{"id":36619,"date":"2026-06-26T07:48:40","date_gmt":"2026-06-26T05:48:40","guid":{"rendered":"https:\/\/sunbytes.io\/?p=36619"},"modified":"2026-06-26T07:48:41","modified_gmt":"2026-06-26T05:48:41","slug":"iso-27001-devsecops","status":"publish","type":"post","link":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/","title":{"rendered":"ISO 27001 DevSecOps: secure development controls koppelen aan uw pipeline"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_62 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title \" >In this post<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #0d023e;color:#0d023e\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #0d023e;color:#0d023e\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#TLDR\" title=\"TL;DR\">TL;DR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#Wat_vraagt_ISO_27001_van_software_delivery\" title=\"Wat vraagt ISO 27001 van software delivery?\">Wat vraagt ISO 27001 van software delivery?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#ISO-controls_koppelen_aan_een_DevSecOps-pipeline\" title=\"ISO-controls koppelen aan een DevSecOps-pipeline\">ISO-controls koppelen aan een DevSecOps-pipeline<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#Wat_vraagt_ISO_27001_van_software_delivery-2\" title=\"Wat vraagt ISO 27001 van software delivery\">Wat vraagt ISO 27001 van software delivery<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#Evidence_verzamelen_zonder_delivery_te_vertragen\" title=\"Evidence verzamelen zonder delivery te vertragen\">Evidence verzamelen zonder delivery te vertragen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#Veelvoorkomende_ISO_27001_DevSecOps-fouten\" title=\"Veelvoorkomende ISO 27001 DevSecOps-fouten\">Veelvoorkomende ISO 27001 DevSecOps-fouten<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#Hoe_Sunbytes_ISO-aware_DevSecOps_delivery_ondersteunt\" title=\"Hoe Sunbytes ISO-aware DevSecOps delivery ondersteunt\">Hoe Sunbytes ISO-aware DevSecOps delivery ondersteunt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#FAQs\" title=\"FAQs\">FAQs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#Laten_we_beginnen_met_Sunbytes\" title=\"Laten we beginnen met Sunbytes\">Laten we beginnen met Sunbytes<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\" eplus-wrapper\">ISO 27001 certificeert het information security management system rondom de manier waarop uw bedrijf informatierisico\u2019s beheerst. Voor een softwareteam is de praktische vraag specifieker: kan uw deliveryproces aantonen dat secure development controls werken tijdens design, coding, review, release en remediation?<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Daarom is DevSecOps belangrijk. Het vertaalt de secure development-verwachtingen van ISO 27001 naar CI\/CD-controls, pull request-records, vulnerability tickets, toegangsreviews, deployment logs en goedkeuringen voor uitzonderingen. De auditwaarde zit niet alleen in de scanneroutput. De auditwaarde zit in de gedocumenteerde keten van risico naar control, van control naar eigenaar en van finding naar remediation.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"TLDR\"><\/span>TL;DR<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-b74f19\">\n<li class=\" eplus-wrapper\">ISO 27001 DevSecOps betekent dat u secure development controls in uw pipeline verwerkt, zodat engineering auditklaar bewijs kan leveren zonder delivery stil te zetten.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Voor Nederlandse en EU SaaS-teams bestaat bruikbaar bewijs meestal uit pull request-reviews, SAST- en SCA-resultaten, toegangsreviewrecords, goedkeuringen voor uitzonderingen, deployment logs en remediation tickets met eigenaren en datums.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Gebruik deze aanpak wanneer uw team zich voorbereidt op ISO 27001-certificering, hercertificering, security questionnaires van klanten of een interne audit. Let op \u00e9\u00e9n veelvoorkomende fout: scanresultaten behandelen als bewijs van compliance zonder te laten zien wie de finding heeft beoordeeld, wat is opgelost en wanneer de control opnieuw is gecontroleerd.<\/li>\n<\/ul>\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_vraagt_ISO_27001_van_software_delivery\"><\/span>Wat vraagt ISO 27001 van software delivery?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">ISO 27001 vraagt om een beheerd beveiligingssysteem, niet om een eenmalig securityrapport. In software delivery betekent dit dat uw ISMS moet laten zien hoe securityrisico\u2019s worden ge\u00efdentificeerd, behandeld, toegewezen, beoordeeld en verbeterd binnen de delivery lifecycle.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/www.iso.org\/standard\/27001\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">ISO\/IEC 27001:2022<\/a> is een standaard voor een information security management system. De standaard vraagt organisaties om securitydoelen te defini\u00ebren, risico\u2019s te beoordelen, controls te kiezen, verantwoordelijkheden te documenteren en het systeem in de tijd te verbeteren. ISO\/IEC 27002:2022 ondersteunt dit werk met implementatierichtlijnen voor controls.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor engineeringteams liggen de relevante controlgebieden meestal rond secure development, toegangsbeheer, change management, vulnerability handling, logging, monitoring en leveranciers of outsourced development. De exacte scope hangt af van uw Statement of Applicability, uw risicoanalyse en wat uw auditor verwacht te zien.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De meest praktische manier om dit naar software delivery te vertalen, is door drie lagen te scheiden.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-eb70c5\">\n<li class=\" eplus-wrapper\">De eerste laag is de ISMS-laag. Die definieert beleid en verantwoordelijkheid. Dit omvat risicoanalyse, de Statement of Applicability, secure development policy, toegangsbeleid, change policy en securityvereisten voor leveranciers.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">De tweede laag is de deliverylaag. Die laat zien hoe dit beleid binnen engineering werkt. Dit omvat pull request-reviewregels, branch protection, CI\/CD-gates, dependency checks, deployment approvals en vulnerability triage.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">De derde laag is de bewijslaag. Die bewijst dat de controls hebben gewerkt. Dit omvat reviewlogs, tickethistorie, scanrapporten, aftekeningen van toegangsreviews, uitzonderingsrecords en release notes.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Als uw team eerst de certificeringsroute nodig heeft voordat u de deliverymapping maakt, gebruik dan eerst de <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/iso-27001-certificeringsproces-voor-mkb\/\" target=\"_blank\" rel=\"noreferrer noopener\">ISO 27001 Certificeringsproces voor MKB<\/a><\/strong>. Keer daarna terug naar deze guide om secure development controls om te zetten naar engineeringbewijs.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">ISO 27001-bewijs moet vier auditvragen beantwoorden:<\/p>\n\n\n\n<figure class=\" wp-block-image size-large eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/Wat-vraagt-ISO-27001-van-software-delivery-1024x576.webp\" alt=\"Wat vraagt ISO 27001 van software delivery\" class=\"wp-image-36643\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/Wat-vraagt-ISO-27001-van-software-delivery-1024x576.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/Wat-vraagt-ISO-27001-van-software-delivery-300x169.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/Wat-vraagt-ISO-27001-van-software-delivery-768x432.webp 768w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/Wat-vraagt-ISO-27001-van-software-delivery-1536x864.webp 1536w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/Wat-vraagt-ISO-27001-van-software-delivery.webp 1672w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Wat vraagt ISO 27001 van software delivery<\/figcaption><\/figure>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Auditvraag<\/th><th>Vertaling naar engineering<\/th><th>Bewijs om te bewaren<\/th><\/tr><\/thead><tbody><tr><td>Welke control is van toepassing?<\/td><td>Welke secure development- of pipeline control hoort bij dit risico?<\/td><td>Statement of Applicability, controlmapping, secure development policy<\/td><\/tr><tr><td>Wie is eigenaar?<\/td><td>Welke rol reviewt, keurt goed, lost op of accepteert het risico?<\/td><td>RACI, ticketeigenaar, goedkeuringsrecord<\/td><\/tr><tr><td>Hoe vaak draait de control?<\/td><td>Per pull request, per release, wekelijks, maandelijks of per kwartaal?<\/td><td>CI\/CD-logs, reviewrecords, toegangsreviewkalender<\/td><\/tr><tr><td>Wat is er na review gewijzigd?<\/td><td>Is het risico opgelost, geaccepteerd, uitgesteld of ge\u00ebscaleerd?<\/td><td>Remediation ticket, goedkeuring van uitzondering, retestbewijs<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">ISO 27001-bewijs moet vier auditvragen beantwoorden.