Laptop met Microsoft 365-dashboard op modern bureau naast een beveiligingsmap en hangslot, kantooromgeving met natuurlijk raamlicht.

Wat moet je regelen in Microsoft 365 voor een ISO 27001-certificering?

/in /door

Voor een ISO 27001-certificering moet je in Microsoft 365 een reeks technische en organisatorische maatregelen treffen: van toegangsbeheer en auditlogging tot dataverliespreventie en gedocumenteerd beleid. Microsoft 365 biedt hiervoor veel ingebouwde functionaliteit, maar die staat niet automatisch goed ingesteld. Welke licentie je hebt, bepaalt bovendien welke beveiligingsfuncties beschikbaar zijn. In dit artikel beantwoorden we de meest gestelde vragen over Microsoft 365-beveiliging in het kader van een ISO 27001-certificering.

Welke Microsoft 365-instellingen raken de ISO 27001-eisen direct?

ISO 27001-eisen raken in Microsoft 365 vrijwel alle lagen van je omgeving: identiteitsbeheer, apparaatbeheer, gegevensbescherming, monitoring en toegangscontrole. De norm vraagt niet om specifieke tools, maar om aantoonbare beheersmaatregelen. Microsoft 365 bevat veel van die maatregelen, maar ze moeten bewust worden ingericht en gedocumenteerd.

De ISO 27001-norm is opgebouwd rond een Information Security Management System (ISMS). Daarbinnen zijn de zogenoemde Annex A-beheersmaatregelen leidend. Veel van die maatregelen zijn direct te vertalen naar Microsoft 365-instellingen:

  • Toegangscontrole (A.9): Multifactorauthenticatie, Conditional Access en rolgebaseerde toegang in Azure Active Directory
  • Cryptografie (A.10): Versleuteling van data in rust en in transit via Microsoft’s ingebouwde encryptie
  • Beveiliging van bedrijfsmiddelen (A.8): Apparaatbeheer via Microsoft Intune en classificatie van data via Microsoft Purview
  • Logging en monitoring (A.12): Auditlogs in het Microsoft Purview-complianceportaal en Microsoft Defender for Cloud Apps
  • Incidentbeheer (A.16): Detectie en respons via Microsoft Defender en beveiligingswaarschuwingen

Belangrijk om te weten: een auditor beoordeelt niet alleen of de instellingen bestaan, maar ook of ze aantoonbaar worden beheerd en geëvalueerd. Technische configuratie is dus noodzakelijk, maar niet voldoende zonder bijbehorend beleid en beheerprocessen.

Hoe stel je toegangsbeheer in Microsoft 365 in voor ISO 27001?

Toegangsbeheer voor ISO 27001 in Microsoft 365 draait om drie pijlers: sterke authenticatie, minimale rechten en gecontroleerde toegang tot gevoelige data. De meeste organisaties beginnen met het inschakelen van multifactorauthenticatie (MFA) voor alle gebruikers en het configureren van Conditional Access-beleid in Azure Active Directory.

Multifactorauthenticatie en Conditional Access

MFA is een basisvereiste. Zonder MFA voldoe je niet aan de ISO 27001-eis voor sterke authenticatie. In Microsoft 365 schakel je MFA in via het Microsoft Entra-beheercentrum. Conditional Access gaat een stap verder: je kunt toegang weigeren op basis van locatie, apparaatstatus of risiconiveau van de aanmelding. Zo beperk je de aanvalsoppervlakte aanzienlijk.

Rolgebaseerde toegang en het principe van minimale rechten

ISO 27001 vereist dat gebruikers alleen toegang hebben tot wat ze nodig hebben voor hun werk. In Microsoft 365 regel je dit via Role-Based Access Control (RBAC) in Microsoft Entra ID en via gevoeligheidslabels en machtigingen in SharePoint en Teams. Controleer ook regelmatig wie beheerdersrechten heeft: ongebruikte of te brede beheerdersrollen zijn een veelvoorkomend aandachtspunt bij audits. Gebruik Privileged Identity Management (PIM) om beheerderstoegang tijdelijk en aanvraaggestuurd te maken in plaats van permanent.

Wat moet je loggen en monitoren in Microsoft 365 voor een audit?

Voor een ISO 27001-audit moet je kunnen aantonen dat je beveiligingsrelevante gebeurtenissen registreert, bewaart en analyseert. In Microsoft 365 is de centrale plek daarvoor het unified audit log in het Microsoft Purview-complianceportaal. Zorg dat dit log actief is, want het staat niet standaard aan in alle tenants.

