VacaturesNa het opzetten van uw Information Security Management System (ISMS) volgt de toets: de ISO 27001-audit. Een onafhankelijke auditor beoordeelt of uw beleid, processen en maatregelen voldoen aan de norm én werken in de praktijk. Met de juiste voorbereiding verloopt de audit gestructureerd en voorspelbaar. Hieronder leest u stap voor stap hoe de controle gaat, wat de auditor ziet en waar u op moet letten.
De verschillende audits binnen ISO 27001
Interne audit
U controleert zelf (of met externe hulp) of het ISMS compleet en effectief is. Bevindingen gebruikt u om te verbeteren vóórdat de certificerende instelling langskomt.
Certificeringsaudit
De officiële audit door een geaccrediteerde certificerende instelling. Bestaat uit Fase 1 en Fase 2.
Surveillance-audits
Jaarlijkse controles in jaar 1 en 2 na certificering om te toetsen of het ISMS levend blijft.
Hercertificering
Eens per drie jaar een uitgebreidere audit om het certificaat te verlengen.
Het certificeringstraject stap voor stap
Stap 1 – Vooroverleg en planning
U stemt scope, locaties, betrokken afdelingen en planning af met de certificerende instelling. De auditor vraagt basisinformatie op, zoals uw scopeverklaring, hoofdprocessen en contactpersonen.
Stap 2 – Fase 1 audit: documentatie en gereedheid
De auditor beoordeelt of uw ISMS klaar is voor Fase 2. Denk aan beleid, risicoanalyse en -behandeling, Statement of Applicability (SoA), procedures voor incidentmanagement, continuïteit, leveranciersbeheer, interne audit en directiebeoordeling.
Resultaat: een Fase-1-rapport met eventuele tekortkomingen (verbeterpunten of afwijkingen) die u vóór Fase 2 oplost.
Stap 3 – Corrigerende acties tussen Fase 1 en Fase 2
U werkt bevindingen uit Fase 1 weg. Leg root cause, corrigerende maatregel, verantwoordelijke en doorlooptijd vast. Werk documenten bij en borg de wijzigingen in de praktijk.
Stap 4 – Fase 2 audit: toets in de praktijk
De auditor bezoekt uw locatie(s), spreekt met medewerkers, bekijkt registraties en loopt met steekproeven door processen. Voorbeelden van onderwerpen:
-
Toegangsbeheer en rechtenbeheer in systemen
-
Logging, back-ups en hersteltests
-
Beheer van kwetsbaarheden en patches
-
Beveiliging van cloudomgevingen en leveranciersafspraken
-
Phishing-bewustwording, onboarding/offboarding, NDA’s
-
Incidentregistratie en opvolging
-
Fysieke beveiliging en bezoekerslog
-
Continuïteitsmaatregelen en tests
Aan het einde volgt een eindgesprek met bevindingen en voorlopige conclusie.
Stap 5 – Corrigerende acties na Fase 2
Zijn er afwijkingen? Dan levert u binnen de afgesproken termijn bewijs aan dat de oorzaken zijn geanalyseerd en maatregelen effectief zijn ingevoerd. Kleine afwijkingen lost u meestal met documentatie en bewijs van implementatie op; bij grote afwijkingen kan een herbezoek nodig zijn.
Stap 6 – Certificatiebesluit
De certificerende instelling beoordeelt het volledige dossier. Bij een positieve beoordeling ontvangt u het ISO 27001-certificaat (geldig voor drie jaar), met jaarlijkse surveillance.
Stap 7 – Surveillance en continue verbetering
Tijdens de jaarlijkse controles kijkt de auditor naar voortgang op doelstellingen, opvolging van incidenten, wijzigingen in scope, resultaten van interne audits en managementreviews. Zo blijft het ISMS actueel en effectief.
Waar let de auditor in het bijzonder op?
Samenhang tussen risico’s, maatregelen en de SoA: De auditor wil zien dat uw maatregelen een directe relatie hebben met geïdentificeerde risico’s en dat de SoA uitlegt waarom maatregelen wel of niet van toepassing zijn.
