🚨 NIS2 is nu van kracht. Bewustwording op het gebied van informatiebeveiliging is nu wettelijk verplicht in de EU.

Check compliance
Start je gratis proefperiode
Terug naar het Resource Center

ISO 27001 Security Awareness Training: De complete gids (2026 Update)

Een ISO 27001-certificering is een eerbetoon dat laat zien hoeveel belang je organisatie hecht aan het beheer en de bescherming van gevoelige informatie.

De standaard schetst een framework voor security management, inclusief een toewijding aan medewerker awareness en training.

Maar het kan lastig zijn om precies te begrijpen wat er van je organisatie wordt verwacht. De ISO 27001-norm bestaat uit heel wat tekst. En zelfs als je hem een paar keer hebt doorgenomen, kun je nog steeds met vragen zitten.

In dit artikel leggen we uit wat ISO 27001 zegt over security awareness, wat er veranderd is in de nieuwste revisie van 2022 (nu volledig van kracht in 2026), en hoe je ISO 27001 security awareness training binnen je organisatie kunt implementeren. Ook hebben we een uitgebreide checklist toegevoegd om je te helpen voor te bereiden op je volgende audit.

In een notendop: wat is ISO 27001?

ISO 27001 is een norm voor informatiebeveiligingsbeheersystemen (vaak ISMS genoemd). Het doel van deze norm is om een aanpak te bieden voor het beheren en beschermen van gevoelige informatie.

De belangrijkste onderdelen van ISO 27001 zijn:

  • Risicobeoordeling
  • Beleidsontwikkeling
  • Duidelijke rollen en verantwoordelijkheden
  • Awareness training

Organisaties die ervoor kiezen deze standaard te volgen, zijn vaak overheidsinstanties, zorginstellingen, financiële instellingen en elke andere organisatie die gevoelige informatie verwerkt.

Certificering is geen sinecure. Het omvat een rigoureus auditproces om te controleren of je organisatie voldoet aan de standaard.

Wat is er veranderd in ISO 27001 voor 2026?

De ISO 27001:2022-revisie bracht significante wijzigingen in de standaard. De overgangsdeadline was 31 oktober 2025, wat betekent dat vanaf 2026 alle gecertificeerde organisaties moeten voldoen aan de geüpdatete versie. Dit zijn de wijzigingen en de impact ervan op je security awareness programma.

De herzieningen in bijlage A

De vorige versie (ISO 27001:2013) bevatte 114 maatregelen, verdeeld over 14 categorieën. In de herziening van 2022 zijn deze samengevoegd tot 93 maatregelen, verdeeld over 4 thema’s:

  • Organisatorische controles (37 controles)
  • Bedieningselementen voor personen (8 stuks)
  • Fysieke bedieningselementen (14 stuks)
  • Technologische controles (34 controles)

Nieuwe maatregelen met betrekking tot bewustwordingstraining

De revisie van 2022 introduceerde 11 nieuwe controls. Verschillende hiervan hebben directe impact op Security Awareness Training programma's:

  • A.5.7 – Informatie over cyberdreigingen: Organisaties moeten nu informatie over cyberdreigingen verzamelen en analyseren. Je bewustwordingstraining moet aansluiten bij actuele, reële dreigingen in plaats van bij algemene scenario’s.
  • A.6.3 – Bewustwording, voorlichting en training op het gebied van informatiebeveiliging: Dit is nu een op zichzelf staande maatregel (voorheen opgenomen onder A.7.2.2). Er wordt expliciet gevraagd om een formeel bewustwordingsprogramma waarvan de doeltreffendheid gedocumenteerd moet zijn.
  • A.8.12 – Voorkomen van gegevenslekken: Medewerkers moeten begrijpen hoe gegevenslekken ontstaan en hoe ze deze kunnen voorkomen. Dit moet deel uitmaken van je trainingsprogramma.
  • A.8.23 – Webfiltering: Medewerkers moeten begrijpen waarom bepaalde webcontent wordt beperkt en hoe ze verdachte websites kunnen melden.
  • A.5.23 – Informatiebeveiliging bij het gebruik van clouddiensten: Nu steeds meer bedrijven de cloud gaan gebruiken, hebben medewerkers training nodig over veilig cloudgebruik, het delen van gegevens en toegangsbeheer.

