Een ISO 27001-certificaat is drie jaar geldig vanaf de datum van afgifte. Deze standaardperiode geldt voor alle organisaties die deze informatiebeveiligingscertificering behalen. Om het certificaat geldig te houden, zijn jaarlijkse surveillance-audits verplicht en moet de organisatie na drie jaar een hercertificeringsaudit ondergaan. Dit artikel beantwoordt de meest gestelde vragen over de geldigheidsduur en de verplichtingen van ISO 27001-certificaten.
Hoe lang blijft een ISO 27001-certificaat geldig?
Een ISO 27001-certificaat blijft drie jaar geldig vanaf de afgiftedatum. Deze driejarige cyclus is internationaal gestandaardiseerd en geldt voor alle gecertificeerde organisaties, ongeacht hun grootte of sector.
De driejarige termijn is bewust gekozen omdat informatiebeveiliging een dynamisch vakgebied is. Binnen drie jaar veranderen technologieën, dreigingen en bedrijfsprocessen aanzienlijk. Deze periode biedt organisaties voldoende tijd om hun ISMS te implementeren en te optimaliseren, terwijl deze ook zorgt voor een regelmatige evaluatie van de effectiviteit.
Voor organisaties betekent dit dat je gedurende drie jaar mag communiceren dat jouw informatiebeveiliging is gecertificeerd. Het certificaat dient als bewijs dat de organisatie haar bedrijfs- en klantdata veilig en gecontroleerd beheert, wat bijdraagt aan vertrouwen bij klanten en partners.
Wat gebeurt er als je ISO 27001-certificaat bijna verloopt?
Ongeveer zes maanden voordat je certificaat verloopt, moet je het hercertificeringsproces starten. Dit proces omvat een volledige audit van je ISMS door een geaccrediteerde certificeringsinstelling.
Het hercertificeringsproces bestaat uit twee fasen. In de eerste fase wordt je documentatie beoordeeld en wordt bepaald of je organisatie gereed is voor de hoofdaudit. De tweede fase is een uitgebreide audit op locatie, waarbij alle aspecten van je informatiebeveiliging worden getoetst aan de ISO 27001-norm.
Om continuïteit te waarborgen, is het belangrijk om tijdig te beginnen. Een hercertificering kan enkele maanden duren, afhankelijk van de complexiteit van je organisatie en de beschikbaarheid van auditoren. Bij een succesvolle hercertificering ontvang je een nieuw certificaat voor de komende drie jaar.
Welke tussentijdse verplichtingen heb je tijdens de certificaatperiode?
Tijdens de driejarige certificaatperiode ben je verplicht tot jaarlijkse surveillance-audits. Deze audits vinden plaats in jaar één en jaar twee na de initiële certificering.
Surveillance-audits zijn minder uitgebreid dan de oorspronkelijke certificeringsaudit, maar controleren wel of je ISMS nog steeds effectief functioneert. De auditor beoordeelt of je jouw beveiligingsmaatregelen onderhoudt, incidenten correct afhandelt en continu verbeteringen doorvoert.
Daarnaast moet je jouw ISMS continu monitoren en evalueren. Dit omvat het bijhouden van KPI’s, het registreren van incidenten en afwijkingen, en het uitvoeren van interne audits. Je Verklaring van Toepasselijkheid moet actueel blijven en wijzigingen in je organisatie moeten worden geëvalueerd op hun impact op de informatiebeveiliging.
Hoe bereid je je voor op ISO 27001-hercertificering?
Begin je voorbereiding met een gap-analyse om te bepalen welke aspecten van je ISMS mogelijk verbetering behoeven. Controleer of alle documentatie actueel is en of wijzigingen in je organisatie correct zijn verwerkt.
Werk je risicoanalyse bij en controleer of alle beheersmaatregelen uit Annex A nog relevant zijn voor je organisatie. De ISO 27001:2022-versie bevat 93 beheersmaatregelen, verdeeld over vier categorieën: organisatorische maatregelen, personeelsgerelateerde maatregelen, fysieke maatregelen en technologische maatregelen.
Zorg ervoor dat je interne audits up-to-date zijn en dat eventuele bevindingen zijn opgevolgd. Bereid bewijs voor van continue verbetering en effectieve incidentbehandeling. Een grondige voorbereiding verhoogt de kans op een succesvolle hercertificering aanzienlijk.
Het behouden van je ISO 27001-certificering vereist continue aandacht en investering in informatiebeveiliging. Door de driejarige cyclus met jaarlijkse surveillance-audits te begrijpen en je tijdig voor te bereiden op hercertificering, zorg je ervoor dat je organisatie haar certificering behoudt en blijft voldoen aan de hoogste standaarden voor informatiebeveiliging.
Hoe Diks Process Support helpt met ISO 27001-certificering
Diks Process Support ondersteunt organisaties bij het volledige ISO 27001-traject, van eerste implementatie tot hercertificering. Onze aanpak zorgt ervoor dat je niet alleen je certificaat behaalt, maar ook de driejarige cyclus succesvol doorloopt:
• Gap-analyse en implementatieplanning – We beoordelen je huidige situatie en maken een haalbare planning
• ISMS-opzet en documentatie – Samen stellen we een werkbaar informatiebeveiligsysteem op
• Voorbereiding op audits – We bereiden je team voor op certificerings- en surveillance-audits
• Continue ondersteuning – Ook na certificering blijven we beschikbaar voor vragen en updates
• Hercertificeringsvoorbereiding – Tijdig starten we de voorbereiding voor verlenging van je certificaat
Wil je weten hoe wij jouw organisatie kunnen helpen bij ISO 27001-certificering? Neem contact met ons op voor een vrijblijvend gesprek over je specifieke situatie.
