ISO 27001 en Google Workspace: wat moet je regelen om aan deze internationale beveiligingsnorm te voldoen? Belangrijk om meteen te scheiden: Google Workspace is zelf ISO 27001-gecertificeerd, maar dat maakt jouw organisatie niet automatisch gecertificeerd. ISO 27001 gaat over een managementsysteem dat jij opzet, het Information Security Management System of ISMS.
Het verschil tussen Google's certificering en die van jou
Google's ISO 27001-certificering betekent dat het platform aan strenge eisen voldoet. Dat is een fundament waarop je bouwt, maar je eigen certificering vraagt dat jij een eigen ISMS hebt met beleid, processen en aantoonbare beheersmaatregelen.
Welke versie geldt nu?
De actuele norm is ISO 27001:2022, met een herziene Annex A van 93 beheersmaatregelen verdeeld over vier thema's (organisatorisch, mensen, fysiek en technologisch). Een amendement uit 2024 voegde aandacht voor klimaatverandering toe aan de context-eisen. De overgangsperiode vanaf de oude versie van 2013 liep af op 31 oktober 2025, dus elk nieuw certificaat verwijst naar de versie van 2022.
Bewijslast
Voor een audit moet je de Google-certificeringen kunnen overleggen als bewijs voor de beveiliging van je clouddienst. Je vraagt het ISO 27001-certificaat en de SOC-rapporten op via de Compliance Reports Manager van Google (via je Google Workspace- of Google Cloud-account) en voegt ze toe aan je leveranciersdossier.
Stap 1: scope en context bepalen
ISO 27001 begint met afbakening. Welke processen, systemen en data vallen binnen je ISMS? Voor de meeste organisaties valt Workspace volledig binnen de scope omdat het de centrale plek voor mail, documenten en samenwerking is.
Breng in kaart welke informatie kritiek is, wie de eigenaren zijn en welke wettelijke eisen gelden. Dit voedt je risicobeoordeling.
Stap 2: risicobeoordeling en behandeling
Het hart van ISO 27001 is risicogebaseerd werken. Je identificeert risico's, beoordeelt ze op kans en impact en kiest beheersmaatregelen.
Risicobeoordeling uitvoeren
- Maak een lijst van informatie-assets in Workspace: mail, documenten, accounts, beheerdersrechten.
- Bepaal per asset de dreigingen: accountovername, datalek, insider threat, dataverlies.
- Scoor kans en impact en bereken het risiconiveau.
- Kies per risico een behandeling: vermijden, verminderen, overdragen of accepteren.
- Koppel beheersmaatregelen uit Annex A aan elk risico.
- Leg alles vast in een risicoregister.
Stap 3: Annex A-maatregelen koppelen aan Workspace
Annex A van ISO 27001 bevat een set beheersmaatregelen. Veel daarvan vul je direct in met Workspace-instellingen. De onderstaande tabel laat zien hoe de thema's aansluiten op concrete functies.
| Thema | Workspace-functies | Voorbeeld van bewijs |
|---|---|---|
| Toegangsbeheer | Verplichte 2-staps-verificatie, least privilege, OU-structuur | Schermafdrukken van het beleid en een rapportage van afgedwongen 2SV |
| Cryptografie | Versleuteling in rust en transit, client-side encryptie (CSE) | Configuratie-overzicht en sleutelbeheer-afspraken |
| Logging en monitoring | Audit-logs, waarschuwingsregels, koppeling met een SIEM | Voorbeeld-alert en bewijs van periodieke review |
| Asset management | Endpoint-beheer en apparaatinventaris | Export van de apparatenlijst |
| Incidentbeheer | Incidentresponsplan en meldproces | Geoefend incident of een logboek van afgehandelde meldingen |
| Leveranciersrelaties | Verwerkersovereenkomst en Google-certificaten | Getekende verwerkersovereenkomst en gedownloade certificaten |
Inschakelen is niet hetzelfde als aantoonbaar
Een veelgemaakte denkfout is dat het inschakelen van een Workspace-functie automatisch een Annex A-maatregel afdekt. De auditor wil bewijs zien dat de maatregel werkt en wordt onderhouden. Een ingeschakelde DLP-regel zonder periodieke review en documentatie telt niet als volledig geïmplementeerde maatregel.
Stap 4: Statement of Applicability
De Statement of Applicability legt vast welke Annex A-maatregelen je toepast en welke niet, met onderbouwing. Dit is een kerndocument voor de audit. Voor elke maatregel die je uitsluit moet je uitleggen waarom die niet van toepassing is.
Stap 5: continue verbetering
ISO 27001 vraagt een PDCA-cyclus: Plan, Do, Check, Act. Je voert interne audits uit, doet managementreviews en verbetert continu. Workspace-logs en rapportages leveren input voor de Check-fase.
Een realistische planning
De doorlooptijd hangt af van je startpunt, maar een typisch traject ziet er zo uit:
| Periode | Wat je doet |
|---|---|
| Maand 1 tot 2 | Scope, context en assetinventaris vaststellen |
| Maand 3 tot 4 | Risicobeoordeling en risicoregister opstellen |
| Maand 5 tot 6 | Beheersmaatregelen implementeren in Workspace |
| Maand 7 tot 8 | Beleid, procedures en Statement of Applicability documenteren |
| Maand 9 | Interne audit uitvoeren |
| Maand 10 | Managementreview en correcties doorvoeren |
| Maand 11 tot 12 | Certificeringsaudit door een externe partij |
Begin bij de documentatie, niet bij de techniek
In de praktijk staat de meeste techniek in Workspace al klaar of is met een paar instellingen geregeld. Het tijdrovende deel is het vastleggen van beleid, het bijhouden van een risicoregister en het kunnen aantonen dat maatregelen periodiek worden gereviewd. Plan daar ruim tijd voor in.
Word ik gecertificeerd door Google Workspace te gebruiken?
Nee. Google's certificering geldt voor het platform. Jouw certificering vereist een eigen ISMS met beleid, risicobeoordeling en aantoonbare maatregelen.
Welke ISO 27001-versie geldt nu?
De actuele norm is ISO 27001:2022 met een herziene Annex A van 93 maatregelen. Een amendement uit 2024 voegde klimaataspecten toe. Werk altijd tegen deze versie, niet tegen de oude indeling van 2013.
Kan ik Google's certificaten als bewijs gebruiken?
Ja, voor de beveiliging van de onderliggende clouddienst. Je vraagt ze op via de Compliance Reports Manager van Google en bewaart ze in je leveranciersdossier.
Hoeveel werk is een certificering?
Reken op zes tot twaalf maanden, afhankelijk van je startpunt. Het meeste werk zit in documentatie en het aantoonbaar maken van bestaande maatregelen, niet in nieuwe techniek.
Dekt de verwerkersovereenkomst met Google mijn ISMS af?
Nee. De verwerkersovereenkomst regelt de afspraken met Google als leverancier. Je blijft zelf verantwoordelijk voor de maatregelen binnen jouw scope, zoals toegangsbeheer, training en incidentafhandeling.
Met deze aanpak gebruik je Google's certificering als fundament en bouw je daarbovenop je eigen ISMS. De techniek in Workspace is vaak het makkelijke deel; de documentatie en aantoonbaarheid vragen de meeste aandacht.