Wat dit betekent voor je trainingsprogramma

Als je trainingsprogramma is gebaseerd op de versie uit 2013, moet je het bijwerken. De belangrijkste stappen zijn:

  • De trainingsinhoud herzien en bijwerken om nieuwe controles mee te nemen
  • Voeg modules toe over dreigingsinformatie, cloudbeveiliging en het voorkomen van datalekken
  • Zorg ervoor dat je training aansluit bij de nieuwe structuur met vier thema’s
  • Pas de verwijzingen in de documentatie aan van de oude controlenummers naar de nieuwe

Wat zegt de ISO 27001-standaard over security awareness?

De ISO 27001-norm vermeldt het belang van security awareness in meerdere clausules.

  • Clausule 7.2 – Competentie: De standaard vereist van organisaties dat ze de benodigde competentie bepalen van medewerkers die betrokken zijn bij informatiebeveiliging.
  • Clausule 7.3 – Bewustzijn: Organisaties moeten ervoor zorgen dat medewerkers zich bewust zijn van het informatiebeveiligingsbeleid, relevante doelstellingen en hun rollen en verantwoordelijkheden bij het behalen van deze doelstellingen.
  • Clausule 8.2 – Communicatie: ISO 27001 benadrukt het belang van interne communicatie over het informatiebeveiligingsmanagementsysteem, inclusief het bevorderen van bewustzijn over informatiebeveiliging.
  • Clausule 8.2.2 – Informatiebeveiliging security awareness, onderwijs en training: Organisaties moeten ervoor zorgen dat personeel zich bewust is van het informatiebeveiligingsbeleid en competent is op de gebieden van hun werk die betrekking hebben op informatiebeveiliging.

ISO 27001 Annex A beheersmaatregelen gerelateerd aan security awareness

Naast de bovengenoemde clausules vereisen of profiteren verschillende Annex A controls direct van security awareness training. Door dit te begrijpen, kun je een trainingprogramma opzetten dat alle auditeerbare gebieden omvat.

A.5.1 – Beleid inzake informatiebeveiliging

Je beleid inzake informatiebeveiliging moet aan alle medewerkers worden meegedeeld. Door middel van training moet ervoor worden gezorgd dat elk teamlid het beleid begrijpt, weet wat het voor zijn of haar dagelijkse werk betekent en zich bewust is van de gevolgen van niet-naleving.

A.6.3 – Bewustwording, voorlichting en training op het gebied van informatiebeveiliging

Dit is de belangrijkste wijziging in de herziening van 2022. Hiervoor geldt het volgende:

  • Een officieel bewustwordingsprogramma voor alle medewerkers
  • Functiespecifieke training voor medewerkers met verhoogde beveiligingsverantwoordelijkheden
  • Regelmatige updates van de trainingsinhoud, afgestemd op nieuwe bedreigingen en beleidswijzigingen
  • Aantoonbaar bewijs dat de training is afgerond en effectief is

A.6.8 – Melding van incidenten op het gebied van informatiebeveiliging

Medewerkers moeten weten hoe ze beveiligingsincidenten kunnen herkennen en melden. Je training moet het volgende omvatten:

  • Wat is het verschil tussen een beveiligingsgebeurtenis en een beveiligingsincident?
  • Hoe je gebeurtenissen via de juiste kanalen kunt melden
  • Het belang van tijdige meldingen (zelfs bij valse positieven)
  • Wat gebeurt er nadat er aangifte is gedaan?

A.8.7 – Bescherming tegen malware

Medewerkers moeten begrijpen hoe malware zich verspreidt en hoe ze infecties kunnen voorkomen. Onderwerpen die aan bod moeten komen, zijn onder andere het herkennen van verdachte bijlagen, veilige surfgewoonten en het belang van het up-to-date houden van software.

