Vergelijking Oud ISMS vs Nieuw ISMS 2.0
Status: GEARCHIVEERD (januari 2026) Dit document is afgerond. Alle relevante inhoud uit het oude ISMS is beoordeeld en waar nodig overgenomen in ISMS 2.0. De tabellen hieronder reflecteren de huidige stand na de migratie.
Dit document beschrijft per oud-ISMS-onderdeel de inhoudelijke verschillen ten opzichte van de huidige ISMS 2.0 documentatie. Het doel is transparantie over wat is overgenomen, gewijzigd, toegevoegd of verwijderd bij de migratie.
Normversies:
- Oud ISMS: ISO 27001:2013 + NEN 7510:2017
- Nieuw ISMS 2.0: ISO 27001:2022 + NEN 7510:2024
Structuurwijziging: Het oude ISMS gebruikte Google Drive/Docs met een handboek-indeling (hoofdstukken 01–09). Het nieuwe ISMS is Git-based met Markdown/YAML, gestructureerd naar ISO-clausules (4–10) en Annex A controls (5.xx–8.xx).
H01 — Inleiding & Managementsysteem
OUD 01.01 — Inleiding en Toepassingsgebied
Nieuw: 00-meta/scope.md + 04-context/4.3-scope.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Normversie | ISO 27001:2013 + NEN 7510:2017 | ISO 27001:2022 + NEN 7510:2024 | gewijzigd |
| Scope tekst | Generieke scope-omschrijving | Grotendeels identiek, maar NEN7510-scope benoemt nu expliciet hosting bij AWS of GCP | gewijzigd |
| Aantal medewerkers | Niet vermeld | ~17 medewerkers expliciet benoemd | toegevoegd |
| Scope vertaling (01.01a) | Apart document met Engelse vertaling | Geïntegreerd in 4.3-scope.md | hernoemd/verplaatst |
OUD 01.02 — Opbouw managementsysteem
Nieuw: 04-context/4.4-isms.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Documentstructuur | Uitgebreide beschrijving hoofdstukindeling handboek (H01–H09) | Compact PDCA-model, geen verwijzing naar oud hoofdstukschema | gewijzigd |
| Tooling | Google Drive + Docs als documentbeheersysteem | Git-based (Markdown + YAML), Google Sheets en Jira als operationele tools | gewijzigd |
| Handboek-referenties | Verwijzingen naar handboek-paragrafen | Verwijzingen naar bestandspaden en ISO-clausules | gewijzigd |
OUD 01.03 — Informatiebeheer
Nieuw: 07-ondersteuning/7.5-gedocumenteerde-info.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Documentbeheersysteem | Google Drive + Notion + Jira | Git als bron van waarheid (Markdown + YAML) | gewijzigd |
| Notion als documentlocatie | Notion gebruikt voor interne kennisbank | Niet meer vermeld als documentlocatie | verwijderd |
| Bewaartermijnen | Generieke categorieën (fiscaal, personeel, logfiles) | Specifieke ISO-termijnen per documenttype | gewijzigd |
| Versiebeheer | Handmatig in Google Drive | Git-versiebeheer met commit-historie | gewijzigd |
OUD 01.04 — Classificatie van informatie
Nieuw: controls/organizational/5.12-classification.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| BIV-classificatietabel | Gedetailleerde tabel met maatregelen per niveau | BIV-model met behandelwijze per niveau (opslaan, verwerken, verspreiden) | gewijzigd |
| Behandelwijze per classificatie | Apart overzicht (01.04.a) met maatregelen per classificatieniveau | Geïntegreerd in 5.12 als maatregelentabellen per BIV-categorie | hernoemd/verplaatst |
| Eigenaarschap | Expliciet beschreven per informatietype | Minder gedetailleerd | gewijzigd |
| Toepassing | Gepresenteerd als volledig toegepast | Gap eerlijk erkend: classificatie wordt niet consequent toegepast | gewijzigd |
OUD 01.05 — Labeling van informatie
Nieuw: controls/organizational/5.13-labelling.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Categorieën | Onderscheid interne docs vs zorgapplicaties | Twee categorieën (intern + zorgapps) behouden | hernoemd/verplaatst |
| Google Drive labeling | Specifiek: “highly secure” label in Google Drive | Minder gedetailleerd over Google Drive labels en afdwinging | gewijzigd |
