ZONDER ISO 27001

Geen ISO 27001, maar toch security aantonen?

Wij helpen bepalen of ISO 27001 echt verplicht is, wat je wél kunt aantonen en hoe je eerlijk reageert richting klant — met maatregelen, bewijs en een roadmap waar dat past.

Voor MKB-leveranciers met klantvragen over ISO 27001, NIS2, SC10/SC20, vendor assessments, aanbestedingen of cyberverzekering.

Een Bewijsmap vervangt geen verplicht ISO 27001-certificaat. Wel helpt het om maatregelen, bewijs en open punten professioneel te tonen wanneer aantoonbare beheersing wordt gevraagd.

Wat checken we eerst?

  • Vraagt de klant echt om een certificaat?
  • Is de scope verplicht voorgeschreven?
  • Mag gelijkwaardig bewijs?
  • Welke maatregelen zijn al aantoonbaar?
  • Wat moet als roadmap worden benoemd?

Eerste Beoordeling vanaf €750

Herken je dit?

Een klant vraagt ineens om ISO 27001. Of er staat in een vragenlijst, aanbesteding of contract dat je informatiebeveiliging aantoonbaar moet hebben geregeld.

De klant vraagt naar ISO 27001, maar je bent niet gecertificeerd
Je weet niet of ISO een harde eis is of vooral een voorbeeld
Je hebt wel maatregelen zoals MFA, back-ups en beleid, maar geen certificaat
Je wilt eerlijk antwoorden zonder amateuristisch over te komen
Je wilt niet doen alsof je ISO hebt als dat niet zo is
Je wilt bewijs hergebruiken bij volgende klantvragen

Geen ISO 27001 hebben is niet automatisch het probleem. Het probleem ontstaat pas als je niet kunt uitleggen wat je wél geregeld hebt, wat je kunt aantonen en wat nog openstaat.

Ben je zonder ISO 27001 kansloos?

Nee, niet altijd. Als een klant of aanbesteding een geldig ISO 27001-certificaat binnen een specifieke scope verplicht stelt, kun je dat niet vervangen met losse documenten of een Bewijsmap.

Maar als de vraag vooral draait om aantoonbare maatregelen, informatiebeveiligingsbeleid, MFA, back-ups, incidenten, leveranciersbeheer of een securityvragenlijst, dan kun je vaak professioneel laten zien wat je wél geregeld hebt.

De eerste vraag is dus niet: “Hebben we ISO?” De eerste vraag is: “Wat vraagt de klant precies, en welk bewijs accepteert hij?”

Deze situatie wordt ook gezocht als ISO 27001 alternatief, ISO 27001 light, security aantonen zonder ISO 27001, informatiebeveiliging aantonen zonder certificering of klant vraagt ISO 27001 maar wij zijn niet gecertificeerd.

Is ISO 27001 echt verplicht?

Niet elke verwijzing naar ISO 27001 betekent hetzelfde. Soms is het een harde eis. Soms gebruikt de klant ISO als shorthand voor volwassen informatiebeveiliging.

Harde certificaateis

De klant vraagt expliciet om een geldig ISO 27001-certificaat. Dan kun je dat niet vervangen met een Bewijsmap.

Scope-eis

Soms is niet alleen het certificaat belangrijk, maar ook of jouw dienst, locatie of proces binnen de scope van het certificaat valt.

Voorkeur of voorbeeld

Soms noemt de klant ISO 27001 als voorbeeld, maar accepteert hij ook gelijkwaardige onderbouwing of aantoonbare maatregelen.

Vragenlijst of vendor assessment

Vaak vraagt de klant niet letterlijk om certificering, maar om bewijs van maatregelen zoals MFA, back-ups, incidentmanagement en leveranciersbeheer.

Contract- of aanbestedingseis

Bij aanbestedingen moet je extra voorzichtig zijn. Daar kan ISO 27001 een knock-out eis, gunningscriterium of contracteis zijn.

Certificaat, norm, maatregelen of bewijs?

Veel verwarring ontstaat doordat deze woorden door elkaar worden gebruikt. Voor je antwoordt, moet je weten waar je klant eigenlijk om vraagt.

ISO 27001-certificaat

Een formeel certificaat van een onafhankelijke certificerende partij, binnen een bepaalde scope.

ISO 27001 als norm

Een referentiekader voor een managementsysteem voor informatiebeveiliging. Je kunt ermee werken zonder direct gecertificeerd te zijn.