A.5.10 – Toegestaan gebruik van informatie en bedrijfsmiddelen

Medewerkers moeten worden getraind in het beleid voor verantwoord gebruik: wat ze wel en niet mogen doen met bedrijfsapparatuur, -gegevens en -systemen. Dit omvat beleid voor persoonlijk gebruik, BYOD-richtlijnen en procedures voor gegevensverwerking.

A.8.9 – Configuratiebeheer

Hoewel het in de eerste plaats om een technische maatregel gaat, hebben medewerkers (vooral IT-medewerkers) training nodig om veilige configuraties te kunnen onderhouden en te begrijpen waarom ongeoorloofde wijzigingen verboden zijn.

Hoe voer je een ISO 27001-training in informatiebeveiliging uit?

ISO 27001 biedt een duidelijk kader om organisaties te helpen bij het beheer van hun informatiebeveiliging. Er wordt echter niet expliciet vermeld hoe je die bewustwordingsprogramma’s binnen je organisatie moet implementeren.

Dus hoe weet je of jouw ISO 27001 Security Awareness Training programma op niveau is?

Laten we eerst eens kijken waar ISO 27001 auditors naar kijken. Tijdens audits wordt de naleving van de ISO 27001-vereisten door de organisatie beoordeeld, inclusief de vereisten met betrekking tot security awareness.

Auditors zoeken vaak naar het volgende:

  • Documentatie: Heb je je securitybeleid, doelstellingen, rollen en specifieke vereisten met betrekking tot awareness en training gedocumenteerd?
  • Communicatie: Kun je bewijs leveren dat je medewerkers zich bewust zijn van je beveiligingsbeleid, doelstellingen en hun specifieke rollen bij het behalen ervan?
  • Trainingprogramma's: Kun je aantonen dat je organisatie trainingprogramma's heeft geïmplementeerd?
  • Monitoring en meting: Kun je aantonen dat je de effectiviteit monitort en meet van je security awareness programma's?

Je kunt ervoor kiezen om je eigen trainingprogramma op te zetten of een Security Awareness Training platform zoals Guardey te gebruiken.

Met Guardey gaan je medewerkers wekelijkse cybersecurity challenges aan die maximaal drie minuten duren. De challenges behandelen alle relevante onderwerpen zoals spear phishing, CEO fraud, password security en meer. Door wekelijks kleine stukjes informatie te leren, bouwen medewerkers langzaam kennis en security awareness op.

In het rapportagegedeelte kun je monitoren hoe medewerkers presteren en welke security onderwerpen meer aandacht nodig hebben. Dit maakt Guardey de perfecte oplossing voor Security Awareness Training compliant met de ISO 27001-standaard.

→ Plan een demo met een van Guardey’s cybersecurity specialisten.

ISO 27001-checklist (2026)

Gebruik deze uitgebreide checklist om te controleren of je organisatie aan alle ISO 27001-eisen voldoet. Deze checklist is afgestemd op de herziene versie van ISO 27001:2022 en behandelt alles waar auditors op letten – van beleid en documentatie tot training, monitoring en auditvoorbereiding.

1. Beleid en documentatie

  • Het beleid inzake informatiebeveiliging is vastgelegd en goedgekeurd door het management
  • Security awareness training doelstellingen zijn duidelijk gedefinieerd en afgestemd op de bedrijfsdoelstellingen
  • De rollen en verantwoordelijkheden voor het beheer van het bewustwordingsprogramma zijn verdeeld
  • Er is een officieel trainingsschema voor dit jaar
  • Het beleid voor verantwoord gebruik is vastgelegd en voor alle medewerkers toegankelijk
  • De procedures voor het melden van incidenten zijn vastgelegd en bekendgemaakt
  • Er is een beleid voor gegevensclassificatie en de medewerkers begrijpen de classificatieniveaus
  • Het bewustwordingsprogramma wordt minstens één keer per jaar geëvalueerd en bijgewerkt

2. Trainingsinhoud en onderwerpen

Je trainingsprogramma moet alle onderstaande onderwerpen behandelen om te voldoen aan de eisen van ISO 27001:

