013 naar 2022 was verplicht vóór 31 oktober 2025.

Wat als we ook NIS2-plichtig zijn?

ISO 27001:2022 dekt grofweg 80% van de NIS2-eisen. Het rapport markeert per control of die ook voor NIS2 relevant is, zodat u beide trajecten parallel kunt voeren. Voor de NIS2-specifieke verplichtingen kunt u de Premium NIS2 Compliance Assessment apart inzetten.

Premium — €89
ISO 27001 Gap Analysis

Complete gap-analyse tegen alle 93 ISO 27001:2022 Annex A controls met volwassenheids-meting, prioritering en SoA-template.

Bestel de Premium ISO 27001 Gap Analysis
Start gratis proefperiode 14 dagen gratis · geen contract
Aanvragen