Dienst · Software-ontwikkeling

ISO 27001 compliant software laten ontwikkelen.

Maatwerk software die wij vanaf de eerste sprint bouwen volgens de eisen die uit ISO 27001 voortvloeien: security-by-design, threat-modeling vooraf, secure coding, gelaagde encryptie, sterke toegangscontrole, aantoonbare logging en getoetste incident-response. Dit gaat over hoe wij software bouwen — niet over een GRC-tool om uw certificering bij te houden.

Secure SDLCSAST & DASTThreat-modelingPen-test voor go-live

Wat ISO 27001 compliant software in de praktijk betekent.

ISO 27001 is de internationale standaard voor Information Security Management Systems (ISMS). De norm beschrijft de governance rond informatiebeveiliging, en in Annex A staan 93 controls verdeeld over vier thema's: organizational, people, physical en technological. Een groot deel van die controls landt direct in de software die u laat bouwen — denk aan toegangscontrole (A.5 en A.8), cryptografie (A.8.24), secure development (A.8.25 tot A.8.28), logging en monitoring (A.8.15 en A.8.16), supplier-relationships (A.5.19 tot A.5.22) en incident-management (A.5.24 tot A.5.30).

Wij worden gevraagd door organisaties die door een certificeringstraject lopen of er al doorheen zijn, en die nu een nieuw platform of bedrijfsapplicatie laten ontwikkelen die binnen de scope van het ISMS valt. De vraag is dan niet "regel ISO 27001 voor ons", maar "zorg dat het systeem dat jullie bouwen geen risk-finding wordt bij de eerstvolgende audit". Dat is een ander gesprek, met andere bewijslast en andere ontwerpkeuzes.

We voeren de certificeringsaudit zelf niet uit — dat is voorbehouden aan geaccrediteerde partijen zoals TÜV, BSI, DEKRA, Lloyd's of Bureau Veritas. Wat we wel doen is de software bouwen en de bewijsstukken aanleveren waarmee uw auditor de relevante Annex A-controls afvinkt. Dat past binnen bredere trajecten rond DORA compliance software, KYC- en AML-compliance software of een risicomanagement-software-traject, en is een logische bouwsteen als u toewerkt naar een breder enterprise-software-traject.

Drie soorten trajecten waarin ISO 27001 centraal staat.

De meeste opdrachten beginnen in één van deze drie smaken. We adviseren in het eerste gesprek welke aanpak het beste past bij uw scope, uw type data en hoever uw organisatie al is met het ISMS.

Compact traject · vast sprintbudget

Nieuwe applicatie binnen een bestaand ISMS

Uw organisatie is al gecertificeerd of ver gevorderd, het ISMS staat. U laat een nieuwe applicatie bouwen die in scope valt: een klantportaal, een interne tool, een data-platform of een verwerker-applicatie. Wij brengen de relevante Annex A-controls vooraf in kaart, kiezen architectuur- en build-keuzes die daarbij passen, en leveren per oplevering de bewijsstukken die uw interne auditor of certificerende instelling verwacht.

Controls-mappingSDLC-bewijslastAudit-ready releaseRisk-register
Middelgroot traject · vast sprintbudget

Bouwen tijdens een lopend certificeringstraject

U werkt toe naar uw eerste certificering, terwijl de nieuwe applicatie parallel wordt gebouwd. Wij sluiten aan op de informatiebeveiligings-functionaris of CISO die het ISMS opzet, vertalen het opkomende beleid naar concrete architectuur- en codeerstandaarden, en zorgen dat de software bij Stage 1 en Stage 2 niet de bottleneck is. Vaak schrijven we mee aan de Statement of Applicability voor de controls die softwarematig worden geïmplementeerd.