Securitymaatregelen

Concrete maatregelen zoals MFA, back-ups, logging, beleid, incidentprocedure, toegangsbeheer en leveranciersbeheer.

Bewijsstukken

Documenten, screenshots, exports, procedures of verslagen waarmee je laat zien dat maatregelen bestaan of worden opgevolgd.

Een certificaat is sterker dan losse bewijsstukken als het expliciet verplicht is. Maar bij veel klantvragen gaat het eerst om aantoonbaarheid: wat heb je geregeld en kun je dat laten zien?

Wanneer is een Bewijsmap wél logisch?

Een Bewijsmap is vooral nuttig als de klant wil zien welke maatregelen je hebt genomen en welk bewijs daarbij hoort.

Klant vraagt om securitybewijs

Bijvoorbeeld over MFA, back-ups, beleid, incidenten, leveranciers of awareness.

Je moet een vragenlijst invullen

Een Bewijsmap helpt antwoorden en bewijsstukken consistent op te bouwen.

Je hebt maatregelen, maar geen certificaat

Dan moet je laten zien wat er wél geregeld is en waar je grenzen liggen.

Je wilt open punten netjes uitleggen

Niet alles hoeft direct perfect te zijn, maar open punten moeten realistisch worden benoemd.

Je krijgt vaker klantvragen

Dan wil je niet elke keer opnieuw zoeken naar beleid, screenshots en antwoorden.

Je wilt later richting ISO groeien

Een Bewijsmap kan helpen structuur aan te brengen, zonder te doen alsof het al een ISO-traject is.

Meer over de Bewijsmap? Bekijk Cybersecurity Bewijsmap. Alleen één vragenlijst? Securityvragenlijst Hulp.

Wanneer is ISO waarschijnlijk wél nodig?

Soms is een Bewijsmap niet genoeg. Dan moet je eerlijk zijn en niet proberen een certificaat te vervangen met losse documenten.

ISO 27001 is een knock-out eis

Bij aanbestedingen of harde selectie-eisen kan het ontbreken van een certificaat betekenen dat je niet verder komt.

De klant vraagt expliciet een geldig certificaat

Als certificering letterlijk verplicht is, moet je dat niet presenteren alsof bewijs hetzelfde is.

Scope is contractueel voorgeschreven

Als de scope exact benoemd is, moet je certificaat daarop aansluiten.

Een onafhankelijke audit is verplicht

Als een audit, assurance of certificering vereist is, moet dat via de juiste onafhankelijke partij.

Je wilt formeel certificeren

Als certificering strategisch nodig is, hoort daar een apart ISO 27001-traject bij.

InstantSecure helpt je herkennen wanneer bewijs voldoende kan zijn en wanneer formele certificering waarschijnlijk nodig is. Bij aanbestedingseisen is extra voorzichtigheid vaak nodig.

Wat je beter niet moet zeggen

De grootste fout is niet dat je geen ISO-certificaat hebt. De grootste fout is doen alsof je iets hebt wat je niet kunt aantonen.

Niet zeggen "we zijn ISO-proof"

Dat klinkt alsof je gecertificeerd of formeel getoetst bent, terwijl dat meestal niet klopt.

Niet suggereren dat de Bewijsmap ISO vervangt

Een Bewijsmap kan aantoonbaarheid verbeteren, maar vervangt geen verplicht certificaat.

Niet doen alsof beleid genoeg is

Een los beleidsdocument zonder uitvoering, eigenaar of bewijs is meestal zwak.

Niet overal "ja" invullen

Als je iets nog niet kunt aantonen, is een eerlijk antwoord met roadmap vaak sterker.

Niet je MSP alles laten beantwoorden

Technische input is belangrijk, maar jij verklaart richting klant hoe je organisatie werkt.

Niet wachten tot de deadline

ISO-vragen raken vaak directie, IT, privacy, operations en contracten. Verzamel input op tijd.

Hoe we helpen

Hoe InstantSecure helpt als je geen ISO 27001 hebt

We kijken eerst wat de klant precies vraagt. Daarna bepalen we wat je veilig kunt aantonen, waar je voorzichtig moet formuleren en wat beter als verbeterpunt op de roadmap komt.

Stap 1

Klantvraag ontleden

We bekijken of het gaat om een harde certificaateis, voorkeur, vragenlijst, vendor assessment of aanbestedingseis.

Stap 2

ISO-verwijzing duiden

We maken onderscheid tussen certificaat, norm, scope, maatregelen en bewijs.

