Naar inhoud
EN NL
Start je gratis proefperiode
Terug naar blog
ISO 27001 asset registerISMS auditAnnex A.5.9asset inventariscompliance

ISO 27001 Asset Register: Wat Auditors Echt Willen Zien

OwndUp Team · mei 19, 2026 · 9 min leestijd

De meeste eerste ISO 27001-audits zakken op het asset register, niet op de firewall

Spreek iemand die net door zijn eerste ISO 27001-certificering is gegaan en je hoort steeds hetzelfde verhaal. De technische controles houden stand. MFA staat aan. Logging is geregeld. De pentest kwam schoon terug. En dan zegt de auditor: "Kun je me je inventaris van informatie-assets laten zien, inclusief eigenaren?" — en de volgende anderhalf uur is damage control.

Wat er overhandigd wordt is een spreadsheet die vier maanden geleden voor het laatst is bijgewerkt, met twee kolommen "Eigenaar" vol teamnamen in plaats van personen, geen registratie van wanneer regels zijn aangemaakt of gewijzigd, en geen bewijs dat een van die eigenaren ooit heeft toegezegd verantwoordelijk te zijn. De auditor laat je niet zakken op een firewallregel. Ze laten je zakken (of noteren een major non-conformity) op het register.

Deze post gaat over hoe je niet dat team bent. Welke ISO 27001-controles daadwerkelijk een inventaris eisen, waar auditors naar kijken, waarom spreadsheets routinematig tekortschieten, en een 30-dagenpad naar een register dat de toets doorstaat.

Welke controles eigenlijk een inventaris vereisen

ISO/IEC 27001:2022 heeft de asset-management-controles ondergebracht in Annex A clausules 5.9 tot en met 5.11 (een kortere lijst dan in de 2013-revisie). Drie controles doen het zware werk:

A.5.9 — Inventaris van informatie en andere bijbehorende assets. Je moet een inventaris bijhouden van informatie en "andere bijbehorende assets" (hardware, software, diensten, alles), inclusief eigenaren. De standaard is bewust breed: als een stuk informatie of een systeem je dienstverlening ondersteunt en verlies ervan pijn zou doen, hoort het op de lijst.

A.5.10 — Acceptabel gebruik van informatie en andere bijbehorende assets. Eigenaren en gebruikers moeten de regels kennen voor de omgang met elk asset. In de praktijk betekent dit beleid plus bewijs dat de juiste mensen het hebben gelezen en geaccepteerd.

A.5.11 — Teruggave van assets. Bij beëindiging, rolwijziging of einde van een contract moet elk asset dat aan de vertrekker is toegewezen worden teruggegeven of overgedragen. Auditors vragen om bewijs — niet "we hebben een proces," maar de daadwerkelijke overdrachtsregistraties voor specifieke personen.

Twee aanpalende controles — A.5.12 (classificatie) en A.5.13 (labelling) — gaan ervan uit dat je inventaris bestaat. Je kunt niet classificeren wat je niet hebt opgesomd.

De zes dingen waar auditors echt naar kijken

Ontdaan van jargon controleert een auditor die je asset register beoordeelt zes dingen:

  1. Volledigheid en actualiteit. Is de lijst compleet, en is hij actueel? Als je headcount het afgelopen kwartaal met 20% is gegroeid maar het register niet, dan is dat een rode vlag.
  2. Een benoemde eigenaar per asset. Niet "Marketing." Niet "IT." Een specifiek mens, met een naam.
  3. Bewijs dat de eigenaar de toewijzing heeft geaccepteerd. Iedereen kan een naam in een cel typen. De controle is pas betekenisvol wanneer de benoemde persoon de verantwoordelijkheid heeft bevestigd.
  4. Bewijs van periodieke review. Beoordeeld wanneer? Door wie? Met welk resultaat? "We kijken er af en toe naar" is geen bewijs.
  5. Bewijs van teruggave bij vertrek. Toen iemand in februari vertrok, wat is er gebeurd met de zeven assets die zij beheerde? Laat me de overdracht zien.
  6. Een classificatieschema dat ook echt wordt toegepast. Als je beleid zegt dat assets worden getagd Public / Internal / Confidential, dan moet het register dat consistent weerspiegelen.

Let op wat er niet op de lijst staat: serienummers, afschrijvingscurves, garantiedata. De ISO 27001-auditor geeft om verantwoordelijkheid en levenscyclus, niet om inkoopdetails.