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">De control is pas auditklaar wanneer alle vier de vragen een gedocumenteerd antwoord hebben.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"ISO-controls_koppelen_aan_een_DevSecOps-pipeline\"><\/span>ISO-controls koppelen aan een DevSecOps-pipeline<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Koppel ISO-controls aan DevSecOps door elk controlgebied toe te wijzen aan \u00e9\u00e9n pipelinefase, \u00e9\u00e9n bewijsstuk, \u00e9\u00e9n eigenaar en \u00e9\u00e9n reviewfrequentie. Een control zonder eigenaar wordt een beleidszin. Een control met een terugkerend auditspoor wordt auditbaar.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor een Nederlands of EU SaaS-bedrijf begint de bruikbare mapping meestal met secure development controls onder ISO\/IEC 27001:2022 Annex A. Daarna koppelt u die controls aan engineeringworkflows.<\/p>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>ISO 27001-controlgebied<\/th><th>Pipeline control<\/th><th>Bewijsstuk<\/th><th>Eigenaar<\/th><th>Frequentie<\/th><\/tr><\/thead><tbody><tr><td>Secure development lifecycle<\/td><td>Securityvereisten toegevoegd voordat development start<\/td><td>Security acceptance criteria, threat notes, architecture decision record<\/td><td>Product owner, Security Lead, Engineering Manager<\/td><td>Per feature of epic<\/td><\/tr><tr><td>Application security requirements<\/td><td>Securityvereisten opgenomen in backlog en testcases<\/td><td>Securitycriteria in user stories, QA-testrecord<\/td><td>Product owner, QA Lead<\/td><td>Per sprint<\/td><\/tr><tr><td>Secure system architecture and engineering principles<\/td><td>Architectuurreview v\u00f3\u00f3r high-risk changes<\/td><td>Architecture decision record, reviewcomments, risiconotes<\/td><td>Tech Lead, Security Lead<\/td><td>Per grote wijziging<\/td><\/tr><tr><td>Secure coding<\/td><td>Peer review, branch protection, coding standards<\/td><td>Pull request-review, merge approval, branch rule-configuratie<\/td><td>Engineering Manager, Tech Lead<\/td><td>Per pull request<\/td><\/tr><tr><td>Security testing in development and acceptance<\/td><td>SAST, SCA, DAST, secret scanning, manual review waar nodig<\/td><td>Scanrapporten, triagenotes, retestresultaten<\/td><td>DevSecOps Engineer, QA Lead<\/td><td>Per build of release<\/td><\/tr><tr><td>Management of technical vulnerabilities<\/td><td>Triage en remediation SLA op basis van severity<\/td><td>Vulnerability tickets, fixdatums, risk acceptance records<\/td><td>Security Lead, Engineering Manager<\/td><td>Wekelijks of per release<\/td><\/tr><tr><td>Access control and access rights<\/td><td>Least-privilege toegang voor code, cloud, CI\/CD en productie<\/td><td>Toegangsmatrix, goedkeuringstickets, kwartaalreview met aftekening<\/td><td>IT Admin, Security Lead<\/td><td>Per kwartaal<\/td><\/tr><tr><td>Change management<\/td><td>Release approval en rollbackprocedure<\/td><td>Deployment log, change ticket, release approval<\/td><td>Release Manager, Engineering Manager<\/td><td>Per release<\/td><\/tr><tr><td>Logging and monitoring<\/td><td>Security events gelogd voor build-, deploy- en productiesystemen<\/td><td>Logretentiebeleid, monitoringalerts, incidentticket<\/td><td>DevOps Lead, Security Lead<\/td><td>Continu, maandelijks gereviewd<\/td><\/tr><tr><td>Outsourced development<\/td><td>Leverancierscontrols voor externe engineeringondersteuning<\/td><td>DPA, toegangsscope, onboardingrecord, offboardingrecord<\/td><td>Compliance Manager, Vendor Owner<\/td><td>Per leverancier en per kwartaal<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Koppel ISO-controls aan een DevSecOps-pipeline.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">De mapping moet geen statische spreadsheet zijn die pas in de auditweek wordt bijgewerkt. De mapping moet verbonden zijn met bestaande werksystemen: Jira, Azure DevOps, GitHub, GitLab, Bitbucket, cloud IAM, CI\/CD-tooling en vulnerability management tools.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Bijvoorbeeld: bewijs voor secure coding moet uit pull requests en merge rules komen. Vulnerability-bewijs moet uit tickets en retestrecords komen. Bewijs voor toegangsbeheer moet uit toegangsreviews en goedkeuringslogs komen. Bewijs voor change management moet uit deployment records en release approvals komen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Hier verschilt ISO 27001 DevSecOps ook van een algemene DevSecOps pipeline guide, die uitlegt waar security thuishoort in CI\/CD. Dit artikel beantwoordt een smallere vraag: welk bewijs moet die pipeline produceren voor ISO 27001?<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een praktische mappingregel werkt hier goed: als de control geen bewijs kan produceren zonder handmatig zoekwerk, is deze nog niet ingebed in delivery.<\/p>\n\n\n\n<div class=\"eplus-wrapper wp-block-group has-background is-layout-flow wp-block-group-is-layout-flow\" style=\"border-left-color:#2822b0;border-left-width:4px;background-color:#f4f5ff;padding-top:14px;padding-right:18px;padding-bottom:14px;padding-left:18px\">\n<p class=\" eplus-wrapper\">Heeft u hulp nodig om ISO 27001 DevSecOps om te zetten naar een werkbaar deliveryplan? Sunbytes helpt uw team met control ownership, pipeline evidence mapping en een remediation path via onze cybersecurity service v\u00f3\u00f3r de volgende audit of klantreview.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Praat met Sunbytes over cybersecurity support \u2192<\/strong><\/a><\/p>\n<\/div>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_vraagt_ISO_27001_van_software_delivery-2\"><\/span>Wat vraagt ISO 27001 van software delivery<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Engineering moet bewijs bewaren dat de volledige controlcyclus laat zien: requirement, review, finding, besluit, fix en hercontrole. Een scannerreport op zichzelf toont alleen detectie. ISO 27001-bewijs moet governance en opvolging aantonen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het meest bruikbare auditbewijs ontstaat tijdens normaal deliverywerk. Wacht niet tot de auditvoorbereiding om dit te maken. Bouw het auditspoor in de workflow.<\/p>\n\n\n\n<figure class=\" wp-block-image size-large eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/auditspoor-in-de-workflow-1024x576.webp\" alt=\"auditspoor in de workflow\" class=\"wp-image-36647\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/auditspoor-in-de-workflow-1024x576.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/auditspoor-in-de-workflow-300x169.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/auditspoor-in-de-workflow-768x432.webp 768w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/auditspoor-in-de-workflow-1536x864.webp 1536w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/auditspoor-in-de-workflow.webp 1672w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">06 auditspoor in de workflow<\/figcaption><\/figure>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Pull request- en code review-bewijs<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Bewaar pull request-records die laten zien wie de wijziging heeft gereviewd, wat er is besproken, welke security checks zijn geslaagd en wie de merge heeft goedgekeurd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een bruikbaar pull request-record bevat:<\/p>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Bewijsveld<\/th><th>Wat het bewijst<\/th><\/tr><\/thead><tbody><tr><td>Reviewernaam en timestamp<\/td><td>De review vond plaats v\u00f3\u00f3r de merge<\/td><\/tr><tr><td>Required reviewer rule<\/td><td>Peer review wordt afgedwongen en is niet optioneel<\/td><\/tr><tr><td>Securitygerelateerde comments<\/td><td>Het team keek naar security-impact, niet alleen naar functionaliteit<\/td><\/tr><tr><td>Gekoppeld ticket of story<\/td><td>De wijziging is verbonden aan goedgekeurd werk<\/td><\/tr><tr><td>CI\/CD-statuschecks<\/td><td>Geautomatiseerde checks zijn geslaagd v\u00f3\u00f3r de merge<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Bewijsvelden voor pull request- en code review-bewijs.<\/figcaption><\/figure>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">SAST-, SCA-, secret scanning- en DAST-bewijs<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Bewaar scanresultaten, maar koppel ze aan triage en remediation. Het bewijs moet laten zien welke findings zijn geaccepteerd, opgelost of uitgesteld.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een finding zonder triage is ruis. Een finding met eigenaar, severity, deadline, fix commit en retestrecord wordt auditbewijs.