| Print-labeling | Procedure voor fysieke labels op prints | Niet meer expliciet beschreven | verwijderd |
| Toepassing | Gepresenteerd als geïmplementeerd | Gap erkend: labeling niet consistent toegepast | gewijzigd |
OUD 01.06 — Verklaring van toepasselijkheid
Nieuw: controls/_index.yaml (SoA)
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Formaat | Google Sheet (extern) | YAML-bestand in Git | gewijzigd |
| Control-structuur | ISO 27001:2013 Bijlage A (A.5–A.18, 114 controls) | ISO 27001:2022 Annex A (5.xx–8.xx, 93 controls) | gewijzigd |
| Nummering | A.5–A.18 categorieën | 5.xx (organizational), 6.xx (people), 7.xx (physical), 8.xx (technological) | gewijzigd |
H02 — Context
OUD 02.01 — Context van de organisatie
Nieuw: 04-context/4.1-organisatie.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Analysemethode | Alleen DESTEP-methode vermeld, korte tekst | Uitgebreide DESTEP-analyse + SWOT met concrete YipYip-context | gewijzigd |
| Medewerkers | Niet specifiek vermeld | ~17 medewerkers expliciet benoemd | toegevoegd |
| Sectorfocus | Generiek vermeld | Gedetailleerd uitgewerkt (zorgsector, NEN7510) | gewijzigd |
| Contextanalyse resultaten (02.01.a) | Apart document | Geïntegreerd in 4.1-organisatie.md | hernoemd/verplaatst |
OUD 02.02 — Vaststellen belanghebbenden
Nieuw: 04-context/4.2-belanghebbenden.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Stakeholderanalyse | Generiek proces, verwijzing naar externe Sheet | Volledig uitgewerkte stakeholdermatrix in Markdown met prioriteiten | gewijzigd |
| Communicatiematrix | Niet opgenomen | Communicatiematrix met frequenties en kanalen per stakeholder | toegevoegd |
| Toezichthouders | Niet expliciet benoemd | AP en IGJ expliciet als stakeholders opgenomen | toegevoegd |
OUD 02.03 — Inventarisatie wettelijke en andere eisen
Nieuw: controls/organizational/5.31-legal-requirements.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Beheerproces | 5-stappen proces | 4-fasen beheerproces | gewijzigd |
| Wettelijke eisen | Generiek beschreven | Concreet benoemd: AVG, Wkkgz, NIS2 | gewijzigd |
| Contractuele verplichtingen | Aparte Sheet (02.03.c) | Opgenomen in registers/leveranciers.yaml | hernoemd/verplaatst |
| Register verwerkingsactiviteiten | Aparte Sheet (02.03.b) | registers/verwerkingsactiviteiten.yaml (AVG art. 30 register) | hernoemd/verplaatst |
H03 — Beleid & Doelstellingen
OUD 03.01 — Beleidsverklaring 2024
Nieuw: 05-leiderschap/5.2-beleid.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Versie | Beleidsverklaring 2024 | Versie 2.0 (januari 2026) | gewijzigd |
| Uitgangspunten | Generieke uitgangspunten, ref. “bedrijfsvoering opgezet in 2019” | 5 kernprincipes (CIA, compliance, risico-based, continu verbeteren) | gewijzigd |
| Doelstellingen in beleid | 1Password-specifieke doelstelling opgenomen | Niet meer aanwezig (doelstellingen apart in 6.2) | verwijderd |
| Strategische doelstellingen | Niet als apart onderdeel | 4 strategische doelstellingen opgenomen | toegevoegd |
| Ondertekening | Ondertekend | Nog niet ondertekend (gap) | gewijzigd |
OUD 03.02 — Doelstellingen 2024
Nieuw: 06-planning/6.2-doelstellingen.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Aantal doelstellingen | 9 operationele doelstellingen voor 2024 | 5 meetbare doelstellingen voor 2026 | gewijzigd |
| Inhoud | Operationeel (o.a. “ISMS doorontwikkelen”, “1Password vault opschonen”) | Strategisch met KPI’s en targets (certificering, 0 datalekken, 100% awareness, pentest) | gewijzigd |
| Meetbaarheid | Weinig concrete metrics | KPI’s, targets en eigenaren per doelstelling | gewijzigd |
| Tijdshorizon | 2024 | 2026 | gewijzigd |