  • Phishing en social engineering – Hoe herken en meld je phishing-e-mails, vishing, smishing en pretexting-aanvallen
  • Wachtwoordbeveiliging – Sterke wachtwoorden maken, wachtwoordbeheerders gebruiken en meer weten over meervoudige authenticatie
  • Omgang met en classificatie van gegevens – Hoe ga je om met gevoelige gegevens, welke classificatieniveaus zijn er en wat zijn de juiste procedures voor opslag en vernietiging?
  • Incidentmelding – Hoe herken je beveiligingsincidenten en meld je ze via de juiste kanalen
  • Fysieke beveiliging – Beleid voor opgeruimde bureaus, bezoekersbeheer, beveiligd afdrukken en het voorkomen van meelopen
  • Beveiliging bij werken op afstand – Veilig thuiswerken, VPN-gebruik en risico’s van openbare wifi
  • Malwarepreventie – Verdachte bijlagen herkennen, veilig surfen en je software up-to-date houden
  • Cloudbeveiliging – Veilig gebruik van clouddiensten, best practices voor het delen van gegevens en toegangsbeheer (nieuw in de herziening van 2022)
  • BYOD en de beveiliging van mobiele apparaten – Het beveiligen van persoonlijke apparaten die voor werkdoeleinden worden gebruikt
  • Preventie van gegevenslekken – Inzicht in hoe gegevenslekken ontstaan en preventieve maatregelen (nieuw in de herziening van 2022)
  • CEO-fraude en zakelijke e-mailaanvallen – Identiteitsfraude herkennen en ongebruikelijke verzoeken controleren
  • Privacy en de basisprincipes van de AVG – Inzicht in de verplichtingen rond de verwerking van persoonsgegevens
  • AI en opkomende bedreigingen – Risico’s van door AI gegenereerde phishing, deepfakes en nieuwe aanvalsvectoren

3. De manier waarop de trainingen worden gegeven en hoe vaak ze plaatsvinden

  • Nieuwe medewerkers krijgen tijdens hun introductieperiode (binnen de eerste week) een training in informatiebeveiliging
  • Alle medewerkers krijgen doorlopend en regelmatig training (minimaal maandelijks; wekelijkse korte leermomenten worden aanbevolen)
  • Er zijn trainingen beschikbaar in de talen die door je personeel worden gesproken
  • De training is beschikbaar op verschillende apparaten (computer, tablet, smartphone)
  • Er worden functiespecifieke trainingen aangeboden voor risicovolle functies (IT-medewerkers, management, financiën, HR)
  • Het management en de leiding nemen deel aan het opleidingsprogramma
  • De trainingsinhoud wordt bijgewerkt zodra er nieuwe bedreigingen opduiken of het beleid verandert
  • Aannemers en extern personeel met toegang tot het systeem krijgen de nodige training

4. Phishingsimulaties

  • Er worden regelmatig (minstens elk kwartaal) phishingsimulaties gehouden
  • De simulaties hebben betrekking op verschillende soorten aanvallen (e-mailphishing, spearphishing, sms-phishing)
  • Medewerkers die op gesimuleerde phishing-mails klikken, krijgen direct feedback en aanvullende training
  • De simulatieresultaten worden bijgehouden en aan het management gerapporteerd
  • De klikpercentages vertonen in de loop van de tijd een dalende trend
  • De meldingspercentages (medewerkers die de phishing-mail aangeven) worden bijgehouden en gaan omhoog

5. Betrokkenheid en participatie van medewerkers

  • Het percentage voltooide trainingen wordt bijgehouden en ligt boven de 90%
  • Er worden gamification-elementen gebruikt om de betrokkenheid te vergroten (quizzen, ranglijsten, beloningen)
  • Er is een communicatieplan om het veiligheidsbewustzijn te vergroten, naast de formele training
  • Management ondersteunt zichtbaar en participeert in het awareness programma
  • Medewerkers kunnen via een toegankelijk kanaal vragen stellen of hun zorgen melden
  • Positief veiligheidsgedrag wordt erkend en beloond