Bewijs in plaats van alleen beleid: Registraties en logs, resultaten van awareness-training, leveranciersbeoordelingen, change-tickets, restore-tests, kwetsbaarheidsscans en incidentanalyses wegen zwaar.
Leiderschap en betrokkenheid: De directie moet richting geven, middelen beschikbaar stellen en periodiek beoordelen. Besluiten uit de directiebeoordeling moeten terug te zien zijn in acties.
Effectiviteit van processen: Niet alleen of er een procedure is, maar of die ook wordt gevolgd. Denk aan consistent offboarden, tijdig intrekken van rechten, en structureel testen van back-ups.
Veelvoorkomende bevindingen (en hoe u ze voorkomt)
Onvolledige of verouderde risicoanalyse: Houd uw risicoregister actueel bij wijzigingen in systemen, leveranciers, wetgeving of organisatie.
Statement of Applicability niet consistent: Zorg dat SoA, beleidsstukken en operationele werkelijkheid naadloos op elkaar aansluiten.
Incidentmanagement zonder trendanalyse: Registreer ook bijna-incidenten, analyseer trends en toon verbetermaatregelen met effect aan.
Continuïteit en herstel niet aantoonbaar getest: Plan en documenteer periodieke restore- en failover-tests, inclusief resultaten en lessons learned.
Leveranciersbeheer beperkt tot contract: Beoordeel leveranciersrisico’s, leg beveiligingseisen vast, monitor naleving en documenteer reviews.
Bewustwording eenmalig: Plan onboarding én periodieke awarenessactiviteiten (bijv. phishing-simulaties) en registreer deelname.
Praktische checklijst voor uw voorbereiding
Documentatie op orde: Actueel beleid, risicobeoordeling/-behandeling, SoA, procedures, interne auditrapporten, managementreview, KPI’s/doelstellingen en bewijzen van uitgevoerde maatregelen.
Bewijsmateriaal beschikbaar: Logs, toegangsrechtenoverzichten, back-up/restore-rapportages, patch-overzichten, leveranciersbeoordelingen, DPIA’s waar relevant, incidentenregisters met oorzaak/maatregel.
Medewerkers voorbereid: Kernmedewerkers weten wat hun rol is en kunnen kort uitleggen hoe zij bijdragen aan informatiebeveiliging (bijv. developers over change-proces, HR over offboarding, IT over toegangsbeheer).
Locaties en systemen toegankelijk: Plan interviews, zorg voor beschikbare test- of demo-omgevingen en toegang tot relevante dashboards of rapportages.
Termijnen en typen bevindingen
In de auditrapportage onderscheidt de auditor doorgaans:
-
Observaties of verbeterpunten: kansen om te versterken.
-
Kleine afwijkingen: vereisen corrigerende acties met bewijs.
-
Grote afwijkingen: moeten zijn opgelost en opnieuw getoetst voordat certificatie kan.
Leg bij elke afwijking de oorzaak, maatregel, verantwoordelijke en datum van effectiviteit vast. Bewijs dat de maatregel werkt (bijvoorbeeld een nieuwe restore-test of aangepast offboarding-bewijs).
Tips voor een soepele auditdag
Houd het praktisch en toon wat u echt doet; geen overdocumentatie.
Werk met een korte audit-map of portaal met links naar de laatste versies.
Laat eigenaars het woord doen over hun proces; dat toont volwassenheid.
Sluit de dag af met een korte interne debrief: wat gaat u direct verbeteren?
Conclusie
De ISO 27001-audit is geen hindernis, maar een moment van kwaliteitsborging. Met een actuele risicoanalyse, een consistente SoA, aantoonbaar werkende maatregelen en betrokken medewerkers doorloopt u de externe controle voorspelbaar en succesvol. De opbrengst is meer dan een certificaat: beter risicobeheer, vertrouwen bij klanten en een ISMS dat meegroeit met uw organisatie.
Ondersteuning bij auditvoorbereiding
Wilt u een nulmeting, een scherpe interne audit of praktische begeleiding bij corrigerende acties? Bij Diks Process Support helpen wij u stap voor stap – van dossieropbouw tot auditbegeleiding en onderhoud, zodat uw ISO 27001-audit soepel en met vertrouwen verloopt.