SoA-inputBeleid-naar-codeStage 1 / Stage 2CISO-handover
Groter traject · vast sprintbudget

Strenger regime: NEN 7510, BIO of klant-due-diligence

U valt onder een aanvullend regime — NEN 7510 voor de zorg, BIO voor de overheid, of strenge klant-due-diligence van een grote zakelijke afnemer die uw SOC 2 of ISO 27001 vraagt. Het systeem moet door meerdere lenzen heen werken. Wij bouwen één coherente architectuur die alle regimes tegelijk dekt, met traceerbare mapping van features naar de controls die per kader gevraagd worden, zodat u één keer bouwt en meerdere keren oplevert.

NEN 7510-mappingBIO-aansluitingSOC 2-overlapKlant-audit-ready

Wat u krijgt aan het einde van een traject.

Een productieklare applicatie plus de bewijsstukken die uw interne audit, externe certificerende instelling of zakelijke klant nodig heeft om de relevante Annex A-controls af te tekenen.

  • De applicatie zelf, gebouwd op security-by-designProductie- en staging-omgeving, draait in uw cloud (Microsoft Azure, AWS of GCP) of bij ons in een EU-regio. Hardened images, gescheiden netwerken, principle-of-least-privilege standaard ingericht.
  • Threat-model en risico-registerOp basis van STRIDE of PASTA, met geïdentificeerde dreigingen, gewogen impact, en de keuzes die wij in het ontwerp hebben gemaakt om die dreigingen te mitigeren. Gekoppeld aan de Annex A-controls die het ISMS van uw organisatie hanteert.
  • ISO 27001 controls-mapping documentVoor iedere relevante Annex A-control een verwijzing naar de feature, de architectuurkeuze of de operationele afspraak die de control adresseert. Auditors gebruiken dit als startpunt voor de evidence-review.
  • Toegangscontrole en sterke authenticatieRBAC of ABAC, MFA standaard aan, SSO via SAML of OIDC met integraties op Azure AD, Okta, Auth0 of Google Workspace. Just-in-time-toegang voor beheerders, geen jaarlange admin-rechten.
  • Encryptie at rest en in transitAES-256 voor opslag, TLS 1.3 voor verkeer, key-management via HSM, AWS KMS, Azure Key Vault of Google Cloud KMS. Secrets in HashiCorp Vault of de cloud-native variant — nooit in code of build-pipelines.
  • Immutable audit-loggingComprehensive logging van security-relevante events naar een append-only store, met retention afgestemd op uw beleid en doorzoekbaar voor SOC- en compliance-onderzoeken. Standaard integratie met uw SIEM (Splunk, Sentinel, Elastic).
  • Geautomatiseerde security-tests in de pipelineSAST (SonarQube, Semgrep), SCA (Snyk, Dependabot, Trivy) en DAST in de CI/CD-pipeline. IaC-scanning met checkov, tfsec of cfn-nag op de infrastructuur. Geen merge zonder schone scan.
  • Onafhankelijke penetration-test voor go-liveUitgevoerd door een gespecialiseerde derde partij, met rapport en bewijs van remediation voordat productie open gaat. Periodieke retests op grote releases.
  • Backup-, restore- en DR-strategie, getoetstNiet alleen geconfigureerd, maar ook getoetst in een restore-oefening voor go-live. Bewijs van RTO en RPO afgestemd op de business-impact-analyse.
  • Incident-response runbookGeschreven scenario's voor data-breach, ransomware en ongewenste toegang, met de stappen, de eigenaar en de communicatieflows. Aansluitend op de meldplicht datalekken en uw eigen incident-procedure.
  • Codebase en architectuur-documentatieVolledige broncode in een Git-repository met getekende code-reviews (vier-ogen-principe), build- en deploy-instructies en een architectuur-overzicht voor uw IT-partner of interne IT.
  • Beheer-contract (optioneel)Doorlopende monitoring, patch-management, vulnerability-scanning, koppelings-onderhoud en doorontwikkeling. Vaste maandprijs, meerdere reactietijd-niveaus.

Wanneer ISO 27001 compliant maatwerk de juiste keuze is.