6. Monitoring, meting en rapportage

  • De slagingspercentages van trainingen worden per medewerker en per afdeling bijgehouden
  • De scores van quizzen en toetsen worden bijgehouden om te meten in hoeverre de kennis is blijven hangen
  • De klik- en meldingspercentages van de phishing-simulatie worden in de loop van de tijd gemeten
  • Securityincidenttrends correleren met de inspanningen voor awareness training
  • Er worden regelmatig rapporten aan het management verstrekt over de effectiviteit van het programma
  • KPIs are defined for the awareness program (e.g., <90% click rate, >95% completion)
  • Verbetermaatregelen worden vastgelegd op basis van de resultaten van de monitoring

7. Klaar voor een audit en bewijsstukken

  • Trainingsgegevens worden bewaard en blijven ten minste gedurende de laatste certificeringscyclus (3 jaar) beschikbaar
  • Voor elke medewerker is er een certificaat van voltooiing beschikbaar
  • Rapporten over phishing-simulaties worden gearchiveerd met datum en resultaten
  • De formulieren voor het bevestigen van het beleid worden ondertekend en bewaard
  • De notulen van de vergaderingen over veiligheidsbewustzijn worden vastgelegd
  • Correctieve acties uit eerdere audits met betrekking tot security awareness worden gevolgd en afgesloten
  • De managementbeoordeling van het awarenessprogramma is aantoonbaar.

8. Voortdurende verbetering

  • De lessen die uit beveiligingsincidenten zijn getrokken, worden verwerkt in de trainingsinhoud
  • De trainingsinhoud wordt bijgewerkt op basis van nieuwe bedreigingen en informatie over bedreigingen (A.5.7)
  • Er wordt feedback van medewerkers verzameld over de kwaliteit en relevantie van de trainingen
  • Er wordt jaarlijks een gap-analyse uitgevoerd waarbij het programma wordt vergeleken met de eisen van ISO 27001
  • Er wordt gekeken naar hoe we presteren ten opzichte van de normen in de sector of vergelijkbare organisaties
  • Het stappenplan voor het opleidingsprogramma voor de komende 12 maanden is vastgelegd

Veelvoorkomende fouten tijdens ISO 27001-awareness audits

Veel organisaties zakken voor hun ISO 27001-audit op het gebied van bewustmakingsmaatregelen. Dit zijn de meest voorkomende fouten – en hoe je ze kunt vermijden.

1. Slechts één keer per jaar trainen

Jaarlijkse trainingssessies zijn een van de grootste rode vlaggen voor auditors. Eén enkele sessie per jaar is geen bewijs van een cultuur waarin bewustzijn continu aanwezig is. ISO 27001 verwacht een doorlopend programma dat ervoor zorgt dat beveiliging het hele jaar door hoog op de agenda staat. Wekelijkse of maandelijkse korte leermomenten zijn veel effectiever en makkelijker aan te tonen.

2. Geen bewijs van effectiviteit

Een opleidingsprogramma hebben is niet genoeg. Je moet bewijzen dat het werkt. Auditors zullen vragen om cijfers waaruit blijkt dat medewerkers hun beveiligingsgedrag in de loop van de tijd hebben verbeterd. Als je geen dalende klikpercentages bij phishing, betere quizscores of minder incidenten kunt laten zien, wordt je programma mogelijk als ontoereikend beoordeeld.

3. Een standaardtraining voor iedereen

Niet alle medewerkers lopen dezelfde risico’s. Een medewerker van de financiële afdeling die betalingen verwerkt, heeft andere training nodig dan een ontwikkelaar of een receptioniste. ISO 27001 schrijft functiespecifieke training voor die inspeelt op de specifieke risico’s van elke functie. Een algemene training voor iedereen volstaat niet.

4. Geen betrokkenheid van het management

Als leidinggevenden niet deelnemen aan het awarenessprogramma, merken auditors dat op. Management moet het programma niet alleen sponsoren, maar er ook actief aan deelnemen. Dit toont de 'tone from the top' aan die ISO 27001 vereist.