Relevante categorieën om te loggen zijn onder andere:

  • Aanmeldingen en mislukte inlogpogingen (via Microsoft Entra ID Sign-in logs)
  • Wijzigingen in beheerdersrollen en beveiligingsinstellingen
  • Toegang tot en het delen van gevoelige bestanden in SharePoint en OneDrive
  • E-mailbewegingen en verdachte forwarding-regels in Exchange Online
  • Beveiligingswaarschuwingen vanuit Microsoft Defender

Bewaar loggegevens minimaal 90 dagen, maar bij voorkeur langer. ISO 27001 schrijft geen vaste bewaartermijn voor, maar een auditor verwacht dat je een gedocumenteerde keuze hebt gemaakt die aansluit bij je risicobeoordeling. Met een Microsoft 365 E3- of E5-licentie kun je logretentie verlengen via Microsoft Purview Audit. Stel daarnaast actieve waarschuwingen in, zodat je niet alleen achteraf kunt reconstrueren wat er is gebeurd, maar ook proactief reageert op verdachte activiteit.

Hoe bescherm je bedrijfsdata in Microsoft 365 tegen datalekken?

Databescherming in Microsoft 365 voor ISO 27001 richt je in via drie lagen: classificatie, toegangsbeperking en preventie van onbedoeld delen. Het startpunt is het labelen van gevoelige informatie met Microsoft Purview Information Protection, zodat de organisatie weet welke data bescherming nodig heeft.

Vervolgens zet je Data Loss Prevention (DLP)-beleid in om te voorkomen dat gevoelige informatie per ongeluk of opzettelijk de organisatie verlaat. DLP-regels kun je toepassen op e-mail, Teams-berichten, SharePoint-documenten en OneDrive-bestanden. Denk aan regels die waarschuwen of blokkeren wanneer iemand een document met het label “Vertrouwelijk” extern deelt.

Aanvullend is het verstandig om externe deelinstellingen in SharePoint en OneDrive te beperken tot wat strikt noodzakelijk is. Veel organisaties staan standaard te ruim delen toe. Controleer ook de gasttoegangsinstellingen in Teams: zijn er kanalen of teams waar externen toegang toe hebben die dat eigenlijk niet zouden moeten hebben?

Voor apparaten die toegang hebben tot bedrijfsdata is apparaatbeheer via Microsoft Intune een logische aanvulling. Intune zorgt ervoor dat alleen compliant apparaten toegang krijgen en dat bedrijfsdata op verloren of gestolen apparaten op afstand gewist kunnen worden.

Welke documentatie verwacht een ISO 27001-auditor van Microsoft 365?

Een ISO 27001-auditor verwacht niet alleen technische instellingen, maar ook schriftelijk bewijs dat je omgeving bewust is ingericht, beheerd wordt en periodiek wordt geëvalueerd. Voor Microsoft 365 betekent dit dat je specifieke beleidsdocumenten en beheerprocedures op orde hebt.

Minimaal verwacht een auditor de volgende documentatie:

  1. Toegangsbeleid: Wie krijgt toegang, op basis van welke criteria, en hoe worden rechten ingetrokken bij uitdiensttreding?
  2. Wachtwoord- en authenticatiebeleid: Eisen aan wachtwoorden, MFA-verplichting en uitzonderingsprocedures
  3. Classificatiebeleid: Hoe worden gegevens geclassificeerd en welke labels worden gebruikt in Microsoft Purview?
  4. Logbeheerbeleid: Welke logs worden bewaard, hoe lang, en wie heeft toegang tot die logs?
  5. Incidentresponsproces: Hoe worden beveiligingsincidenten gedetecteerd, geregistreerd en afgehandeld?
  6. Leveranciersbeheerdossier: Microsoft is een verwerker van jouw data. De verwerkersovereenkomst met Microsoft moet gedocumenteerd zijn.

Naast beleidsdocumenten verwacht een auditor ook bewijs van uitvoering: logrecords, screenshots van instellingen, notulen van beveiligingsreviews en rapportages van toegangscontroles. Zorg dat dit bewijs actueel is en aantoonbaar wordt bijgehouden.

Wat kun je zelf regelen en wanneer schakel je een specialist in?