Waarom de meeste spreadsheet-registers zakken

Spreadsheets zijn niet uitgesloten door de standaard. Veel kleine organisaties zijn ermee gecertificeerd. Ze falen in de praktijk om voorspelbare redenen, gekoppeld aan de zes auditpunten hierboven:

  • Geen audit trail van wijzigingen. Excel's versiegeschiedenis is niet ontworpen als controlebewijs. Je kunt niet eenvoudig laten zien wanneer een eigenaar wijzigde, wie het wijzigde, of waarom. Punt 1 en 4 lijden direct.
  • Geen acceptatieregistratie. "Sarah K." in kolom D typen bewijst niet dat Sarah ergens mee heeft ingestemd. Punt 3 is structureel onmogelijk zonder een aparte workflow.
  • Geen bewijs van periodieke review. Een celkleur of een "Laatst beoordeeld"-kolom ingevuld door één beheerder bewijst niets over wie wat heeft beoordeeld. Punt 4 zakt om dezelfde reden als punt 3.
  • Verouderde data. Het register verloedert tussen audits. Tegen de tijd dat de voorbereiding begint, klopt 20–30% van de regels niet meer. Punt 1 stort in.
  • Offboarding-archeologie. Wanneer iemand vertrekt, is het terugvinden van diens assets handmatig CTRL+F over tabs, en de overdracht gebeurt informeel of helemaal niet. Punt 5 heeft geen bewijs.
  • Inconsistente classificatie. Vijf beheerders, vijf interpretaties van "Confidential." Punt 6 ziet er netjes uit totdat de auditor tien regels steekproefsgewijs controleert.

Geen van deze fouten is op dag één dramatisch. Ze stapelen op. Tegen de tijd dat de audit zes weken weg is, is de kloof tussen register en werkelijkheid te groot om met de hand te dichten.

Hoe een werkend register eruitziet

Drie realistische vormen voor een ISO 27001-waardig asset register, beoordeeld op de zes criteria hierboven:

Spreadsheet Volledig ISMS-platform OwndUp
Volledig & actueel Alleen handmatige discipline Ja (vaak via integraties) Ja — eigenaren onderhouden hun eigen regels; drift komt zichtbaar op het admin-dashboard
Benoemde eigenaar per asset Optioneel, niet afgedwongen Vereist Vereist en afgedwongen
Acceptatiebewijs Geen Workflow-add-on Ingebouwd — eigenaar krijgt melding, accepteert, gelogd
Bewijs van periodieke review Handmatige celupdates Ja Jaarlijkse her-bevestiging ingebouwd, met audit log
Bewijs van teruggave bij vertrek Handmatig proces, makkelijk overgeslagen Ja Offboarding blokkeert vertrek tot items zijn overgedragen
Classificatieschema Vrije tekst, drijft af Volledige taxonomie Tag-gebaseerd; geen classificatie-taxonomie-manager
Geschikt voor < 20 mensen, één gedisciplineerde beheerder 200+ mensen, eigen ISMS-eigenaar, brede scope (risico, beleid, controles) 10–500 mensen, focus op de asset-management-clausules

OwndUp dekt A.5.9 en A.5.11 by design, en draagt bij aan A.5.10 via het acceptatielog. Het is geen volledig ISMS — het beheert je risicoregister niet, je Statement of Applicability niet, je beleid niet en je controlebibliotheek niet. Als je auditscope het hele ISMS is en je hebt nog niets, combineer OwndUp dan met een volledig ISMS-tool (Vanta, Drata, Thoropass, Sprinto, een open-source kit — jouw keuze). Als juist het asset register de leemte is, sluit OwndUp die zonder de implementatielast van een zwaargewicht platform.

Een 30-dagenplan naar een audit-klare inventaris

De meeste teams hebben vier weken tussen "we moeten dit echt fixen" en "de auditor staat op de stoep." Zo besteed je ze.

Week 1 — Discovery. Bouw de éne ware lijst. Trek creditcardafschriften, declaraties, SSO-logs en SaaS-management-data eruit als je die hebt. Loop met elke afdelingsleider hun tools en hardware door. Voeg alles toe dat, indien verloren of gecompromitteerd, het bedrijf wezenlijk zou raken. Classificeer nog niet. Worry nog niet over eigenaren. Krijg de lijst gewoon compleet.

Week 2 — Eigenaarstoewijzing. Identificeer voor elk asset één specifieke persoon — geen team — die het beste in staat is om verantwoordelijk te zijn. Meningsverschillen komen hier boven, en dat is het hele punt. Als twee mensen denken een tool te bezitten, doet niemand het. Los het op. Als niemand het doet, vind de persoon die er het dichtst bij staat en voer het gesprek.