5. Verouderde inhoud

Als je trainingsmateriaal nog steeds verwijst naar bedreigingen uit 2020, maar geen aandacht besteedt aan door AI gegenereerde phishing, aanvallen via QR-codes of beveiligingsrisico’s in de cloud, zullen auditors dit aan de kaak stellen. Trainingsmateriaal moet aansluiten bij de huidige bedreigingen en regelmatig worden bijgewerkt.

6. Ontbrekende introductietraining

Nieuwe medewerkers hebben vaak een grace period voordat ze beginnen met training. Dit is een risico en een audit finding. Security Awareness Training moet deel uitmaken van het onboardingproces in de eerste week, niet iets dat maanden later begint.

7. Aannemers en derden negeren

Als extern personeel toegang heeft tot jullie systemen, hebben zij ook awareness training nodig. Auditors zullen controleren of jullie programma zich uitstrekt tot al het personeel met toegang, niet alleen fulltime werknemers.

Hoe meet je de effectiviteit van je security awareness programma?

ISO 27001 clause 9.1 vereist dat organisaties de prestaties van het ISMS monitoren, meten, analyseren en evalueren, inclusief jullie awareness program. Dit zijn de belangrijkste metrics om bij te houden.

Resultaten van de phishing-simulatie

Voer regelmatig phishing-simulaties uit en houd twee belangrijke statistieken bij:

  • Klikpercentage: het percentage medewerkers dat op de gesimuleerde phishinglink klikt. Een goed streefcijfer ligt onder de 5%. Een percentage van meer dan 15% wijst op een aanzienlijke lacune in de training.
  • Meldingspercentage: Het percentage medewerkers dat de phishing-e-mail correct meldt. Dit is misschien wel belangrijker dan het klikpercentage. Een hoog meldingspercentage geeft aan dat medewerkers actief betrokken zijn.

Voltooiing van de training en scores

  • Voltooiingspercentage: doelstelling 95%+ voor alle afdelingen. Houd bij welke afdelingen achterblijven en zorg voor opvolging.
  • Beoordelingsscores: Houd de gemiddelde quizscores per onderwerp bij. Lage scores op bepaalde onderwerpen geven aan waar extra training nodig is.
  • Tijd tot voltooiing: houd bij hoe snel nieuwe medewerkers de introductietraining afronden.

Statistieken over beveiligingsincidenten

  • Aantal gemelde incidenten: Een toename van het aantal gemelde incidenten (vooral bijna-ongelukken) wijst vaak op een groter bewustzijn, niet op slechtere beveiliging.
  • Gemiddelde meldtijd: Hoe snel melden medewerkers beveiligingsincidenten? Snellere meldingen duiden op beter opgeleid personeel.
  • Incidenten door menselijke fouten: houd bij of het aantal incidenten door menselijke fouten in de loop van de tijd afneemt naarmate de training vordert.

Betrokkenheidsstatistieken

  • Vrijwillige deelname: Doen medewerkers meer dan alleen de verplichte trainingen (bijv. het lezen van beveiligingsnieuwsbrieven, het bijwonen van optionele sessies)?
  • Feedbackscores: Verzamel feedback over de relevantie en kwaliteit van de training. Een lage betrokkenheid wijst er vaak op dat de inhoud niet aanslaat.

Hoe je je medewerkers kennis laat maken met de ISO 27001-training in informatiebeveiliging

Zodra je hebt gekozen voor een ISO 27001 Security Awareness Training oplossing, is het tijd om deze bij je medewerkers te introduceren. Dit is niet altijd een gemakkelijke taak. Niet iedereen zal het belang van Security Awareness Training direct begrijpen, en daarom is het simpelweg sturen van hun inloggegevens mogelijk niet voldoende.

Daarom heb je een sterke introductie nodig. Hieronder hebben we twee voorbeelden toegevoegd.

EyeOn organiseerde een cyberbeveiligingsweek om hun ISO 27001-certificeringsproces op gang te brengen. Tijdens deze week begonnen ze elke dag met een gesprek van 15 minuten, dat ze de ‘safety catch-up’ noemden. Elke dag stond in het teken van een specifiek cyberbeveiligingsthema, en tijdens uitdagingen (zowel in Guardey als in het echte leven) konden medewerkers punten verdienen. Aan het einde van de week werden de best presterende medewerkers beloond met een trofee en een klein cadeautje.