Veel basisinstellingen voor ISO 27001 in Microsoft 365 kun je zelf regelen als je beschikt over beheerrechten en een Microsoft 365-licentie met de juiste beveiligingsfuncties. Denk aan het inschakelen van MFA, het activeren van auditlogging en het instellen van eenvoudige DLP-regels. Voor organisaties met een intern IT-team is dit een haalbare eerste stap.

Een specialist wordt waardevol zodra het complexer wordt. Dat is doorgaans het geval bij:

  • Het inrichten van Conditional Access-beleid zonder onbedoeld gebruikers buiten te sluiten
  • Het koppelen van Microsoft 365-instellingen aan een formeel ISMS en risicoregister
  • Het opstellen van de vereiste beleidsdocumentatie die aansluit bij de ISO 27001-norm
  • Het uitvoeren van een gap-analyse om te bepalen wat er nog ontbreekt voor certificering
  • Het begeleiden van het auditproces zelf en het voorbereiden van technisch bewijs

Een veelgemaakte fout is dat organisaties technisch alles goed inrichten, maar de documentatie en de beheercyclus verwaarlozen. Een auditor kijkt naar beide. Als de instellingen kloppen maar het beleid ontbreekt of verouderd is, levert dat een non-conformiteit op die de certificering vertraagt.

Hoe Puur ICT helpt bij ISO 27001-certificering in Microsoft 365

Wij ondersteunen organisaties bij het volledig inrichten van hun Microsoft 365-omgeving voor een ISO 27001-certificering. Dat doen we niet met een standaard checklist, maar op basis van jouw specifieke situatie, licentieniveau en risicolandschap. Wat we concreet voor je regelen:

  • Technische configuratie: MFA, Conditional Access, Intune-apparaatbeheer, DLP-beleid en auditlogging correct ingesteld
  • Datakwalificatie en labeling: Opzetten van een classificatiestructuur in Microsoft Purview die aansluit bij jouw informatiebeveiligingsbeleid
  • Documentatiepakket: Opstellen van de beleidsdocumenten die een auditor verwacht, inclusief toegangsbeleid, logbeheerbeleid en verwerkersovereenkomsten
  • Gap-analyse: Inzichtelijk maken wat er nog ontbreekt in jouw huidige omgeving ten opzichte van de ISO 27001-eisen
  • Doorlopend beheer: Na implementatie zorgen wij voor actief beheer en monitoring van je beveiligingsomgeving, zodat je ook na certificering compliant blijft

Wil je weten hoe jouw Microsoft 365-omgeving er nu voor staat in het kader van ISO 27001? Neem contact op met Puur ICT voor een vrijblijvend gesprek. We denken graag met je mee, in begrijpelijke taal en zonder onnodige omwegen.

Gerelateerde artikelen

Misschien ook iets voor u
Laptop op thuiskantoor bureau met koffiemok, papieren en klein hangslot naast het toetsenbord, warm licht en blauw schermgloed.Hoe voorkom je datalekken via privéapparaten van thuiswerkende medewerkers?
Klantcase AMP GroepAMP Groep migreert naar Microsoft 365
Combinatieslot op laptoptoetsenbord symboliseert gelaagde digitale beveiliging op modern kantoorbureau.Hoe kies je het juiste beveiligingsniveau voor je website?
Bureau vol verouderde papieren en mappen naast een laptop met een overzichtelijke digitale werkruimte, verlicht door noordelijk daglicht.Wat is een betere manier om documenten te delen en samen te bewerken zonder dat je door versies heen rolt?
Rij identieke laptops op een wit bureau in een modern kantoor met Microsoft 365-beheerdashboard op scherm.Hoe zet je een gestandaardiseerde werkplekinrichting op in Microsoft 365?
Zakelijke laptop beveiligd met stalen cijferslot op wit bureau, omringd door niet-gecertificeerde apparaten.Hoe stel je in dat alleen beheerde apparaten mogen inloggen in je omgeving?
Gefrustreerde kantoormedewerker zoekt door stapel manila mappen en losse papieren op bureau met open laptop en plakbriefjes.Waarom vinden medewerkers bestanden niet terug terwijl ze er zeker van zijn ze opgeslagen te hebben?
Geopende archieflade met kleurgecodeerde mappen naast laptop met cloud-interface op licht eiken bureau.Wat is een goede manier om bedrijfsdocumenten centraal op te slaan zodat iedereen er bij kan?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden