Ga naar inhoud
ISMS YipYip

Gap-analyse ISMS

Eerlijk overzicht van waar we staan na de volledige beoordeling van alle 93 controls.

Huidige stand

Alle 93 Annex A controls zijn beoordeeld en beschreven met YipYip-specifieke content:

  • 74 implemented (80%) — operationeel en beschreven
  • 19 partial (20%) — werkt deels, verbetering nodig
  • 0 planned (0%) — geen onbeschreven controls meer

Gaps die actie vereisen

HOOG — Blokkeren certificering

1. IB-beleid nog niet ondertekend en gecommuniceerd

Het beleid is herschreven (januari 2026) en dekt alle ISO 27001 Clausule 5.2 eisen. Maar:

  • Nog niet formeel ondertekend door directie (Tim Pelgrim & Tim Nooteboom)
  • Nog niet aantoonbaar gecommuniceerd aan alle medewerkers

Actie: Ondertekenen, communiceren via e-mail of teamoverleg, getekende kennisname bewaren. Controls: 5.01 (partial), beleid (02-leiderschap/5.2-beleid.md)

2. Geen actieve security monitoring (SIEM)

Logs worden gegenereerd (CloudTrail, Cloud Audit Logs, applicatielogs) maar niet actief gemonitord op beveiligingsincidenten. Bij een aanval of ongeautoriseerde toegang wordt dit pas ontdekt als iemand er toevallig op stuit.

Actie: Minimaal periodieke log review instellen. Optioneel: lightweight SIEM of alerting op verdachte patronen. Controls: 8.16 (partial)

3. Incident response ongetest

Het incidentproces is vastgelegd en medewerkers weten ervan, maar er is nooit een echt incident geweest. De auditor verwacht minimaal een tabletop exercise.

Actie: Tabletop exercise plannen en uitvoeren. Controls: 5.24 (partial), 5.25-5.28 (gaps vermeld)

MIDDEN — Verbeteren voor certificering

4. Geen penetratietests of structurele security testing

Dependabot en CI/CD scanning dekken dependencies, maar er worden geen penetratietests, infrastructure scans of OWASP ASVS assessments uitgevoerd.

Actie: Jaarlijkse pentest regelen (kan extern). Eventueel OWASP ZAP of vergelijkbaar als laagdrempelig startpunt. Controls: 8.08 (partial), 8.29 (partial)

5. Geen centrale identity provider

Elk systeem heeft eigen accounts. Geen SSO, geen centraal overzicht. Offboarding werkt alleen dankzij de checklist.

Actie: Google Workspace als IdP evalueren (SAML/OIDC) of bewust accepteren en checklist als sluitend borgen. Controls: 5.16, 5.17 (implemented maar met impliciete IdP-gap)

6. Continuïteitsplan niet getest

Er is een formeel plan met RTO/RPO, maar het is nooit getest (geen failover-test, restore-test of tabletop).

Actie: Restore-test voor backups plannen. Tabletop exercise voor continuïteit. Controls: 5.30 (partial), 8.13 (partial — backup retentie en testschema)

7. Configuratiebeheer niet volledig als code

Infrastructuur wordt deels via IaC beheerd, deels handmatig in cloud-consoles. Geen formele configuration baseline.

Actie: Inventariseren welke configuratie nog handmatig is. Prioriteren welke naar IaC moet. Controls: 8.09 (partial)

8. Sleutelrotatie en secret management inconsistent

Encryptie is op orde (VPN, SSL/TLS, at rest), maar er zijn geen formele sleutelrotatieschema’s en secret management is niet overal consistent.

Actie: Secret management standaardiseren (1Password + cloud secret managers). Rotatieschema’s afspreken. Controls: 8.24 (partial)

9. Operationele runbooks ontbreken

Veel operationele kennis zit in hoofden van medewerkers. Bij uitval van sleutelpersonen (bus factor) kan continuïteit in gevaar komen.

Actie: Runbooks schrijven voor: deployment, backup/restore, failover, incident response stappen. Controls: 5.37 (partial)

10. Open-source licentie-compliance ontbreekt

Er is geen proces om open-source bibliotheken en hun licenties systematisch te inventariseren. Geen SBOM.