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Gebruik severity thresholds voordat de audit begint. Bijvoorbeeld:<\/p>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Severity<\/th><th>Voorgestelde deliveryregel<\/th><\/tr><\/thead><tbody><tr><td>Critical<\/td><td>Blokkeer de release, tenzij er een gedocumenteerde risk acceptance is<\/td><\/tr><tr><td>High<\/td><td>Los op v\u00f3\u00f3r release of binnen de afgesproken sprint SLA<\/td><\/tr><tr><td>Medium<\/td><td>Voeg toe aan de remediation backlog met eigenaar en streefdatum<\/td><\/tr><tr><td>Low<\/td><td>Volg, bundel of accepteer op basis van risicocontext<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Voorbeeld van severity thresholds voor ISO 27001 DevSecOps-bewijs.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">De exacte thresholds moeten aansluiten op uw risicobereidheid, klantafspraken en verwachtingen van de auditor. Consistentie is hier de kern. Als de ene release wordt geblokkeerd door een high-severity dependency issue en een andere release hetzelfde issue zonder goedkeuring negeert, wordt het auditspoor zwak.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Uitzonderings- en risk acceptance records<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Niet elke finding blokkeert een release. Sommige risico\u2019s worden tijdelijk geaccepteerd omdat er een compensating control bestaat, het getroffen component niet internet-facing is of een zakelijke deadline door de juiste eigenaar is goedgekeurd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het uitzonderingsrecord moet vastleggen:<\/p>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Veld<\/th><th>Vereist detail<\/th><\/tr><\/thead><tbody><tr><td>Finding<\/td><td>Welk risico bestaat<\/td><\/tr><tr><td>Reden<\/td><td>Waarom de release kan doorgaan<\/td><\/tr><tr><td>Compensating control<\/td><td>Wat de blootstelling verlaagt<\/td><\/tr><tr><td>Eigenaar<\/td><td>Wie het risico accepteert<\/td><\/tr><tr><td>Vervaldatum<\/td><td>Wanneer de uitzondering opnieuw moet worden beoordeeld<\/td><\/tr><tr><td>Follow-up ticket<\/td><td>Wat het risico sluit<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Vereiste velden voor uitzonderings- en risk acceptance records.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Zonder vervaldatum wordt een uitzondering een permanente blinde vlek.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Toegangsreviewbewijs<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Toegangsreviews zijn belangrijk omdat DevSecOps-tooling vaak raakt aan source code, secrets, buildsystemen, productielogs en cloudinfrastructuur. Bewaar records voor code repositories, CI\/CD-platforms, cloudaccounts, productiesystemen, monitoringtools en vulnerability platforms.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een kwartaalreview van toegang is voor veel SaaS-teams een praktische cadence. De review moet laten zien wie toegang heeft, wat is gewijzigd sinds de vorige review, wie blijvende toegang heeft goedgekeurd en welke accounts zijn verwijderd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse en EU SaaS-teams die met externe engineers werken, moet toegangsbewijs ook onboarding en offboarding laten zien. De auditvraag is simpel: had elke persoon de juiste toegang, voor de juiste periode, met gedocumenteerde goedkeuring?<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Deployment- en change records<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Deployment logs moeten laten zien wat is gewijzigd, wie de release heeft goedgekeurd, welke checks zijn geslaagd en hoe het team indien nodig kon terugrollen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een release record moet het volgende verbinden:<\/p>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Release-element<\/th><th>Bewijs<\/th><\/tr><\/thead><tbody><tr><td>Change request<\/td><td>Ticket of releasescope<\/td><\/tr><tr><td>Goedkeuring<\/td><td>Aftekening door product-, engineering- of change owner<\/td><\/tr><tr><td>Security gate<\/td><td>CI\/CD-resultaten, scanthreshold, uitzonderingsrecord<\/td><\/tr><tr><td>Deployment<\/td><td>Timestamp, omgeving, versie, actor<\/td><\/tr><tr><td>Rollback<\/td><td>Rollbackplan of verwijzing naar vorige versie<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Bewijs voor deployment- en change records.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Als de release authenticatie, betalingen, verwerking van klantdata, encryptie of administratieve toegang wijzigt, voeg dan v\u00f3\u00f3r deployment een security review toe.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Voorbeeldstructuur voor een audit evidence folder<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">De praktische structuur kan eenvoudig zijn, zolang elke folder gekoppeld is aan een controlgebied en eigenaar.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voorbeeld:<\/p>\n\n\n\n<pre class=\" wp-block-preformatted eplus-wrapper\">ISO-27001-DevSecOps-Evidence\/\n01-secure-development-policy\/\n02-control-mapping-and-SoA\/\n03-architecture-and-threat-review\/\n04-code-review-records\/\n05-ci-cd-security-gates\/\n06-vulnerability-management\/\n07-risk-acceptance-and-exceptions\/\n08-access-reviews\/\n09-release-and-change-records\/\n10-supplier-and-outsourced-development\/\n11-audit-testing-and-follow-up\/<\/pre>\n\n\n\n<p class=\" eplus-wrapper\">De folderstructuur is niet de control. Het is de index waarmee uw team het bewijs voor controls snel kan vinden wanneer een auditor, buyer of interne reviewer erom vraagt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Als uw team mobiele of klantgerichte applicaties bouwt, kan het gerelateerde artikel over<strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-appontwikkeling\/\" target=\"_blank\" rel=\"noreferrer noopener\"> ISO 27001 en appontwikkeling<\/a><\/strong> de app-specifieke invalshoek ondersteunen, terwijl dit artikel gericht blijft op DevSecOps pipeline evidence.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Evidence_verzamelen_zonder_delivery_te_vertragen\"><\/span>Evidence verzamelen zonder delivery te vertragen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">De snelste manier om ISO 27001-bewijs te verzamelen, is stoppen met handmatig verzamelen. Bewijs moet worden aangemaakt door dezelfde systemen die code, builds, releases, toegang en tickets al beheren.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een SaaS-team moet geen handmatige compliancestap toevoegen aan elke sprint als het CI\/CD-platform, het ticketingsysteem en de repository het bewijs al bevatten. Het werk zit in het standaardiseren van naamgeving, eigenaarschap, thresholds en opslag.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Gebruik policy-as-code voor herhaalbare controls<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Policy-as-code zet controlregels om in herhaalbare checks. Voorbeelden zijn branch protection, verplichte reviewers, verplichte statuschecks, dependency thresholds, infrastructure policy checks en secret scanning.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het voordeel is consistentie. Een handmatig gereviewde checklist hangt af van wie die dag werkt. Een pipelineregel past dezelfde gate elke keer toe. Gebruik policy-as-code waar de regel duidelijk is:<\/p>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Controlbehoefte<\/th><th>Goede automatiseringsfit<\/th><\/tr><\/thead><tbody><tr><td>Verplichte code review<\/td><td>Branch protection<\/td><\/tr><tr><td>Dependency severity threshold<\/td><td>SCA-gate<\/td><\/tr><tr><td>Secret detection<\/td><td>Secret scanning<\/td><\/tr><tr><td>Infrastructure policy<\/td><td>IaC scanning<\/td><\/tr><tr><td>Deployment approval<\/td><td>Protected environments<\/td><\/tr><tr><td>Vervaldatum voor toegang<\/td><td>IAM-workflow of access management tool<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Voorbeelden van policy-as-code controls.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Behoud menselijke review voor beslissingen die context nodig hebben: risk acceptance, architectuurafwegingen, compensating controls en klantimpact.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Definieer release gates op basis van severity en systeemrisico<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Een release gate moet de paar risico\u2019s blokkeren die er het meest toe doen. Als elke scanfinding een release blokkeert, gaan teams om de control heen werken. Als niets een release blokkeert, heeft de control geen kracht.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een praktisch startpunt:<\/p>\n\n\n\n<figure class=\"is-style-stripes eplus-wrapper wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Situatie<\/th><th>Releasebesluit<\/th><\/tr><\/thead><tbody><tr><td>Critical vulnerability in internet-facing service<\/td><td>Blokkeer release, tenzij er een goedgekeurde risk acceptance is<\/td><\/tr><tr><td>High vulnerability in dependency met beschikbare fix<\/td><td>Los op v\u00f3\u00f3r release of documenteer een goedgekeurde uitzondering<\/td><\/tr><tr><td>Medium finding in interne tool<\/td><td>Volg in backlog met eigenaar en streefdatum<\/td><\/tr><tr><td>Low informational finding<\/td><td>Bundel en review maandelijks<\/td><\/tr><tr><td>Secret gevonden in repository<\/td><td>Blokkeer en roteer credential v\u00f3\u00f3r release<\/td><\/tr><tr><td>Ontbrekende reviewer op protected branch<\/td><td>Blokkeer merge<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Voorbeeld van release gates op basis van severity en systeemrisico.