Vier patronen die wij terugzien bij organisaties die ons benaderen voor een ISO 27001-compliant bouwtraject. Herkent u er één, dan praten we graag verder.

Klant-druk

Zakelijke klant eist ISO 27001

Uw grootste afnemer — een bank, verzekeraar, retailer of overheidsinstelling — zet ISO 27001 in het contract en doet een eigen due-diligence. Een SaaS-product zonder aantoonbare security-by-design zakt af in de selectie. De nieuwe applicatie of integratie die u nu bouwt moet vanaf release-één onder die lens uitlegbaar zijn.

Sector-regime

NEN 7510, BIO of vergelijkbaar

U bent een zorgaanbieder onder NEN 7510 (de Nederlandse uitbreiding op ISO 27001 voor de zorg), een gemeente of zelfstandig bestuursorgaan onder BIO, of een entiteit onder Wft- of DNB-toezicht. De norm is geen optioneel keurmerk maar een wettelijke of toezichtsmatige basis voor uw bedrijfsvoering.

Certificeringstraject

U gaat door uw eerste audit

U werkt toe naar de eerste certificering en wilt voorkomen dat de nieuwe applicatie bij Stage 2 onverwachte non-conformiteiten oplevert. Het ISMS staat nog niet helemaal, het beleid wordt geschreven, en de software wordt parallel ontwikkeld. Wij sluiten aan op de informatiebeveiligings-functionaris of CISO en bouwen mee in dat tempo.

Risico-profiel

Gevoelige data of kritisch proces

De applicatie verwerkt patiëntdossiers, financiële transacties, biometrische data, kinderdossiers of bedrijfsgevoelige informatie van uw klanten. Een data-incident raakt niet alleen u maar ook uw klanten en hun klanten. Een security-onderbouwde architectuur is hier geen luxe maar de start-aanname.

Nog niet zeker over een groot traject?

Test je idee eerst — werkend prototype in 1 dag

Met OneDayBuild maken we je idee in één dag tastbaar voor €950, zodat je weet of verdere ontwikkeling de investering waard is. Besluit je door te gaan met de volledige bouw? Dan verrekenen we de kosten volledig.

Bekijk OneDayBuild →

Hoe een ISO 27001-compliant bouwtraject loopt.

1

Kennismaking en scoping

Een gesprek waarin we begrijpen welke applicatie u wilt laten bouwen, welk regime van toepassing is (ISO 27001 stand-alone, NEN 7510, BIO, SOC 2-overlap, klant-due-diligence), welke data wordt verwerkt en welke kernsystemen er staan. We brengen ook in beeld of het ISMS van uw organisatie al staat of nog ingericht moet worden, en met welke informatiebeveiligings-functionaris of CISO wij gaan samenwerken.

2

Threat-modeling, controls-mapping en architectuur

Workshop met uw CISO of security-officer, plus de business-eigenaar van het systeem. We doen een threat-modeling-sessie (STRIDE of PASTA), schrijven de relevante Annex A-controls op die in scope zijn — denk aan A.5 access-control, A.8.24 cryptografie, A.8.25 tot A.8.28 secure development, A.8.15 en A.8.16 logging — en kiezen architectuurpatronen die die controls afdekken. Aan het eind ligt er een controls-mapping document, een eerste architectuur, en een sprintplanning die de security-keuzes vooraan zet.

3

Bouw in sprints, security gebakken in de pipeline

We werken in tweewekelijkse sprints en elke sprint loopt door dezelfde poorten: code-review met vier-ogen-principe, SAST- en SCA-scan, IaC-policy-check, end-to-end-test en een security-acceptatie-check. Threat-model wordt bijgewerkt als de architectuur evolueert. Een onafhankelijke penetration-test wordt ingepland voor go-live, niet erna, zodat bevindingen nog in scope zijn. Dependency- en container-scanning loopt doorlopend zodat een nieuwe CVE binnen werkbare termijn wordt opgepakt.

