Eerlijk gezegd: de meeste ISO 27001-trajecten stranden niet op de inhoud.
Ze stranden op de administratie.

Een risicoregister in Excel, een behandelingsplan in een ander bestand, statusupdates die via e-mail worden rondgestuurd.
Na een jaar weet niemand meer welke versie geldt en bij een audit kost het meer tijd om de documentatie op orde te krijgen dan de audit zelf.

We zien het regelmatig. En het is begrijpelijk. Excel is vertrouwd, laagdrempelig en kost niets.
Maar ISO 27001 is geen eenmalig project, het is een cyclus van beoordelen, bijsturen en aantonen. Daar is een statisch document gewoon niet voor gebouwd.
Wat het verschil maakt is niet de tool zelf, maar de structuur erachter: risico's en maatregelen op één plek, wijzigingen met context vastgelegd, en een audit-trail die er gewoon al is als u hem nodig heeft.

Minder zoeken. Meer kunnen aantonen.