<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Review release gates na \u00e9\u00e9n of twee releasecycli. Als gates te veel low-risk werk blokkeren, pas dan thresholds aan. Als gates herhaalde high-risk uitzonderingen toelaten, los dan het eigenaarschap op.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Houd bewijs dicht bij het werk<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Bewijs moet dicht bij het systeem van record staan. Pull request-bewijs hoort in het codeplatform. Vulnerability-bewijs hoort in ticketing- en scanningtools. Toegangsbewijs hoort in IAM of toegangsreviewrecords. Releasebewijs hoort in deployment logs en change tickets.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De evidence folder moet naar die systemen linken in plaats van alles handmatig te dupliceren. Gedupliceerd bewijs zorgt voor afwijkingen. Gekoppeld bewijs houdt het auditspoor dichter bij het echte werk.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor teams die zich ook voorbereiden op Nederlandse NIS2-vereisten, kan sommige evidence zowel ISO 27001 als NIS2 readiness ondersteunen. De overlap is niet automatisch, maar dezelfde engineeringrecords helpen vaak bij vragen over security management, incident handling, toegangsbeheer en vulnerability management. Voor de Nederlandse regelgevingsinvalshoek, zie <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/devsecops-nis2-nederlandse-bedrijven\/\" target=\"_blank\" rel=\"noreferrer noopener\">DevSecOps and NIS2 for Dutch companies<\/a>.<\/p>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" width=\"1000\" height=\"667\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/ISO-27001-requirements-for-software-delivery.webp\" alt=\"ISO 27001 requirements for software delivery\" class=\"wp-image-36470\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/ISO-27001-requirements-for-software-delivery.webp 1000w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/ISO-27001-requirements-for-software-delivery-300x200.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/ISO-27001-requirements-for-software-delivery-768x512.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Veelvoorkomende_ISO_27001_DevSecOps-fouten\"><\/span>Veelvoorkomende ISO 27001 DevSecOps-fouten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">De meest voorkomende ISO 27001 DevSecOps-fout is activiteit verwarren met bewijs. Scans draaien, reviews houden of DevSecOps-tools gebruiken helpt een audit niet als de output niet is gedocumenteerd, toegewezen, gereviewd en gekoppeld aan risk treatment.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Fout 1: scanneroutput behandelen als compliancebewijs<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">SAST- of SCA-resultaten kunnen ISO 27001-bewijs ondersteunen, maar bewijzen op zichzelf geen compliance.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het ontbrekende deel is de beslisketen. Wie heeft de finding beoordeeld? Was deze exploitable? Is deze opgelost, geaccepteerd of uitgesteld? Welk retestbewijs laat sluiting zien?<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een bruikbaar scanrecord moet gekoppeld zijn aan een ticket, eigenaar, severity, besluit, streefdatum, fix commit en retestresultaat.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Fout 2: bewijs verspreiden over losse tools zonder index<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Engineeringbewijs bestaat vaak al, maar niemand kan het snel vinden. Pull requests staan in GitHub, issues in Jira, goedkeuringen in Slack, toegangsrecords in Google Workspace en deployment logs in de cloud console.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Die opzet faalt wanneer auditvoorbereiding een zoekopdracht wordt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Maak \u00e9\u00e9n evidence index met links naar de systemen van record. De index moet controlgebied, eigenaar, bewijslocatie, reviewfrequentie en laatste reviewdatum laten zien.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Fout 3: controls toewijzen aan tools in plaats van mensen<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Tools zijn geen eigenaar van controls. Mensen wel.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een SAST-tool kan een vulnerability detecteren. De tool kan niet beslissen of de finding een release blokkeert. Een CI\/CD-gate kan een threshold afdwingen. De gate kan geen risk exception goedkeuren. Een access management tool kan gebruikersrechten tonen. De tool kan niet uitleggen waarom een contractor zes weken na het einde van het project nog productietoegang heeft.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Elke control heeft een verantwoordelijke rol nodig: Security Lead, Engineering Manager, Tech Lead, Release Manager, Product Owner, IT Admin of Compliance Manager.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Fout 4: 2013-controllanguage gebruiken zonder mapping naar 2022<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Veel oudere artikelen en templates verwijzen nog naar ISO 27001:2013 Annex A.14 voor system acquisition, development and maintenance. Voor nieuw werk moet u uw taalgebruik koppelen aan ISO\/IEC 27001:2022 Annex A-controls en uw Statement of Applicability.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Als legacy documenten nog A.14 gebruiken, voeg dan een mapping note toe. Laat oude controllabels geen verwarring veroorzaken in auditbewijs, interne training of security questionnaires van klanten.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Fout 5: risk acceptance schrijven zonder vervaldatum<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Risk acceptance zonder vervaldatum wordt onbeheerd risico.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Elke uitzondering moet een eigenaar, reden, compensating control, vervaldatum en follow-up ticket hebben. Review uitzonderingen v\u00f3\u00f3r de volgende release of volgens de afgesproken cadence. Verlopen uitzonderingen moeten worden ge\u00ebscaleerd, gesloten of vernieuwd met gedocumenteerde goedkeuring.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Fout 6: compliance loskoppelen van engineering<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Als compliancebewijs buiten delivery staat, wordt het laat, incompleet en duur om te onderhouden. Het betere patroon is dat het deliverysysteem standaard bewijs produceert.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dat betekent dat repositoryregels, CI\/CD-gates, ticketworkflows, toegangsreviewkalenders en release approvals moeten aansluiten op de control map. Het auditspoor moet een bijproduct zijn van gecontroleerde delivery, geen rapportageproject aan het einde van het kwartaal.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_Sunbytes_ISO-aware_DevSecOps_delivery_ondersteunt\"><\/span>Hoe Sunbytes ISO-aware DevSecOps delivery ondersteunt<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes <\/a><\/strong>ondersteunt ISO-aware DevSecOps delivery door SaaS-teams te helpen secure development controls om te zetten naar werkende deliverypraktijken, auditsporen en remediation ownership. Het doel is niet om te claimen dat een klantproduct ISO-gecertificeerd wordt omdat Sunbytes gecertificeerd is. Het doel is om de klant te helpen het bewijs op te bouwen dat het eigen ISMS, de audit of de klantreview vraagt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Sunbytes is <strong><a href=\"https:\/\/sunbytes.io\/nl\/sunbytes-is-iso-27001-certified\/\" target=\"_blank\" rel=\"noreferrer noopener\">ISO 27001 gecertificeerd <\/a><\/strong>en werkt met deliverymodellen waarin security controls binnen echt engineeringwerk moeten functioneren: code review, CI\/CD, vulnerability handling, release approval, toegangsreview en auditdocumentatie.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse en EU SaaS-teams valt de praktische ondersteuning meestal in drie gebieden.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-debcd8\">\n<li class=\" eplus-wrapper\">Eerst helpt Sunbytes de control-to-delivery map defini\u00ebren. Dat betekent dat secure development-verwachtingen worden gekoppeld aan de pipelinefase, het bewijstype, de eigenaar en de reviewcadence.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Daarna helpt Sunbytes deliverygaps sluiten. Als het team <strong><a href=\"https:\/\/sunbytes.io\/nl\/tech-service\/dedicated-resources\/dedicated-team-ontwikkelaars\/\" target=\"_blank\" rel=\"noreferrer noopener\">DevSecOps-capaciteit<\/a><\/strong>, eigenaarschap voor security reviews of remediationcapaciteit mist, kan Sunbytes engineeringondersteuning toevoegen zonder de hiringcyclus opnieuw te starten.