4

Hand-over, audit-support en doorlopend beheer

Bij oplevering krijgt uw CISO een complete evidence-pack: threat-model, controls-mapping, pen-test-rapport, restore-test, incident-response runbook en de operationele runbooks voor het beheer. Tijdens uw audit ondersteunen we met de antwoorden op vragen die specifiek de software raken. Vanaf go-live verzorgen we monitoring, patch-management, dependency-updates, periodieke retests en doorontwikkeling — zodat het systeem ook bij toekomstige audits comfortabel staat.

Veelgestelde vragen over ISO 27001 compliant software.

De vragen die CISO's, security-officers en compliance-officers ons meestal stellen voor een traject begint.

Wat is het verschil tussen ISO 27001, NEN 7510 en SOC 2?
ISO 27001 is een internationale standaard voor een Information Security Management System (ISMS), met Annex A als bibliotheek van 93 controls. NEN 7510 is de Nederlandse aanvulling die specifiek voor zorgaanbieders extra eisen oplegt rond patiëntgegevens en logging — in de praktijk een ISO 27001-implementatie plus een zorg-laag. SOC 2 is een Amerikaans Trust Services-rapportage-kader van AICPA, met een ander accent (rapportage in plaats van certificering) en vijf Trust Service Criteria. De drie overlappen op security-controls; wij bouwen graag één architectuur die meerdere kaders tegelijk dekt.
Helpen jullie ons aan een ISO 27001-certificaat?
Nee — we bouwen de software, en de bewijsstukken die uw auditor nodig heeft, maar de certificering zelf is voorbehouden aan een geaccrediteerde certificerende instelling. In Nederland zijn dat partijen als TÜV NORD, BSI, DEKRA, Lloyd's Register, Bureau Veritas en DNV. Zij voeren de Stage 1- en Stage 2-audit uit en geven het certificaat af na een succesvol traject, met jaarlijkse surveillance-audits en een hercertificering elke drie jaar. Wij leveren de input die hun audit veel soepeler maakt.
Hoeveel meerwerk is ISO 27001 compliant bouwen ten opzichte van een gewoon traject?
Eerlijk: niet niets, maar minder dan veel mensen denken. Threat-modeling, controls-mapping en pen-test zijn extra, en de pipeline-poorten (SAST, SCA, DAST, IaC-scanning) kosten tijd om in te richten — maar daarna lopen ze mee. De grootste tijdsinvestering zit in de evidence-discipline: elk feature heeft een review-trail, elk incident een runbook, elke afhankelijkheid een goedgekeurde herkomst. Voor een organisatie die de discipline gewend is, voegt het beperkte overhead toe. Voor een organisatie die er nieuw aan begint, is de eerste sprint zwaarder dan de rest.
Is een penetration-test onderdeel van het traject?
Ja, standaard. We plannen een onafhankelijke pen-test voor go-live in, uitgevoerd door een gespecialiseerd bureau — niet door onszelf, om belangenverstrengeling te vermijden. Bevindingen worden in de laatste sprints geremedieerd en geretest, zodat het rapport schoon is voordat productie open gaat. Voor grotere releases plannen we een retest. We kunnen ook aansluiten op uw vaste pen-test-leverancier als die er al is.
Welke tools zetten jullie in voor secure development?
In de pipeline: SonarQube of Semgrep voor SAST, Snyk, Dependabot of Trivy voor SCA, OWASP ZAP of Burp voor DAST, checkov, tfsec of cfn-nag voor IaC-scanning. Voor secrets: HashiCorp Vault, AWS Secrets Manager, Azure Key Vault of Google Secret Manager. Voor logging en monitoring: standaard koppelingen met Splunk, Microsoft Sentinel of Elastic. Voor SSO en MFA: SAML- en OIDC-koppelingen met Azure AD, Okta, Auth0 of Google Workspace. We hebben geen vendor-lock-in; we kiezen op basis van uw bestaande landschap.