Stap 3

Bestaande maatregelen inventariseren

We kijken wat al aanwezig is, zoals MFA, back-ups, incidentprocedure, beleid, leveranciersregister of awareness.

Stap 4

Bewijsstukken koppelen

Per klantvraag bepalen we welk bewijs bruikbaar is en wat nog ontbreekt.

Stap 5

Conceptantwoord formuleren

We helpen een eerlijk antwoord maken dat niet meer belooft dan je kunt aantonen.

Stap 6

Roadmap maken

Open punten worden vertaald naar realistische vervolgstappen.

Stap 7

Bewijsmap opbouwen

De uitkomst wordt herbruikbaar voor volgende klantvragen, assessments of aanbestedingen.

Voorbeeld: klant vraagt ISO 27001

Niet elke ISO-vraag vraagt om hetzelfde antwoord. Daarom kijken we eerst naar de formulering.

ISO 27001-certificaat verplicht

Als de klant letterlijk een geldig certificaat eist, kun je dat niet vervangen. Dan kun je alleen eerlijk aangeven dat je niet gecertificeerd bent, eventueel met alternatieve bewijsstukken als de klant die accepteert.

Mogelijke actie: Check of gelijkwaardig bewijs of roadmap wordt geaccepteerd.

ISO 27001 of gelijkwaardig

Hier kan ruimte zijn om aantoonbare maatregelen, beleid, procedures en bewijsstukken te tonen. Dan is een Bewijsmap juist waardevol.

Mogelijke actie: Maak zichtbaar welke maatregelen aanwezig zijn en welk bewijs erbij hoort.

Heeft u beleid conform ISO 27001?

Dit vraagt vaak niet direct om certificering, maar om uitleg hoe je informatiebeveiliging organiseert.

Mogelijke actie: Formuleer eerlijk wat je geregeld hebt en waar je nog aan werkt.

Het juiste antwoord hangt af van de exacte tekst van de klantvraag. Eén woord zoals “moet”, “bij voorkeur”, “of gelijkwaardig” of “aantoonbaar” kan veel verschil maken.

Welke bewijsstukken kun je wél tonen zonder ISO-certificaat?

Als ISO 27001 niet hard verplicht is, kun je vaak alsnog laten zien welke basismaatregelen aanwezig zijn.

Beleid en verantwoordelijkheden

Kort informatiebeveiligingsbeleid, rolverdeling en directiebesluit.

MFA en toegangsbeheer

Screenshots, exports of procedures voor MFA, rechtenbeheer en uitdiensttreding.

Back-ups en herstel

Back-upbeleid, restore-testverslag of beschrijving van herstelmaatregelen.

Incidentprocedure

Procedure met contactpersonen, escalatie en melding richting klant.

Leveranciersregister

Overzicht van kritieke leveranciers, cloudpartijen en gemaakte afspraken.

Awareness en training

Bewijs van security-instructies, training of phishingoefeningen.

Logging en monitoring

Beschrijving van logging, alerting en opvolging.

Roadmap open punten

Overzicht van verbeterpunten, prioriteit, eigenaar en planning.

Bewijs hoeft niet altijd zwaar te zijn. Het moet vooral passen bij de vraag, het risico en wat je organisatie echt doet.

Hoofdaanbod

Eerste Beoordeling klantvraag

Voor leveranciers die een klantvraag, vragenlijst, aanbestedingseis of contractclausule krijgen waarin ISO 27001 of aantoonbare informatiebeveiliging wordt genoemd. Een ISO-vraag, contractclausule of aanbestedingseis beoordelen valt onder de Eerste Beoordeling klantvraag.

Vanaf €750 excl. btw

Soms is één scherpe beoordeling genoeg. Als er meer nodig is, zoals hulp bij een volledige vragenlijst of Bewijsmap Sprint, zeggen we dat vooraf.

Bij grote vragenlijsten, aanbestedingen, vendor assessments of korte deadlines kan de scope groter worden.