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Vervolgens helpt Sunbytes auditklaar bewijs voorbereiden. Dat omvat controlmapping, remediation records, ondersteuning bij toegangsreviews, delivery met DPA en auditsporen die security questionnaires en auditors kunnen inspecteren.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">De output moet concreet zijn: een gemapte controlset, bewijslocaties, benoemde eigenaren, remediationacties en een next-step plan voor gaps die niet in de huidige sprint kunnen worden opgelost.<\/p>\n\n\n\n<div class=\"eplus-wrapper wp-block-group has-background is-layout-flow wp-block-group-is-layout-flow\" style=\"border-left-color:#2822b0;border-left-width:4px;background-color:#f4f5ff;padding-top:14px;padding-right:18px;padding-bottom:14px;padding-left:18px\">\n<p class=\" eplus-wrapper\">Als uw volgende ISO 27001-audit, security questionnaire van een klant of interne review gaps in eigenaarschap of bewijs blootlegt, praat dan met Sunbytes via onze cybersecurity service om de controls te mappen die binnen uw DevSecOps-pipeline moeten werken.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Start met ISO-aware DevSecOps support \u2192<\/strong><\/a><\/p>\n\n\n\n<p class=\" eplus-wrapper\"><\/p>\n<\/div>\n\n\n<div\n    class=\"block-faq row justify-content-lg-center \"\n    id=\"block_b33f2484cb62cf3d7dbc850143e2331d\"\n  >\n    <div class=\"col-lg-10\">\n      <h2 class=\"block-faq__title\"><span class=\"ez-toc-section\" id=\"FAQs\"><\/span>FAQs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n      <div class=\"block-faq__content\" id=\"faq-accordion\">\n                              <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-0\" aria-expanded=\"false\" aria-controls=\"faq-0\">\n                Is ISO 27001 hetzelfde als DevSecOps?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-0\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">Nee. ISO 27001 is een standaard voor een information security management system. DevSecOps is een deliveryaanpak die security in software development en operations verwerkt.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Ze werken samen wanneer DevSecOps bewijs produceert voor het ISMS. Pull request-reviews, CI\/CD-security gates, toegangsreviews en remediation tickets kunnen bijvoorbeeld ISO 27001-bewijs voor secure development en risk treatment ondersteunen.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-1\" aria-expanded=\"false\" aria-controls=\"faq-1\">\n                Welke ISO 27001-controls raken software development?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-1\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">De meest relevante ISO\/IEC 27001:2022 Annex A-controlgebieden voor software delivery omvatten meestal secure development lifecycle, application security requirements, secure architecture, secure coding, security testing, vulnerability management, toegangsbeheer, change management, logging, monitoring en outsourced development.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">De exacte lijst hangt af van de Statement of Applicability en risicoanalyse van de organisatie. Kopieer geen generieke lijst naar het auditbestand zonder te bevestigen welke controls op uw systeem van toepassing zijn.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-2\" aria-expanded=\"false\" aria-controls=\"faq-2\">\n                Welk bewijs moet een DevSecOps-pipeline bewaren voor ISO 27001?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-2\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">Een DevSecOps-pipeline moet bewijs bewaren dat aantoont dat controls draaiden en findings zijn opgevolgd. Bruikbaar bewijs omvat pull request-reviews, SAST- en SCA-resultaten, DAST-rapporten waar relevant, secret scanning-records, deployment logs, change approvals, vulnerability tickets, goedkeuringen voor uitzonderingen, toegangsreviewrecords en retestbewijs.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Het bewijs moet eigenaar, datum, besluit, actie en sluiting tonen. Een scanresultaat zonder triage en remediationhistorie is incompleet bewijs.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-3\" aria-expanded=\"false\" aria-controls=\"faq-3\">\n                Kunnen SAST-resultaten ISO 27001-compliance bewijzen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-3\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">Nee. SAST-resultaten kunnen ISO 27001-bewijs ondersteunen, maar bewijzen op zichzelf geen compliance.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Sterker bewijs is de volledige keten: scanresultaat, triagebesluit, severity, toegewezen eigenaar, remediation ticket, fix commit, retestresultaat en goedkeuring van uitzondering als het risico is geaccepteerd. ISO 27001 kijkt naar het beheerde controlsysteem, niet naar het bestaan van een tool.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-4\" aria-expanded=\"false\" aria-controls=\"faq-4\">\n                Hoe vaak moeten teams DevSecOps-bewijs reviewen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-4\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">De reviewfrequentie moet passen bij het risiconiveau en de deliverycadence. Veel SaaS-teams reviewen critical en high vulnerabilities wekelijks of per release, toegangsrechten per kwartaal, uitzonderingen v\u00f3\u00f3r de vervaldatum en releasebewijs per deployment.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">De cadence moet gedocumenteerd zijn. Als de cadence niet is gedocumenteerd, kunnen auditors en klanten niet zien of de control consistent draait of alleen vlak v\u00f3\u00f3r reviewperiodes.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-5\" aria-expanded=\"false\" aria-controls=\"faq-5\">\n                Hoe helpt de ISO 27001-certificering van Sunbytes klanten?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-5\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">De <a href=\"https:\/\/sunbytes.io\/sunbytes-is-iso-27001-certified\/\" target=\"_blank\" rel=\"noopener\">ISO 27001-certificering<\/a> van Sunbytes laat zien dat Sunbytes onder een eigen information security management system werkt. Dit kan klantvertrouwen ondersteunen tijdens leveranciersbeoordeling en helpt deliverypraktijken te structureren rond gedocumenteerde security controls.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Het certificeert het product van de klant niet en vervangt het ISMS van de klant niet. De praktische waarde is dat Sunbytes binnen een ISO-aware deliverymodel kan werken en kan helpen het bewijs te produceren dat nodig is voor de eigen audit of security review van de klant.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-6\" aria-expanded=\"false\" aria-controls=\"faq-6\">\n                Helpt ISO 27001 DevSecOps-bewijs bij Nederlandse AVG- of GDPR-vragen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-6\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">Dat kan, maar de frameworks zijn niet hetzelfde. AVG is de Nederlandse naam die vaak wordt gebruikt voor GDPR, en <a href=\"https:\/\/gdpr-info.eu\/art-32-gdpr\/\" target=\"_blank\" rel=\"noopener\">GDPR Artikel 32<\/a> richt zich op security of processing voor persoonsgegevens.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">DevSecOps-bewijs kan GDPR- of AVG-discussies ondersteunen wanneer het toegangsbeheer, encryptiegerelateerd werk, vulnerability remediation, logging, incident handling of secure development rondom persoonsgegevens aantoont. Het bewijs moet nog steeds worden gekoppeld aan de specifieke GDPR-vraag die wordt gesteld.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-7\" aria-expanded=\"false\" aria-controls=\"faq-7\">\n                Hebben Nederlandse en EU SaaS-teams DevSecOps-tools nodig om aan ISO 27001 te voldoen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-7\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><span style=\"font-weight: 400;\">Tools helpen, maar tools zijn niet de control. Een SaaS-team kan SAST, SCA, secret scanning, DAST, IaC scanning, CI\/CD approvals en IAM-tooling gebruiken om bewijs te produceren, maar de audit heeft nog steeds eigenaren, regels, beslissingen en remediation records nodig.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Begin met de control map. Kies daarna tools die het bewijs produceren dat uw ISMS, auditor en security questionnaires van klanten nodig hebben.<\/span><\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                        <\/div>\n    <\/div>\n  <\/div>\n\n\n\n<div style=\"height:36px\" aria-hidden=\"true\" id=\"contact\" class=\"contact wp-block-spacer eplus-wrapper\"><\/div>\n\n\n<section\n    class=\"conversion-form \"\n    id=\"block_c6a4fd3d6ce6c36b826c9220f9fd35c3\"\n    style=\"background-image: url(https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/bg-conversion-form.jpg)\"\n  >\n    <div class=\"container\">\n      <div class=\"row justify-content-md-center\">\n        <div class=\"col-md-10 col-lg-8\">\n          <div class=\"conversion-form__inner\">\n            <div class=\"col-12 col-sm-10 offset-sm-1\">\n              <h2 class=\"conversion-form__title\"><span class=\"ez-toc-section\" id=\"Laten_we_beginnen_met_Sunbytes\"><\/span>Laten we beginnen met Sunbytes<span class=\"ez-toc-section-end\"><\/span><\/h2>\n                              <p>Laat ons weten welke teambehoeften u heeft, dan nemen wij meteen contact met u op.