Actie: SBOM-generatie opnemen in CI/CD pipeline. Licentie-check als stap toevoegen. Controls: 5.32 (partial)

LAAG — Verbeterpunten

11. Geen endpoint protection (EDR)

Laptops draaien op macOS XProtect, geen aanvullende EDR-software. Voor een klein bedrijf is dit acceptabel maar niet optimaal.

Actie: Evalueren of EDR (bijv. CrowdStrike, SentinelOne) proportioneel is voor YipYip. Controls: 8.07 (partial)

12. Architectuurprincipes niet gedocumenteerd

Security by design en OWASP worden informeel gehanteerd, maar er is geen overkoepelend architectuurbeleid.

Actie: Kernprincipes vastleggen in een kort document (max 1 A4). Controls: 8.27 (partial)

13. Contactgegevens autoriteiten niet formeel vastgelegd

Welke autoriteiten bij welk type incident moeten worden gecontacteerd (AP, NCSC, politie) is bekend maar niet gedocumenteerd.

Actie: Contactlijst opstellen met autoriteiten en hun rol. Controls: 5.05 (partial)

14. Classificatie en labelling niet consequent

Classificatieschema bestaat maar wordt niet overal consequent toegepast of gelabeld.

Actie: Classificatie opnemen in awareness-training. Labelling-richtlijnen vereenvoudigen. Controls: 5.12, 5.13 (partial)

15. Niet alle leveranciers formeel beoordeeld

Leveranciersbeheer is operationeel, maar niet alle leveranciers zijn formeel beoordeeld op informatiebeveiliging.

Actie: Inhaalslag op formele leveranciersbeoordelingen (start met hoog-risico leveranciers). Controls: 5.19 (partial)

16. Fysieke monitoring beperkt

Bold digitale sloten registreren toegang, maar er is geen actieve monitoring, alerting of camerabewaking.

Actie: Accepteren als proportioneel (geen servers op kantoor, cloud-based) of overwegen alerting op ongebruikelijke tijden. Controls: 7.04 (partial)

Opgelost sinds vorige analyse

  • IB-beleid verouderd → Herschreven (januari 2026)
  • Fysieke beveiliging klopt niet → Volledig herschreven voor huidig kantoor (Bold digitale sloten)
  • 69 planned controls → Alle 93 controls beschreven met YipYip-specifieke content
  • 24 ongevalideerde implemented controls → Alle controls interactief gevalideerd
  • LLM-template documenten → Alle controls herschreven in menselijke taal

Waar het goed zit

  • Development lifecycle: PR + verplichte review, CI/CD, gescheiden omgevingen, nooit echte data in test
  • Productie-toegang: Alleen DevOps via IAM, geen direct SSH, MFA verplicht
  • Leveranciersbeheer: Actueel overzicht, verwerkersovereenkomsten, periodieke beoordeling
  • Incident response: Vastgelegd proces, medewerkers weten het (nog te testen)
  • Awareness: Jaarlijkse training + doorlopend in overleggen
  • Geheimhouding: In arbeidscontract
  • Remote werken: VPN (WireGuard) + bedrijfslaptops + clear desk
  • Classificatie: Formeel schema, wordt nageleefd
  • Offboarding: Checklist met alle systemen
  • Secrets management: 1Password + cloud secret managers
  • Fysieke beveiliging: Bold digitale sloten, afgesloten kast, geen servers op kantoor
  • Privacy: AVG-compliance, verwerkingsregister, verwerkersovereenkomsten, privacy by design
  • Logging: CloudTrail, Cloud Audit Logs, applicatielogs actief

Aanbevolen prioriteit

  1. IB-beleid ondertekenen — kost 10 minuten, auditor checkt het eerst
  2. Tabletop exercise plannen — incident response + continuïteit testen
  3. Pentest regelen — extern, jaarlijks
  4. Log review instellen — periodiek, hoeft geen SIEM te zijn
  5. Runbooks schrijven — start met deployment en backup/restore
  6. IdP-beslissing nemen — SSO of bewust accepteren