Week 3 — Acceptatie en classificatie. Stuur elke eigenaar een lijst van hun assets. Vraag ze het eigenaarschap schriftelijk te bevestigen (e-mail, ticket, tool — kies er één en houd je eraan). Pas tegelijk je classificatieschema toe. Heb je er nog geen? Begin simpel: Public / Internal / Confidential / Restricted. Verzin geen vijf eigen niveaus.

Week 4 — Cadans en bewijs. Beslis en documenteer hoe vaak het register wordt beoordeeld (jaarlijks minimaal, kwartaal is beter), wie de review uitvoert, en hoe de review wordt vastgelegd. Voer de eerste nu uit. Bouw de offboarding-checklist die "alle assets in eigendom overdragen of teruggeven" bevat en koppel hem aan je HR-proces. Maak een snapshot van het register en bewaar die ergens onveranderlijks.

Als je week 4 haalt met alle zes auditpunten aantoonbaar gedekt, slaag je voor het asset-management-deel van de audit. Je hebt dan ook de spier opgebouwd om te blijven slagen — dat is het lastigere stuk.

Eerlijke scope-opmerking

ISO 27001 is groter dan asset management. Een compleet ISMS dekt risico-analyse, controleselectie, beleidsbeheer, interne audit, management review, incidentrespons, leveranciersbeveiliging en meer. Begin je vanaf nul, dan is een asset register één van pakweg twintig werkstromen.

OwndUp doet er één goed. Als asset-eigenaarschap en levenscyclus jouw specifieke leemte is — en voor de meeste teams die voor het eerst certificeren is dat zo — is dit de snelste fix die je maakt. Is je leemte het hele ISMS, dan heb je een volledig ISMS-platform nodig, en past OwndUp ernaast in plaats van in plaats van.

Praktische lessen

  • De audit zakt op verantwoordelijkheid, niet op techniek. Auditors controleren of benoemde personen eigenaarschap hebben geaccepteerd en hebben beoordeeld — niet of je een slimme asset-discovery-agent hebt.
  • Spreadsheets zijn niet verboden, ze falen voorspelbaar op zes auditpunten. Geen audit trail, geen acceptatieregistratie, geen reviewbewijs, verouderde data, geen offboarding-spoor, inconsistente classificatie.
  • De zes checks zijn: compleet, eigenaar, geaccepteerd, beoordeeld, teruggegeven-bij-vertrek, geclassificeerd. Beoordeel jezelf eerlijk voordat de auditor het doet.
  • 30 dagen is genoeg voor een klein of middelgroot team om het register te fixen, mits je de volgorde aanhoudt: discovery, eigenaarschap, acceptatie + classificatie, cadans.
  • OwndUp dekt A.5.9–A.5.11, niet het hele ISMS. Combineer met een volledig ISMS-tool als je scope breder is.

Is jouw leemte specifiek het asset register, start dan een gratis proefperiode — je kunt je huidige spreadsheet importeren, eigenaren toewijzen en binnen een middag een acceptatiespoor in gang zetten.

Andere berichten

mrt 28, 2026 8 min leestijd

NIS2 Artikel 21 Maatregelen: Asset Management in de Praktijk

NIS2 Artikel 21 maatregelen vereisen asset management met eigenaarschap, audit trail en toegangscontrole. Praktische gids voor het mkb om NIS2-klaar te zijn.

NIS2 artikel 21 maatregelenNIS2 asset managementcompliance
jun 3, 2026 7 min leestijd

Van kantoorsleutels tot softwarelicenties: alles wat je in OwndUp bijhoudt

Houd kantoorsleutels, softwarelicenties, laptops, leasecontracten en contracten bij in één register, met één eigenaar per stuk en een waarschuwing voordat iets automatisch verlengt.

assetbeheersoftwarelicentiebeheerkantoorsleutels bijhouden
mei 27, 2026 7 min leestijd

SaaS-verlengingen managen: het playbook voor operations leads die verdrinken in abonnementen

Een praktisch playbook voor SaaS-verlengingen. Stop met verlengingen ontdekken op de factuur, beslis erover op een kalender. Inclusief weekritme, beslisregels en de vier statussen die elke verlenging zou moeten hebben.

SaaS-verlengingenleveranciersbeheerIT-operations

Klaar om grip te krijgen op eigenaarschap?

Start je gratis proefperiode van 30 dagen. Geen creditcard nodig.

Start je gratis proefperiode