<\/p>\n                                            <script type=\"text\/javascript\">var gform;gform||(document.addEventListener(\"gform_main_scripts_loaded\",function(){gform.scriptsLoaded=!0}),window.addEventListener(\"DOMContentLoaded\",function(){gform.domLoaded=!0}),gform={domLoaded:!1,scriptsLoaded:!1,initializeOnLoaded:function(o){gform.domLoaded&&gform.scriptsLoaded?o():!gform.domLoaded&&gform.scriptsLoaded?window.addEventListener(\"DOMContentLoaded\",o):document.addEventListener(\"gform_main_scripts_loaded\",o)},hooks:{action:{},filter:{}},addAction:function(o,n,r,t){gform.addHook(\"action\",o,n,r,t)},addFilter:function(o,n,r,t){gform.addHook(\"filter\",o,n,r,t)},doAction:function(o){gform.doHook(\"action\",o,arguments)},applyFilters:function(o){return gform.doHook(\"filter\",o,arguments)},removeAction:function(o,n){gform.removeHook(\"action\",o,n)},removeFilter:function(o,n,r){gform.removeHook(\"filter\",o,n,r)},addHook:function(o,n,r,t,i){null==gform.hooks[o][n]&&(gform.hooks[o][n]=[]);var e=gform.hooks[o][n];null==i&&(i=n+\"_\"+e.length),gform.hooks[o][n].push({tag:i,callable:r,priority:t=null==t?10:t})},doHook:function(n,o,r){var t;if(r=Array.prototype.slice.call(r,1),null!=gform.hooks[n][o]&&((o=gform.hooks[n][o]).sort(function(o,n){return o.priority-n.priority}),o.forEach(function(o){\"function\"!=typeof(t=o.callable)&&(t=window[t]),\"action\"==n?t.apply(null,r):r[0]=t.apply(null,r)})),\"filter\"==n)return r[0]},removeHook:function(o,n,t,i){var r;null!=gform.hooks[o][n]&&(r=(r=gform.hooks[o][n]).filter(function(o,n,r){return!!(null!=i&&i!=o.tag||null!=t&&t!=o.priority)}),gform.hooks[o][n]=r)}});<\/script>\n                <div class='gf_browser_gecko gform_wrapper gravity-theme gform-theme--no-framework' data-form-theme='gravity-theme' data-form-index='0' id='gform_wrapper_2' ><div id='gf_2' class='gform_anchor' tabindex='-1'><\/div><form method='post' enctype='multipart\/form-data' target='gform_ajax_frame_2' id='gform_2'  action='\/nl\/wp-json\/wp\/v2\/posts\/36619#gf_2' data-formid='2' novalidate> \r\n <input type='hidden' class='gforms-pum' value='{\"closepopup\":false,\"closedelay\":0,\"openpopup\":false,\"openpopup_id\":0}' \/>\n                        <div class='gform-body gform_body'><div id='gform_fields_2' class='gform_fields top_label form_sublabel_below description_below'><fieldset id=\"field_2_11\" class=\"gfield gfield--type-name gfield--input-type-name gfield--width-full gfield_contains_required field_sublabel_hidden_label gfield--no-description field_description_above hidden_label gfield_visibility_visible\"  data-js-reload=\"field_2_11\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >Name<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_complex ginput_container ginput_container--name no_prefix has_first_name no_middle_name has_last_name no_suffix gf_name_has_2 ginput_container_name gform-grid-row' id='input_2_11'>\n                            \n                            <span id='input_2_11_3_container' class='name_first gform-grid-col gform-grid-col--size-auto' >\n                                                    <input type='text' name='input_11.3' id='input_2_11_3' value=''   aria-required='true'   placeholder='Your First Name'  \/>\n                                                    <label for='input_2_11_3' class='gform-field-label gform-field-label--type-sub hidden_sub_label screen-reader-text'>Voornaam<\/label>\n                                                <\/span>\n                            \n                            <span id='input_2_11_6_container' class='name_last gform-grid-col gform-grid-col--size-auto' >\n                                                    <input type='text' name='input_11.6' id='input_2_11_6' value=''   aria-required='true'   placeholder='Your Last Name'  \/>\n                                                    <label for='input_2_11_6' class='gform-field-label gform-field-label--type-sub hidden_sub_label screen-reader-text'>Achternaam<\/label>\n                                                <\/span>\n                            \n                        <\/div><\/fieldset><div id=\"field_2_2\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_2_2\" ><label class='gfield_label gform-field-label' for='input_2_2'>Company<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_2' id='input_2_2' type='text' value='' class='large'    placeholder='Organization' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_2_3\" class=\"gfield gfield--type-email gfield--input-type-email hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_2_3\" ><label class='gfield_label gform-field-label' for='input_2_3'>Email<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_email'>\n                            <input name='input_3' id='input_2_3' type='email' value='' class='large'   placeholder='Email Address' aria-required=\"true\" aria-invalid=\"false\"  \/>\n                        <\/div><\/div><div id=\"field_2_6\" class=\"gfield gfield--type-select gfield--input-type-select hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_2_6\" ><label class='gfield_label gform-field-label' for='input_2_6'>How can we help you<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_6' id='input_2_6' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>How can we help you?<\/option><option value='Custom Software development' >Custom Software development<\/option><option value='Dedicated Tech services' >Dedicated Tech services<\/option><option value='HR services (Vietnam)' >HR services (Vietnam)<\/option><option value='Cybersecurity services' >Cybersecurity services<\/option><option value='Others' >Others<\/option><\/select><\/div><\/div><div id=\"field_2_18\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_2_18\" ><label class='gfield_label gform-field-label' for='input_2_18'>How did you hear about us?<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_18' id='input_2_18' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>How did you hear about us?<\/option><option value='LinkedIn' >LinkedIn<\/option><option value='Clutch' >Clutch<\/option><option value='Newsletter' >Newsletter<\/option><option value='Search engine (Google, Bing, Yahoo,...)' >Search engine (Google, Bing, Yahoo,&#8230;)<\/option><option value='Email' >Email<\/option><option value='Referral' >Referral<\/option><option value='Others' >Others<\/option><\/select><\/div><\/div><div id=\"field_2_10\" class=\"gfield gfield--type-textarea gfield--input-type-textarea gfield--width-full field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_2_10\" ><label class='gfield_label gform-field-label' for='input_2_10'>Message<\/label><div class='ginput_container ginput_container_textarea'><textarea name='input_10' id='input_2_10' class='textarea large'    placeholder='Please give us more details about your request.'  aria-invalid=\"false\"   rows='10' cols='50'><\/textarea><\/div><\/div><fieldset id=\"field_2_14\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox gfield--width-full hidden_label contact-form__agree mb-0 gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_2_14\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >untitled<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_2_14'><div class='gchoice gchoice_2_14_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_14.1' type='checkbox'  value='I allow Sunbytes to contact me via email and phone'  id='choice_2_14_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_2_14_1' id='label_2_14_1' class='gform-field-label gform-field-label--type-inline'>I allow Sunbytes to contact me via email and phone<\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><fieldset id=\"field_2_16\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox gfield--width-full hidden_label contact-form__agree gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_2_16\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >Untitled<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_2_16'><div class='gchoice gchoice_2_16_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_16.1' type='checkbox'  value='I agree to the &lt;a href=&quot;https:\/\/sunbytes.io\/general-terms-and-conditions\/&quot;&gt;general terms &amp; conditions&lt;\/a&gt;'  id='choice_2_16_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_2_16_1' id='label_2_16_1' class='gform-field-label gform-field-label--type-inline'>I agree to the <a href=\"https:\/\/sunbytes.io\/general-terms-and-conditions\/\">general terms &amp; conditions<\/a><\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><div id=\"field_2_17\" class=\"gfield gfield--type-captcha gfield--input-type-captcha gfield--width-full d-none field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_2_17\" ><label class='gfield_label gform-field-label' for='input_2_17'>Captcha<\/label><div id='input_2_17' class='ginput_container ginput_recaptcha' data-sitekey='6LeTwBcdAAAAAKDurfTYCHGQQNGUBiDURxfjNI3V'  data-theme='light' data-tabindex='-1' data-size='invisible' data-badge='bottomright'><\/div><\/div><div id=\"field_2_19\" class=\"gfield gfield--type-honeypot gform_validation_container field_sublabel_below gfield--has-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_2_19\" ><label class='gfield_label gform-field-label' for='input_2_19'>Name<\/label><div class='ginput_container'><input name='input_19' id='input_2_19' type='text' value='' autocomplete='new-password'\/><\/div><div class='gfield_description' id='gfield_description_2_19'>Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.