H04 — Organisatie
OUD 04.01 — Beschrijving organisatie
Nieuw: 04-context/4.1-organisatie.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Medewerkers | ±12 medewerkers | ~17 medewerkers | gewijzigd |
| Technologiestack | Kotlin vermeld voor Android | Flutter vermeld i.p.v. Kotlin | gewijzigd |
| Organogram | Opgenomen in document | Tekst-organogram opgenomen in 4.1 | gewijzigd |
| Contextanalyse | Beperkt | Uitgebreidere DESTEP + SWOT analyse | gewijzigd |
OUD 04.02 — Taken, verantwoordelijkheden en bevoegdheden
Nieuw: 05-leiderschap/5.3-rollen.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Verantwoordelijkheidsmatrix | Autorisatiematrix met codes (EV/U/V), referentie naar externe Sheet | RACI-matrix in Markdown | gewijzigd |
| Centrale IB-rol | ”Security officer” | IB-coördinator | hernoemd/verplaatst |
| DevOps Lead | Niet als aparte rol benoemd | Expliciet als rol opgenomen | toegevoegd |
OUD 04.03 — Communicatie en overleg
Nieuw: 07-ondersteuning/7.4-communicatie.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Communicatiekanalen | Overlegvormen in tabel | Multi-channel communicatie (Slack, email, meetings) | gewijzigd |
| Externe kennisbronnen | Specifiek benoemd: Personeelsnet, Inside Dev, WWDC, Google I/O | Opgenomen in 7.4: Personeelsnet, Inside Dev, WebOps Weekly, conferenties | gewijzigd |
| Escalatiepad | Niet beschreven | Escalatiepad opgenomen | toegevoegd |
| Incidentnotificatie | Niet als apart proces | 72u AP-melding procedure opgenomen | toegevoegd |
OUD 04.04 — Directiebeoordeling
Nieuw: 09-evaluatie/9.3-directiebeoordeling.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Frequentie | Jaarlijks | 3 frequenties: volledig jaarlijks (dec), halfjaarlijkse update (jun), ad hoc | gewijzigd |
| Input-items | Generiek beschreven | ISO 9.3 input-items expliciet uitgewerkt | gewijzigd |
| Notulenformat | Niet gestandaardiseerd | Gestandaardiseerd format | toegevoegd |
| Uitgevoerde reviews | Historische verslagen aanwezig (2022 Q4, 2023 Q1-Q3) | Nog geen review uitgevoerd (ISMS is nieuw) | gewijzigd |
H05 — Evaluatie & Verbetering
OUD 05.01 — Procedure risicoanalyse en -beoordeling
Nieuw: 06-planning/6.1-risicobeoordeling/6.1.2-methodiek.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Methodiek | BIA, BIV-profiel, R=K×(B,I,V), 5 behandelzones | Methodiek grotendeels behouden | hernoemd/verplaatst |
| Procesbeschrijving | Impliciete stappen | 6-stappen proces formeel beschreven | gewijzigd |
| Reviewfrequentie | Alleen jaarlijks | Kwartaalreviews voor hoge risico’s (nieuw), jaarlijks volledig | gewijzigd |
| Operationeel register | Google Sheet (05.01.a) | Google Sheets als operationeel register + YAML in Git | gewijzigd |
| Risico-eigenaren | Vermeld (05.01.b) maar beperkt uitgewerkt | Explicieter gedefinieerd met rollen | gewijzigd |
OUD 05.02 — Interne audit
Nieuw: 09-evaluatie/9.2-interne-audit/9.2-programma.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Auditplanning | Meerjarenplanning, meerdere documenten (05.02.a/b/c) | 3-jaar rollend schema met kwartaalprogramma in één document | gewijzigd |
| Classificatie | TK/AV-classificatie | Zelfde TK/AV-classificatie behouden | hernoemd/verplaatst |
| Auditor | Ingehuurde auditor | Auditor nog niet aangesteld (gap) | gewijzigd |
| Systeemtoegang | Niet expliciet beschreven | Expliciet: geen directe systeemtoegang voor auditor | toegevoegd |
| Rapportageformat | Google Docs | Markdown bestanden | gewijzigd |
OUD 05.03 — Controleprogramma
Nieuw: 09-evaluatie/9.1-monitoring.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Controletypes | 3 types: toetsen, doornemen, meten | KPI-gestuurd met concrete targets | gewijzigd |
