Waarom een jaarlijkse ISMS review niet altijd voldoende is

Uw ISMS documentatie is geen jaarlijks ritueel

Veel organisaties reviewen hun informatiebeveiligingsdocumentatie één keer per jaar. Dat is logisch. Het staat in de planning, sluit aan op auditmomenten en voelt beheersbaar. In sommige situaties kan dit ook volstaan. Maar in de praktijk blijkt een jaarlijkse review regelmatig onvoldoende.

Een ISMS is geen map met documenten die u periodiek bijwerkt. Het is bedoeld om uw organisatie te ondersteunen in een omgeving die continu verandert. En juist daar ontstaat spanning wanneer de actualisatie te beperkt is.

Het probleem met een jaarlijkse cyclus

Organisaties staan zelden een volledig jaar stil. In de loop van de tijd veranderen systemen, verschuiven verantwoordelijkheden, worden processen aangepast en ontstaan nieuwe afhankelijkheden van leveranciers of technologie. Die veranderingen zijn vaak logisch en noodzakelijk voor de bedrijfsvoering, maar ze vinden meestal plaats buiten de vaste ISMS reviewmomenten.

Wanneer het ISMS alleen jaarlijks wordt herijkt, ontstaat het risico dat documentatie achterloopt op de werkelijkheid. Beleid en procedures beschrijven dan een situatie die formeel klopt op papier, maar niet meer volledig aansluit op hoe er daadwerkelijk wordt gewerkt. Het risicoregister geeft mogelijk een historisch beeld, terwijl recente wijzigingen nog niet zijn meegewogen. Ook het Statement of Applicability kan hierdoor zijn actualiteitswaarde verliezen, doordat maatregelen en keuzes niet meer synchroon lopen met de praktijk.

Dit leidt niet altijd direct tot incidenten, maar het ondermijnt wel de kern van het ISMS. Documentatie verliest haar sturende functie en wordt steeds meer iets wat achteraf wordt rechtgetrokken, in plaats van iets dat richting geeft aan beslissingen. Juist bij audits of incidenten wordt die discrepantie zichtbaar, wanneer blijkt dat het ISMS de organisatie minder goed weerspiegelt dan bedoeld.

Een jaarlijkse review kan in rustige, stabiele omgevingen voldoende zijn. Zodra veranderingen elkaar sneller opvolgen, is die cyclus echter te grof om het ISMS effectief en geloofwaardig te houden.

Wanneer wachten geen optie is

Niet elke wijziging vraagt direct om een herziening van het ISMS. Sommige gebeurtenissen doen dat wel, omdat zij de uitgangspunten of risico's wezenlijk raken.

Organisatorische wijzigingen
Een fusie, overname of ingrijpende reorganisatie wijzigt de context van het ISMS. Scope, rollen en verantwoordelijkheden veranderen en het risicoprofiel verschuift. Dit sluit direct aan bij clause 4.1 en 4.2, die vragen om begrip van de organisatie en haar context, inclusief de behoeften van belanghebbenden. Wanneer die context wezenlijk verandert, is herbeoordeling noodzakelijk.

Nieuwe compliance eisen
Wanneer nieuwe wetgeving van toepassing wordt of klanten aanvullende eisen stellen, moet worden beoordeeld wat dit betekent voor bestaande documentatie. Uitstel kan betekenen dat u langere tijd niet aansluit op verwachtingen.

Significante beveiligingsincidenten
Incidenten leveren inzichten op over de werking van maatregelen en processen. Clause 10.2 vereist dat organisaties reageren op afwijkingen, de oorzaken analyseren en waar nodig correctieve maatregelen treffen. Deze lessen verliezen hun waarde als zij pas maanden later formeel worden vastgelegd.

Technologische veranderingen
Wijzigingen in infrastructuur of tooling hebben impact op meerdere ISMS onderdelen, zoals beleid, risicobeoordeling en leveranciersbeheer. Dat vraagt om gerichte aanpassing.

Auditbevindingen
Wanneer audits concrete verbeterpunten opleveren, verwachten auditors dat deze tijdig worden opgepakt. Wachten tot de volgende geplande review is zelden wenselijk.

Een praktische aanpak

Dit betekent niet dat uw ISMS voortdurend herschreven moet worden. Het vraagt wel om een manier om tussentijdse aanpassing beheerst te organiseren.

Definieer triggers. Leg vast welke gebeurtenissen aanleiding zijn voor een review en welke documenten daarbij geraakt worden.

Integreer dit in change management. Maak de impact op het ISMS een vaste vraag bij significante wijzigingen.

Werk met korte periodieke checks. Een kwartaalmoment om relevante veranderingen te beoordelen voorkomt een jaarlijkse inhaalslag.

Beleg eigenaarschap. Zonder duidelijke verantwoordelijkheid blijven signalen liggen.

Wat de standaard daadwerkelijk vraagt

ISO 27001 schrijft geen vaste reviewfrequentie voor. De norm vraagt wel om een ISMS dat effectief blijft functioneren.

Clause 6.3 vereist dat wijzigingen aan het ISMS gepland en beheerst worden doorgevoerd wanneer de organisatie bepaalt dat aanpassing nodig is. Clause 10.1 vraagt om continue verbetering van de geschiktheid, adequaatheid en effectiviteit van het ISMS. Daarnaast vereist clause 9.3 dat de management review expliciet ingaat op wijzigingen in externe en interne onderwerpen die relevant zijn voor het ISMS. Dit onderstreept dat de standaard een dynamische benadering verwacht, niet een statische jaarlijkse cyclus.

Een ISMS dat uitsluitend jaarlijks wordt bijgewerkt, voldoet hier in sommige gevallen aan, maar vaak niet wanneer de organisatie of haar omgeving sneller verandert dan die cyclus toelaat.

Tot slot

ISMS documentatie is geen compliance artefact dat u jaarlijks afstoft voor de audit. Het vormt de basis van hoe uw organisatie informatiebeveiliging bestuurt en uitlegt.

Wanneer die basis niet meer aansluit op de werkelijkheid, verliest zij haar waarde.

Behandel uw ISMS als een levend systeem. Weet wanneer een jaarlijkse review volstaat en wanneer tussentijdse actie nodig is. Dat creëert rust in de organisatie en vertrouwen richting auditors en klanten.

Door Nick Zaremba · 19 januari 2026

Wil je sparren over hoe je dit praktisch en werkbaar inricht? 

Disclaimer
De informatie in dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, fiscaal, technisch of professioneel advies. Hoewel de inhoud met zorg is samengesteld, kan deze onvolledig zijn of niet aansluiten op uw specifieke situatie. Beslissingen die worden genomen op basis van deze informatie zijn volledig voor eigen rekening en risico. Voor advies dat is toegespitst op uw organisatie of situatie wordt aanbevolen een gekwalificeerde adviseur te raadplegen. Aan de inhoud van dit artikel kunnen geen rechten worden ontleend.