De winnaars van de EyeOn-cyberbeveiligingsweek.

Delta Wines organiseerde eerst een spear phishing simulatie. Tijdens deze simulatie kregen medewerkers een phishing-e-mail om te testen of ze op de link zouden klikken en persoonlijke informatie zouden achterlaten. En het bleek dat veel medewerkers precies dat deden. De IT-manager deelde de definitieve resultaten van de phishing test tijdens een kwartaalvergadering, wat nogal wat van zijn collega's schokte. Dit maakte het veel gemakkelijker om Guardey te introduceren als hun Security Awareness Training oplossing.

Hoe Fendix organisaties ISO 27001-gecertificeerd krijgt met behulp van Guardey

Fendix helpt bedrijven ISO 27001-gecertificeerd te worden. Killian Houthuijzen, informatiebeveiligingsconsultant bij Fendix, legt uit welke rol Guardey’s security awareness oplossing hierin speelt: “Een belangrijk onderdeel van het behalen van een ISO 27001-certificering is investeren in de security awareness van je medewerkers. Een tijdje geleden probeerden we hiervoor onze eigen versie van een Security Awareness Training op te zetten. Maar het creëren van al die nieuwe content zou ons minimaal 8 uur per maand kosten. Dat is gewoon niet efficiënt.”

Hij vervolgt: “Met Guardey wordt Security Awareness Training betaalbaar en hoef je geen tijd te investeren in de opzet ervan. Het enige wat je hoeft te doen, is de prestaties van je team monitoren, wat eenvoudig is in Guardey's learning management system. Daarom adviseren we onze klanten vaak om Guardey te gebruiken in plaats van al het zware werk te doen om hun eigen training op te zetten.”

ISO 27001 vs NIS2 vs SOC 2: awareness training vereisten vergeleken

Veel organisaties moeten voldoen aan meerdere security frameworks. Hier zie je hoe de vereisten voor awareness training zich verhouden binnen de drie meest voorkomende standaarden.

Vereiste ISO 27001 NIS2 SOC 2
Awareness training verplicht? Ja (artikel 7.3, A.6.3) Ja (artikel 20) Ja (CC1.4, CC2.2)
Minimale frequentie Lopend / regelmatig Normaal (niet gespecificeerd) Jaarlijks minimum
Medezeggenschap van het management Verplicht Vereist (bestuursniveau) Aanbevolen
Phishing simulaties Aanbevolen Niet opgegeven Gangbare praktijk
Effectmeting Verplicht (artikel 9.1) Verplicht Verplicht
Functiegerichte training Verplicht Aanbevolen Verplicht
Dekking voor derden Verplicht Focus op de toeleveringsketen Vereist voor serviceorganisatie
Sancties bij niet-naleving Verlies van certificering Tot € 10 miljoen of 2% van de omzet Verlies van SOC 2-rapport

Het goede nieuws: een gedegen bewustwordingsprogramma voor ISO 27001 voldoet aan de meeste eisen van NIS2 en SOC 2. Door gebruik te maken van een uitgebreid trainingsplatform zoals Guardey kun je met één enkele oplossing aan de eisen van alle drie de kaders voldoen.

Veelgestelde vragen over ISO 27001 security awareness training

Is Security Awareness Training verplicht voor ISO 27001?

Ja. ISO 27001 vereist dat organisaties ervoor zorgen dat medewerkers op de hoogte zijn van het informatiebeveiligingsbeleid en bekwaam zijn in de onderdelen van hun werk die relevant zijn voor informatiebeveiliging. Clausule 7.3 (Awareness) en Annex A control 6.3 vereisen expliciet een formeel awareness program.

Hoe vaak moeten medewerkers Security Awareness Training volgen?