Wat je krijgt

  • Intake en context
  • Analyse van de ISO-vraag of klantmail
  • Beoordeling of het lijkt op harde certificaateis, voorkeur of aantoonbare beheersing
  • Advies wat je wel en niet moet claimen
  • Overzicht van bruikbaar bewijs
  • Conceptantwoord richting klant
  • Gaplijst en eerste roadmap
  • Advies of een Bewijsmap logisch is

Niet inbegrepen

  • ISO 27001-certificering
  • Formele audit of assurance
  • Juridisch aanbestedingsadvies
  • Pentest of technische scan
  • Volledige ISO 27001-implementatie
  • Definitieve goedkeuring van contract of inschrijving

Van één ISO-vraag naar herbruikbare Bewijsmap

Veel leveranciers beantwoorden ISO-vragen steeds opnieuw. Dat kost tijd en vergroot de kans op tegenstrijdige antwoorden. Wij gebruiken zo'n klantvraag als startpunt voor een herbruikbare Bewijsmap.

Antwoordbibliotheek

Veelgebruikte antwoorden bewaar je op één plek, afgestemd op je echte maatregelen.

Evidence index

Je ziet per eis of klantvraag welk bewijsstuk erbij hoort en waar het staat.

Roadmap

Openstaande punten krijgen prioriteit, eigenaar en vervolgstap.

Deelversie voor klant

Niet alles intern hoeft één-op-één naar je klant. We helpen bepalen wat je deelt, samenvat of intern houdt.

Wil je dit niet alleen voor één ISO-vraag, maar structureel opbouwen? Bekijk Cybersecurity Bewijsmap.

Voor wie is deze pagina bedoeld?

Voor leveranciers die geen ISO 27001-certificaat hebben, maar wel serieus willen reageren op klantvragen over security en informatiebeveiliging.

IT-, SaaS- en MSP-leveranciers

Voor partijen die software, cloud, beheer, support of toegang tot klantomgevingen leveren.

HR, payroll en backoffice

Voor dienstverleners die persoonsgegevens of klantprocessen verwerken.

Zorgleveranciers

Voor leveranciers die werken met zorgdata, applicaties of ondersteunende processen.

Overheids- en gemeentelijke leveranciers

Voor organisaties die ISO-, BIO-, ICO- of informatiebeveiligingseisen tegenkomen in aanbestedingen of contracten.

Logistiek, techniek en facilitair

Voor leveranciers die door grote klanten of contractverlengingen securitybewijs moeten tonen.

Meer sectoren? Bekijk voor wie. Overzicht van diensten? Bekijk diensten.

Wat is dit niet?

Deze hulp is bedoeld om ISO-vragen en aantoonbaarheid scherp te krijgen. Niet als vervanging van certificering of audit.

Geen ISO-certificering

Wij certificeren niet en vervangen geen certificerende instelling.

Geen audit of assurance

Wij geven geen onafhankelijk oordeel of assurance-verklaring.

Geen juridisch aanbestedingsadvies

Bij aanbestedingen helpen we de security-inhoud duiden, maar geven geen juridisch eindoordeel.

Geen "compliance-stempel"

We helpen je onderbouwen wat er is, wat ontbreekt en wat de volgende stap is.

Waarom InstantSecure?

Een ISO-vraag raakt vaak sales, directie, IT, privacy en operations tegelijk. Wij helpen de vertaalslag maken tussen klantvraag, technische werkelijkheid en een antwoord dat klopt.

Eerlijk zonder zwak te klinken

We helpen uitleggen wat geregeld is, wat gedeeltelijk geregeld is en wat nog verbeterd moet worden.

Bewijs boven mooie woorden

Een antwoord wordt sterker als er een document, screenshot, export of procedure achter zit.

Geen nepzekerheid

We doen niet alsof een Bewijsmap hetzelfde is als ISO-certificering.

MKB-realiteit

Niet elk bedrijf heeft een volwassen ISMS. We kijken wat passend, eerlijk en verdedigbaar is.

Herbruikbaar resultaat

Wat we nu uitzoeken, gebruik je later opnieuw bij andere klantvragen.

Veelgestelde vragen over ISO 27001 en security aantonen

Ja, soms wel. Als de klant vooral wil zien welke maatregelen en bewijsstukken je hebt, kan dat zonder certificaat. Als een geldig ISO 27001-certificaat verplicht is, kun je dat niet vervangen.

Kennisbank

Verder lezen in de kennisbank

Praktische uitleg bij klantvragen, bewijsstukken en veilige formuleringen.

Klant vraagt om ISO 27001?

Stuur de klantvraag, vragenlijst of aanbestedingseis door. We kijken of ISO echt verplicht lijkt, welk bewijs je wél kunt tonen en waar je voorzichtig moet formuleren.

Geen verplicht traject. Eerst scherp krijgen wat de klant precies vraagt.