<\/div><\/div><\/div><\/div>\n        <div class='gform_footer top_label'> <input type='submit' id='gform_submit_button_2' class='gform_button button' value='Send it!'  onclick='if(window[\"gf_submitting_2\"]){return false;}  if( !jQuery(\"#gform_2\")[0].checkValidity || jQuery(\"#gform_2\")[0].checkValidity()){window[\"gf_submitting_2\"]=true;}  ' onkeypress='if( event.keyCode == 13 ){ if(window[\"gf_submitting_2\"]){return false;} if( !jQuery(\"#gform_2\")[0].checkValidity || jQuery(\"#gform_2\")[0].checkValidity()){window[\"gf_submitting_2\"]=true;}  jQuery(\"#gform_2\").trigger(\"submit\",[true]); }' \/> <input type='hidden' name='gform_ajax' value='form_id=2&amp;title=&amp;description=&amp;tabindex=0&amp;theme=gravity-theme' \/>\n            <input type='hidden' class='gform_hidden' name='is_submit_2' value='1' \/>\n            <input type='hidden' class='gform_hidden' name='gform_submit' value='2' \/>\n            \n            <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' \/>\n            <input type='hidden' class='gform_hidden' name='state_2' value='WyJ7XCIxOFwiOltcIjY5M2EyMmI2MGM0MzhhNmQzOGNhYmY1ZWU1ZjY4M2VjXCIsXCJjNzZiZjU3MzczM2Q2MjRlMmQ5MDc1ODk1NDYyMzI0MFwiLFwiODg0ZjVmYmQ4YjllMGFiZWZhNzI3M2Q3ZjU3ZDBkYWRcIixcIjRlMTA4N2M3MTc2ZTZlMTEzOGJmODQ0ZDc2ZWMxYWM2XCIsXCJhOWQyNjVjMWY3ZDJhNWQ3ZWJlNWJiN2RjYzAyZDQ0MlwiLFwiNTlkNGU2YTM5NGQ4YjYzOWFkYzJkNGU0OTA3NzNmM2VcIixcIjI3NWE2MDQ3M2FkZGNmZWFiZGE2YmM5NWFmYzUzMGVhXCJdfSIsIjEwMWEwYmJkM2UwNTBjZWJmNGYzNmRlYjZiNDI0ZWRhIl0=' \/>\n            <input type='hidden' class='gform_hidden' name='gform_target_page_number_2' id='gform_target_page_number_2' value='0' \/>\n            <input type='hidden' class='gform_hidden' name='gform_source_page_number_2' id='gform_source_page_number_2' value='1' \/>\n            <input type='hidden' name='gform_field_values' value='' \/>\n            \n        <\/div>\n                        <p style=\"display: none !important;\" class=\"akismet-fields-container\" data-prefix=\"ak_\"><label>&#916;<textarea name=\"ak_hp_textarea\" cols=\"45\" rows=\"8\" maxlength=\"100\"><\/textarea><\/label><input type=\"hidden\" id=\"ak_js_1\" name=\"ak_js\" value=\"66\"\/><script>document.getElementById( \"ak_js_1\" ).setAttribute( \"value\", ( new Date() ).getTime() );<\/script><\/p><\/form>\n                        <\/div>\n\t\t                <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_2' id='gform_ajax_frame_2' title='Dit iframe bevat de vereiste logica om Ajax aangedreven Gravity Forms te verwerken.'><\/iframe>\n\t\t                <script type=\"text\/javascript\">\n\/* <![CDATA[ *\/\n gform.initializeOnLoaded( function() {gformInitSpinner( 2, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery('#gform_ajax_frame_2').on('load',function(){var contents = jQuery(this).contents().find('*').html();var is_postback = contents.indexOf('GF_AJAX_POSTBACK') >= 0;if(!is_postback){return;}var form_content = jQuery(this).contents().find('#gform_wrapper_2');var is_confirmation = jQuery(this).contents().find('#gform_confirmation_wrapper_2').length > 0;var is_redirect = contents.indexOf('gformRedirect(){') >= 0;var is_form = form_content.length > 0 && ! is_redirect && ! is_confirmation;var mt = parseInt(jQuery('html').css('margin-top'), 10) + parseInt(jQuery('body').css('margin-top'), 10) + 100;if(is_form){jQuery('#gform_wrapper_2').html(form_content.html());if(form_content.hasClass('gform_validation_error')){jQuery('#gform_wrapper_2').addClass('gform_validation_error');} else {jQuery('#gform_wrapper_2').removeClass('gform_validation_error');}setTimeout( function() { \/* delay the scroll by 50 milliseconds to fix a bug in chrome *\/ jQuery(document).scrollTop(jQuery('#gform_wrapper_2').offset().top - mt); }, 50 );if(window['gformInitDatepicker']) {gformInitDatepicker();}if(window['gformInitPriceFields']) {gformInitPriceFields();}var current_page = jQuery('#gform_source_page_number_2').val();gformInitSpinner( 2, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery(document).trigger('gform_page_loaded', [2, current_page]);window['gf_submitting_2'] = false;}else if(!is_redirect){var confirmation_content = jQuery(this).contents().find('.GF_AJAX_POSTBACK').html();if(!confirmation_content){confirmation_content = contents;}setTimeout(function(){jQuery('#gform_wrapper_2').replaceWith(confirmation_content);jQuery(document).scrollTop(jQuery('#gf_2').offset().top - mt);jQuery(document).trigger('gform_confirmation_loaded', [2]);window['gf_submitting_2'] = false;wp.a11y.speak(jQuery('#gform_confirmation_message_2').text());}, 50);}else{jQuery('#gform_2').append(contents);if(window['gformRedirect']) {gformRedirect();}}jQuery(document).trigger(\"gform_pre_post_render\", [{ formId: \"2\", currentPage: \"current_page\", abort: function() { this.preventDefault(); } }]);                if (event.defaultPrevented) {                return;         }        const gformWrapperDiv = document.getElementById( \"gform_wrapper_2\" );        if ( gformWrapperDiv ) {            const visibilitySpan = document.createElement( \"span\" );            visibilitySpan.id = \"gform_visibility_test_2\";            gformWrapperDiv.insertAdjacentElement( \"afterend\", visibilitySpan );        }        const visibilityTestDiv = document.getElementById( \"gform_visibility_test_2\" );        let postRenderFired = false;                function triggerPostRender() {            if ( postRenderFired ) {                return;            }            postRenderFired = true;            jQuery( document ).trigger( 'gform_post_render', [2, current_page] );            gform.utils.trigger( { event: 'gform\/postRender', native: false, data: { formId: 2, currentPage: current_page } } );            if ( visibilityTestDiv ) {                visibilityTestDiv.parentNode.removeChild( visibilityTestDiv );            }        }        function debounce( func, wait, immediate ) {            var timeout;            return function() {                var context = this, args = arguments;                var later = function() {                    timeout = null;                    if ( !immediate ) func.apply( context, args );                };                var callNow = immediate && !timeout;                clearTimeout( timeout );                timeout = setTimeout( later, wait );                if ( callNow ) func.apply( context, args );            };        }        const debouncedTriggerPostRender = debounce( function() {            triggerPostRender();        }, 200 );        if ( visibilityTestDiv && visibilityTestDiv.offsetParent === null ) {            const observer = new MutationObserver( ( mutations ) => {                mutations.forEach( ( mutation ) => {                    if ( mutation.type === 'attributes' && visibilityTestDiv.offsetParent !== null ) {                        debouncedTriggerPostRender();                        observer.disconnect();                    }                });            });            observer.observe( document.body, {                attributes: true,                childList: false,                subtree: true,                attributeFilter: [ 'style', 'class' ],            });        } else {            triggerPostRender();        }    } );} ); \n\/* ]]> *\/\n<\/script>\n\n                          <\/div>\n          <\/div>\n        <\/div>\n      <\/div>\n    <\/div>\n  <\/section>\n","protected":false},"excerpt":{"rendered":"<p>ISO 27001 certificeert het information security management system rondom de manier waarop uw bedrijf informatierisico\u2019s beheerst. Voor een softwareteam is de praktische vraag specifieker: kan uw deliveryproces aantonen dat secure development controls werken tijdens design, coding, review, release en remediation? Daarom is DevSecOps belangrijk. Het vertaalt de secure development-verwachtingen van ISO 27001 naar CI\/CD-controls, pull &hellip; <a href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/\">Read more<\/a><\/p>\n","protected":false},"author":15,"featured_media":36474,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"editor_plus_copied_stylings":"{}","footnotes":""},"categories":[18,109],"tags":[],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>ISO 27001 DevSecOps pipeline evidence guide | Sunbytes<\/title>\n<meta name=\"description\" content=\"Koppel ISO 27001 DevSecOps-controls aan CI\/CD-gates, reviewrecords, toegangsbewijs en auditklaar herstelwerk.