ISO 27001 vraagt om voortdurende bewustwording in plaats van een eenmalige actie. Hoewel de norm geen exacte frequentie voorschrijft, is het een goede gewoonte om minstens één keer per maand een training te geven. Wekelijkse korte leermomenten (zoals de 3-minuten-uitdagingen van Guardey) worden als ideaal beschouwd, omdat ze beveiliging hoog op de agenda houden zonder medewerkers te overbelasten.

Welke onderwerpen moeten aan bod komen in een ISO 27001 awareness training?

Je training moet in ieder geval de volgende onderwerpen behandelen: phishing en social engineering, wachtwoordbeveiliging, omgang met en classificatie van gegevens, het melden van incidenten, fysieke beveiliging, beveiliging bij werken op afstand, het voorkomen van malware, cloudbeveiliging en beleid voor aanvaardbaar gebruik. In de herziening van 2022 wordt ook de nadruk gelegd op dreigingsinformatie, het voorkomen van datalekken en bewustwording rond webfiltering.

Kan online training fysieke security awareness sessies vervangen?

Ja. ISO 27001 schrijft geen specifieke methode voor het geven van trainingen voor. Online trainingsplatforms zoals Guardey worden algemeen geaccepteerd door auditors, vooral als ze gedocumenteerd bewijs bieden van voltooiing, beoordelingsscores en blijvende betrokkenheid. Veel organisaties merken dat online micro-learning effectiever is dan traditionele klassikale sessies, omdat ze zo alle medewerkers op een consistente manier bereiken.

Hoe toon je Security Awareness Training aan tijdens een ISO 27001 audit?

Auditors zullen gedocumenteerd bewijs opvragen, waaronder: trainingsvoltooiingsrecords per medewerker, assessment-/quizscores, resultaten van phishing simulaties, formulieren voor beleidsbevestiging, notulen van reviews van awareness programma's, en bewijs van managementparticipatie. Een training platform met ingebouwde reporting functionaliteiten maakt dit aanzienlijk eenvoudiger.

Hebben contractors en tijdelijke medewerkers ISO 27001 awareness training nodig?

Ja, als ze toegang hebben tot jullie informatiesystemen of gevoelige data verwerken. ISO 27001 vereist dat al het personeel dat impact kan hebben op informatiebeveiliging passende awareness training ontvangt. Dit omvat contractors, tijdelijke werknemers en externe dienstverleners.

Wat gebeurt er als je zakt voor het awareness-gedeelte van een ISO 27001 audit?

Als auditors een non-conformiteit met betrekking tot security awareness vaststellen, ontvang je een minor of major non-conformiteit. Een major non-conformiteit betekent dat je certificering kan worden opgeschort totdat je het probleem hebt aangepakt. Een minor non-conformiteit geeft je een vastgestelde periode (doorgaans 90 dagen) om corrigerende maatregelen te implementeren vóór de volgende follow-up audit.

Probeer Guardey's ISO 27001 Security Awareness Training oplossing

Security awareness speelt een belangrijke rol bij het beschermen van je organisatie tegen cyberaanvallen en het voldoen aan ISO 27001. Als je op zoek bent naar een trainingsoplossing die binnen enkele uren is geïmplementeerd, overweeg dan om Guardey te gebruiken.

Met Guardey’s gamified leerproces ontvangen je medewerkers elke week 3-minuten micro-learnings. Na verloop van tijd leren ze cyberrisico's te herkennen en ernaar te handelen.

Laat hackers je niet te slim af zijn. Start een 14-daagse gratis Guardey trial.

Dinela Lokvancic
Dinela Lokvancic Marketing Specialist Dinela houdt Guardey's online aanwezigheid up-to-date. Ze creëert content die complexe cybersecurity-onderwerpen toegankelijk maakt en helpt organisaties begrijpen waarom security awareness training belangrijk is voor hun teams.
KLAAR OM TE BEGINNEN?

Sluit je aan bij meer dan 500 bedrijven die hun teams al beschermen met Guardey

Start je gratis proefperiode van 14 dagen
14 dagen gratis · Geen creditcard nodig · Volledige toegang · Binnen 5 minuten klaar
Of plan een persoonlijke demo