Kunnen jullie aansluiten op ons bestaande ISMS, beleid en risk-register?
Ja, en dat is meestal de wens. Uw informatiebeveiligings-functionaris of CISO heeft beleid op gebieden als classificatie, toegang, cryptografie, change-management en supplier-relationships. Wij vertalen dat beleid naar architectuur- en codeerstandaarden, en koppelen onze deliverables aan uw bestaande risk-register en Statement of Applicability. We schrijven niet uw beleid — we volgen het, en signaleren waar de software dat beleid raakt of waar het beleid in de praktijk niet werkbaar is.
Hoe gaan jullie om met derde-partijen en supplier-management (A.5.19 tot A.5.22)?
Iedere derde partij in het systeem — cloudleverancier, SaaS-component, open-source-bibliotheek — krijgt een plek in het overzicht: wat doet de partij, welke data zien ze, waar staat de data, welke afspraken hebben we vastgelegd en welke risico-classificatie hoort daarbij. Voor kritische derden — denk aan AWS, Microsoft Azure, Google Cloud, betaaldienstverleners — leggen we de exit-strategie en de uitwijk-mogelijkheid expliciet vast. SCA-tooling (Snyk, Dependabot) signaleert nieuwe CVE's in open-source-afhankelijkheden zodat een upgrade tijdig wordt opgepakt.
Wat bepaalt de kosten van een ISO 27001 compliant traject?
Vier dingen: de complexiteit en scope van de applicatie zelf, het aantal koppelingen met externe en interne systemen, hoever uw ISMS en uw security-beleid al staan, en welke aanvullende regimes meelopen (NEN 7510, BIO, SOC 2, klant-due-diligence). Een nieuw klantportaal voor een bestaande gecertificeerde organisatie is een ander traject dan een nieuw zorg-platform onder NEN 7510 dat parallel aan het ISMS wordt opgebouwd. We schetsen de bandbreedte in het eerste gesprek en werken altijd met vaste sprintprijzen, zodat u niet voor verrassingen komt te staan.
Bouwen jullie ook voor de zorg, overheid, banken en B2B-leveranciers?
Ja. Voor de zorg gaat ISO 27001 vrijwel altijd hand-in-hand met NEN 7510 en de eisen rond patiënt-logging. Voor de overheid gaat het meestal om de Baseline Informatiebeveiliging Overheid (BIO), die op ISO 27001 is gebaseerd maar specifieke aanvullingen kent. Voor banken en verzekeraars werken we vaak parallel aan DORA compliance software en KYC- en AML-compliance software. Voor B2B-leveranciers wiens klanten ISO 27001 of SOC 2 eisen bouwen we vaak op een cloud-native platform dat de evidence-discipline van begin af aan ondersteunt.
Wat doen jullie als er na go-live een nieuwe CVE of incident is?
In het beheer-contract zit doorlopende vulnerability-scanning op dependencies, container-images en infrastructuur, plus patch-management binnen werkbare termijnen afhankelijk van de severity. Voor incidenten ligt het incident-response runbook klaar, met scenario's voor data-breach, ransomware en ongewenste toegang. Wij ondersteunen bij de triage en remediation, en helpen met de communicatie richting de meldplicht datalekken (Autoriteit Persoonsgegevens) wanneer dat aan de orde is. Lessons-learned worden teruggevoerd in het threat-model en het beleid, zodat dezelfde fout niet twee keer wordt gemaakt.

Praat met ons over uw ISO 27001 compliant software.

Een kennismaking van een half uur, vrijblijvend. We luisteren naar welke applicatie u wilt laten bouwen, hoever uw ISMS staat, welke data wordt verwerkt en wat uw klanten of toezichthouders specifiek vragen — en geven richting waar u meteen iets aan hebt, ook als we uiteindelijk niet samenwerken.

Edit Content