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/\" \/>\n<meta property=\"og:locale\" content=\"nl_NL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"ISO 27001 DevSecOps pipeline evidence guide | Sunbytes\" \/>\n<meta property=\"og:description\" content=\"Koppel ISO 27001 DevSecOps-controls aan CI\/CD-gates, reviewrecords, toegangsbewijs en auditklaar herstelwerk.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/\" \/>\n<meta property=\"og:site_name\" content=\"Tech and Talent Solutions - Sunbytes\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/sunbytes\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-06-26T05:48:40+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-06-26T05:48:41+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/ISO-27001-DevSecOps-mapping-secure-development-controls-to-your-pipeline.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"628\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Uyen Pham\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:site\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:label1\" content=\"Geschreven door\" \/>\n\t<meta name=\"twitter:data1\" content=\"Uyen Pham\" \/>\n\t<meta name=\"twitter:label2\" content=\"Geschatte leestijd\" \/>\n\t<meta name=\"twitter:data2\" content=\"14 minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"name\":\"Sunbytes\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"contentUrl\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"width\":512,\"height\":512,\"caption\":\"Sunbytes\"},\"image\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/sunbytes\/\",\"https:\/\/twitter.com\/sunbytes\",\"https:\/\/www.linkedin.com\/company\/sunbytes\/\",\"https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/\"],\"knowsAbout\":[\"HR Solutions\",\"Payroll service\",\"EOR service\",\"Tech services\",\"Security services\"]},{\"@type\":\"Article\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/\"},\"author\":{\"name\":\"Uyen Pham\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\"},\"headline\":\"ISO 27001 DevSecOps: secure development controls koppelen aan uw pipeline\",\"datePublished\":\"2026-06-26T05:48:40+00:00\",\"dateModified\":\"2026-06-26T05:48:41+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/\"},\"wordCount\":2924,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"articleSection\":[\"Blog\",\"Softwareontwikkeling\"],\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/\",\"url\":\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/\",\"name\":\"ISO 27001 DevSecOps pipeline evidence guide | Sunbytes\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\"},\"datePublished\":\"2026-06-26T05:48:40+00:00\",\"dateModified\":\"2026-06-26T05:48:41+00:00\",\"description\":\"Koppel ISO 27001 DevSecOps-controls aan CI\/CD-gates, reviewrecords, toegangsbewijs en auditklaar herstelwerk.\",\"breadcrumb\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#breadcrumb\"},\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/sunbytes.io\/nl\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blog\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Softwareontwikkeling\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"ISO 27001 DevSecOps: secure development controls koppelen aan uw pipeline\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"name\":\"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate\",\"description\":\"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt\",\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sunbytes.io\/nl\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"nl\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\",\"name\":\"Uyen Pham\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"caption\":\"Uyen Pham\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"ISO 27001 DevSecOps pipeline evidence guide | Sunbytes","description":"Koppel ISO 27001 DevSecOps-controls aan CI\/CD-gates, reviewrecords, toegangsbewijs en auditklaar herstelwerk.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/","og_locale":"nl_NL","og_type":"article","og_title":"ISO 27001 DevSecOps pipeline evidence guide | Sunbytes","og_description":"Koppel ISO 27001 DevSecOps-controls aan CI\/CD-gates, reviewrecords, toegangsbewijs en auditklaar herstelwerk.","og_url":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/","og_site_name":"Tech and Talent Solutions - Sunbytes","article_publisher":"https:\/\/www.facebook.com\/sunbytes\/","article_published_time":"2026-06-26T05:48:40+00:00","article_modified_time":"2026-06-26T05:48:41+00:00","og_image":[{"width":1200,"height":628,"url":"https:\/\/sunbytes.io\/app\/uploads\/2026\/06\/ISO-27001-DevSecOps-mapping-secure-development-controls-to-your-pipeline.webp","type":"image\/webp"}],"author":"Uyen Pham","twitter_card":"summary_large_image","twitter_creator":"@sunbytes","twitter_site":"@sunbytes","twitter_misc":{"Geschreven door":"Uyen Pham","Geschatte leestijd":"14 minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Organization","name":"Sunbytes","url":"https:\/\/sunbytes.io\/nl\/","logo":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/","url":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","contentUrl":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","width":512,"height":512,"caption":"Sunbytes"},"image":{"@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/sunbytes\/","https:\/\/twitter.com\/sunbytes","https:\/\/www.linkedin.com\/company\/sunbytes\/","https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/"],"knowsAbout":["HR Solutions","Payroll service","EOR service","Tech services","Security services"]},{"@type":"Article","@id":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#article","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/"},"author":{"name":"Uyen Pham","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2"},"headline":"ISO 27001 DevSecOps: secure development controls koppelen aan uw pipeline","datePublished":"2026-06-26T05:48:40+00:00","dateModified":"2026-06-26T05:48:41+00:00","mainEntityOfPage":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/"},"wordCount":2924,"commentCount":0,"publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"articleSection":["Blog","Softwareontwikkeling"],"inLanguage":"nl","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/","url":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/","name":"ISO 27001 DevSecOps pipeline evidence guide | Sunbytes","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/#website"},"datePublished":"2026-06-26T05:48:40+00:00","dateModified":"2026-06-26T05:48:41+00:00","description":"Koppel ISO 27001 DevSecOps-controls aan CI\/CD-gates, reviewrecords, toegangsbewijs en auditklaar herstelwerk.","breadcrumb":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#breadcrumb"},"inLanguage":"nl","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/iso-27001-devsecops\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/sunbytes.io\/nl\/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https:\/\/sunbytes.io\/nl\/blog\/"},{"@type":"ListItem","position":3,"name":"Softwareontwikkeling","item":"https:\/\/sunbytes.io\/nl\/blog\/softwareontwikkeling\/"},{"@type":"ListItem","position":4,"name":"ISO 27001 DevSecOps: secure development controls koppelen aan uw pipeline"}]},{"@type":"WebSite","@id":"https:\/\/sunbytes.io\/nl\/#website","url":"https:\/\/sunbytes.io\/nl\/","name":"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate","description":"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt","publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sunbytes.io\/nl\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"nl"},{"@type":"Person","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2","name":"Uyen Pham","image":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","caption":"Uyen Pham"}}]}},"_links":{"self":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/36619"}],"collection":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/comments?post=36619"}],"version-history":[{"count":7,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/36619\/revisions"}],"predecessor-version":[{"id":36654,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/36619\/revisions\/36654"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media\/36474"}],"wp:attachment":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media?parent=36619"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/categories?post=36619"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/tags?post=36619"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}