| Targets | Geen concrete targets | Specifiek: <4u incident containment, >99.9% uptime, 100% MFA | toegevoegd |
| Monitoring | Handmatig via Jira | Onderscheid automatische vs handmatige monitoring; CloudWatch etc. concreter | gewijzigd |
| Ticketing | Jira | Jira behouden | hernoemd/verplaatst |
OUD 05.04 — Incident management
Nieuw: controls/organizational/5.24-incident-planning.md t/m 5.28-evidence-collection.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Documentstructuur | Één document (signalering, melding, analyse, escalatie, datalekken) | Verspreid over 5 controls (5.24–5.28) | gewijzigd |
| Classificatie | Niet formeel geclassificeerd | Expliciete classificatie P1–P4 | toegevoegd |
| Tabletop exercise | Niet vereist | Vereist (gap: nog niet uitgevoerd) | toegevoegd |
| Datalekprocedure | Opgenomen in incident management | Geïntegreerd in 5.26 (respons) met 72u AP-melding | gewijzigd |
OUD 05.05 — Continuïteitsplan
Nieuw: controls/organizational/5.29-disruption.md + 5.30-ict-continuity.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Scenario’s | 6 scenario’s uitgebreid uitgewerkt (AWS/GCP uitval, verlies vertrouwen VS-bedrijven, faillissement, personeelsuitval, netwerk, beveiligingsfout) | 6 scenario’s met uitgebreide actiestappen + RPO/RTO definities | gewijzigd |
| Fall-back scenario’s | Concreet beschreven per scenario | Concrete actiestappen per scenario overgenomen uit oud ISMS | gewijzigd |
| Testplan | Testplan beschreven | Testplan opgenomen (4-stappen: voorbereiding, uitvoering, evaluatie, verbetering). Eerste test nog in te plannen. | gewijzigd |
| RPO/RTO | Impliciet per scenario | Formele RPO/RTO doelstellingen | toegevoegd |
OUD 05.06 — Wijzigingsbeheer
Nieuw: controls/technological/8.32-change-management.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Ontwikkelproces | Alfafase-onderscheid, Jira tickets, commit messages, PR reviews | Vrijwel identiek proces, iets compacter | gewijzigd |
| Organisatorische wijzigingen | Niet apart benoemd | Impactanalyse BIV als apart spoor | toegevoegd |
| Alfa→beta overgang | Beschreven | Gap erkend: niet formeel gedefinieerd | gewijzigd |
H06 — Personeelsmanagement
OUD 06.01 — Personeelsmanagement
Nieuw: controls/people/6.01-screening.md t/m 6.08-event-reporting.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Documentstructuur | Één document (werving, selectie, proeftijd, introductie, opleiding, uitdiensttreding, sancties, stage) | Verspreid over 8 controls (6.01–6.08) | gewijzigd |
| Remote working | Niet beschreven | 6.07 Remote working als nieuw control | toegevoegd |
| VOG-proces | Beschreven | Behouden | hernoemd/verplaatst |
| VOG stagiaires | Geen VOG voor stagiaires | VOG nu wél vereist voor stagiaires met toegang tot gevoelige data | gewijzigd |
| Sanctiebeleid | Opgenomen in HR-document | 6.04 Disciplinair proces als apart control | hernoemd/verplaatst |
H07 — ICT & Infrastructuur
OUD 07.01 — Back-up Management
Nieuw: controls/technological/8.13-backup.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Structuur | 4 niveaus (VPC, bedrijfsdata, broncode, directie-laptops) | Structuur identiek behouden | hernoemd/verplaatst |
| Testherstel | ”2x per jaar testherstel Google Workspace” | Gaps erkend: geen vast testschema VPC, Backblaze niet getest, retentie niet altijd vastgelegd bij project-start | gewijzigd |
| Eerlijkheid over status | Gepresenteerd als volledig geïmplementeerd | Eerlijker over tekortkomingen | gewijzigd |
OUD 07.02 — Toegangsbeleid systemen
Nieuw: controls/organizational/5.15-access-control.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| SSO | Via Google Workspace (Jira, Harvest, Forecast, Slack) | SSO behouden | hernoemd/verplaatst |
| Least privilege | Niet formeel beschreven | Least privilege principe formeel beschreven | toegevoegd |
| MFA | Niet expliciet verplicht gesteld | MFA verplicht voor alle accounts | toegevoegd |
| Access reviews | Niet beschreven | Kwartaaltijdse access reviews | toegevoegd |
| Specifieke apps | Harvest, Forecast expliciet vermeld | Mogelijk niet meer in gebruik; niet meer vermeld | verwijderd |
OUD 07.03 — Inrichting infrastructuur
Nieuw: controls/technological/8.20-network-security.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Kantoorinfrastructuur | Uitgebreid met figuur, gastnetwerk, specifieke hardware | Compacter, WiFi-scheiding + cloud-infra focus | gewijzigd |
| Raspberry Pi (Wireguard VPN) | Specifiek beschreven | Niet meer vermeld | verwijderd |
| Endpointbescherming | Apple ingebouwde bescherming, Windows Defender verplichting | Minder gedetailleerd over endpoints | gewijzigd |
| Logging | Cloud + applicatie logging beschreven | Opgenomen maar compacter | gewijzigd |
OUD 07.04 — Cryptografie & sleutelbeheer
Nieuw: controls/technological/8.24-cryptography.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Cryptografiebeleid | Structuur en inhoud beschreven | Grotendeels identiek behouden | hernoemd/verplaatst |
| Sleutelrotatie | Niet als gap benoemd | Gap erkend: geen formele sleutelrotatieschema’s | gewijzigd |
| Secret management | Als geïmplementeerd gepresenteerd | Gap erkend: inconsistent | gewijzigd |
| Periodieke toetsing | Niet vermeld | Gap erkend: encryptiemethoden niet periodiek getoetst | gewijzigd |
H08 — Leveranciers & Middelen
OUD 08.01 — Leveranciersmanagement
Nieuw: controls/organizational/5.19-supplier-security.md t/m 5.23-cloud-security.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Documentstructuur | Één document (selectie, monitoring, rapportages, beoordeling) | Verspreid over 5 controls (5.19–5.23) | gewijzigd |
| BIV-drempelwaarde | BIV>10 drempel voor leveranciersbeoordeling | Niet meer expliciet als drempelwaarde vermeld | verwijderd |
| Jaarlijkse beoordeling | Procedure beschreven | Gap: niet alle leveranciers formeel beoordeeld | gewijzigd |
OUD 08.02 — Bedrijfsmiddelen
Nieuw: controls/organizational/5.09-asset-inventory.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Asset register | Gedetailleerd (laptops, desktops, smartphones, testdevices, Raspberry Pi) | Google Sheet als asset register | gewijzigd |
| Bruikleenovereenkomst | Beschreven | Behouden | hernoemd/verplaatst |
| Raspberry Pi | Specifiek vermeld als asset | Niet meer vermeld | verwijderd |
| Verwijderingsprocedure | Uitgebreid: harde schijven fysiek vernietigen | Uitgebreid overgenomen: verwijdering, hergebruik, innamechecklist | gewijzigd |
OUD 08.03 — Toegangsprocedure gebouw
Nieuw: controls/physical/7.01-physical-perimeter.md + 7.02-entry.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Toegangssysteem | Mobiele app | Bold digitale sloten | gewijzigd |
| Locatie | Niet specifiek vermeld | Kantoor Rotterdam expliciet | gewijzigd |
| Zone-indeling | Zones I–IV | Zone-indeling behouden | hernoemd/verplaatst |
| Schoonmaker | ”Op moment van schrijven geen schoonmaker” | Mogelijk verouderde opmerking overgenomen | gewijzigd |
H09 — Primair Proces
OUD 09.00 — Algemeen proces
Nieuw: Niet meer aanwezig
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Drive-mappenstructuur | Beschreven met regels over documenten delen | Niet meer relevant (Git-based ISMS) | verwijderd |
OUD 09.01 — Verkoopproces
Nieuw: 08-uitvoering/8.1-planning.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Procesdetail | Gedetailleerd (telefonisch contact, offerte, PRD, opdrachtbevestiging) | Compacter in planningcontext | gewijzigd |
| Risicoclassificatie | Laag/hoog risico onderscheid bij projecten | Behouden | hernoemd/verplaatst |
| PRD-proces | Expliciet beschreven | Niet meer expliciet in nieuw ISMS | verwijderd |
| Verwerkersovereenkomst | Procedure beschreven | Opgenomen in leveranciersmanagement | hernoemd/verplaatst |
OUD 09.02 — Projectmanagement
Nieuw: controls/organizational/5.08-project-security.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Focus | Projectmanagement (kick-off, planning, klantafstemming) | Security als vereiste in projectmanagement | gewijzigd |
| IB-risico-assessment | Niet per project | Per project vereist | toegevoegd |
| Procesdetail | Uitgebreid werkproces beschreven | Minder procesdetail, meer security-focus | gewijzigd |
OUD 09.03 — Ontwerp
Nieuw: Impliciet in development controls (controls/technological/8.25-sdlc.md)
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| UX/UI design proces | Beschreven als apart onderdeel | Geïntegreerd in Ontwerp-stap van 8.25 SDLC | hernoemd/verplaatst |
| Figma plug-in beleid | Specifiek beleid voor goedgekeurde plug-ins | Opgenomen in 8.25: alleen goedgekeurde Figma plug-ins | hernoemd/verplaatst |
| Dummy-data regel | Alleen dummy-data in ontwerpen (geen echte persoonsgegevens) | Opgenomen in 8.25: dummy-data verplichting bij ontwerpen met persoonsgegevens | hernoemd/verplaatst |
OUD 09.04 — Development
Nieuw: controls/technological/8.25-sdlc.md + 8.28-secure-coding.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Technologiestack | Backend/web + app/game, Kotlin voor Android | Flutter i.p.v. Kotlin | gewijzigd |
| Branching | OneFlow model | Kernproces behouden, compacter beschreven | gewijzigd |
| Code review | Beschreven met styleguides | Behouden | hernoemd/verplaatst |
| OWASP/Dependabot | Beschreven | Behouden | hernoemd/verplaatst |
| App deployment | Gedetailleerd beschreven | Minder gedetailleerd | gewijzigd |
| Capaciteitsmanagement | In development document | Nu apart in monitoring (8.20) | hernoemd/verplaatst |
| Checklist zorgapplicaties (09.04.a) | Apart document | Verplaatst naar nen7510/zorg-specifiek/z04-medical-devices.md | hernoemd/verplaatst |
OUD 09.05 — Oplevering en support
Nieuw: controls/technological/8.29-security-testing.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Focus | Breed: oplevering door PM, bugfixing 6 weken, SLA | Focus op security testing | gewijzigd |
| Commercieel proces | Acceptatie, SLA-afsluiting beschreven | Niet meer in scope van technische control | verwijderd |
| Security testing | Niet als apart onderwerp | Centraal onderwerp van het control | toegevoegd |
OUD 09.06 — Change management
Nieuw: controls/technological/8.32-change-management.md
| Onderwerp | Oud ISMS | Nieuw ISMS 2.0 | Type verschil |
|---|---|---|---|
| Ontwikkelproces | Alfafase-onderscheid, Jira, commits, PR reviews | Vrijwel identiek, iets compacter | gewijzigd |
| Organisatorische wijzigingen | Niet apart benoemd | BIV-impactanalyse als apart spoor | toegevoegd |
Samenvatting type verschillen
| Type verschil | Aantal |
|---|---|
| gewijzigd | ~65 |
| toegevoegd | ~20 |
| verwijderd | ~8 |
| hernoemd/verplaatst | ~27 |
Belangrijkste structurele wijzigingen:
- Normversie: ISO 27001:2013 → 2022, NEN 7510:2017 → 2024
- Tooling: Google Drive/Docs → Git-based (Markdown + YAML)
- Controlstructuur: 114 controls (A.5–A.18) → 93 controls (5.xx–8.xx)
- Documentformaat: Één document per onderwerp → twee bestanden per control (.md + .ref.md)
- Eerlijkheid: Oud ISMS presenteerde alles als geïmplementeerd; nieuw erkent gaps expliciet
- Granulariteit: Brede documenten (incident mgmt, HR, leveranciers) opgesplitst in individuele controls