Hercertificering is het proces waarbij organisaties hun ISO 27001-certificering verlengen na de driejarige geldigheidsperiode. Begin minimaal 6 tot 12 maanden voor afloop met de voorbereidingen, omdat een grondige hercertificeringsaudit meer omvat dan de jaarlijkse controle-audits. Een goede voorbereiding zorgt voor een soepel proces en voorkomt tijdsdruk bij het aanpassen van documentatie en processen.
Wat is hercertificering en wanneer moet je ermee beginnen?
Hercertificering is een uitgebreide audit die na drie jaar plaatsvindt om je ISO 27001-certificering te verlengen. Anders dan bij de jaarlijkse controle-audits bekijkt de auditor het volledige managementsysteem opnieuw, inclusief alle processen, documentatie en verbeteringen sinds de initiële certificering.
Start je voorbereidingen 6 tot 12 maanden voordat je huidige certificaat afloopt. Deze ruime planning geeft je tijd om documentatie bij te werken, interne audits uit te voeren en eventuele tekortkomingen aan te pakken. Organisaties die te laat beginnen, ervaren vaak stress en moeten haastig wijzigingen doorvoeren.
De driejarige cyclus betekent dat auditors verwachten dat je systeem is gegroeid en verbeterd. Ze beoordelen niet alleen of je nog steeds voldoet aan de norm, maar ook hoe je continu verbetert en leert van incidenten en wijzigingen in je bedrijfsomgeving.
Welke documenten en processen moet je updaten voor hercertificering?
Update minimaal je risicoanalyse, beveiligingsbeleid, verklaring van toepasselijkheid en alle procedures die zijn gewijzigd sinds de laatste audit. Controleer ook of nieuwe wetgeving, technologieën of bedrijfsprocessen correct zijn verwerkt in je documentatie.
Begin met je risicoanalyse, omdat dit de basis vormt voor alle andere documenten. Nieuwe bedrijfsactiviteiten, systemen of locaties vereisen vaak aanpassingen. Update vervolgens je beveiligingsbeleid om actuele bedrijfsdoelstellingen en compliance-eisen te weerspiegelen.
Controleer je procedures op praktische bruikbaarheid. Documenten die alleen op papier bestaan maar niet worden gevolgd, vallen direct op tijdens de audit. Zorg dat alle procedures accuraat beschrijven hoe jullie werkelijk werken en dat medewerkers deze kennen en toepassen.
Vergeet niet om wijzigingslogboeken bij te houden die aantonen wanneer en waarom aanpassingen zijn gemaakt. Dit toont aan dat je systeem leeft en meegroeit met je organisatie.
Hoe zorg je ervoor dat je team klaar is voor de hercertificeringsaudit?
Organiseer bewustzijnstraining voor alle medewerkers en specifieke roltraining voor sleutelpersonen. Voer interne audits uit om zwakke punten te identificeren en zorg dat iedereen weet wat zijn of haar verantwoordelijkheden zijn tijdens de audit.
Begin met een inventarisatie van wie welke rollen heeft in jullie informatiebeveiliging. Nieuwe medewerkers kennen het systeem vaak nog niet goed, terwijl ervaren collega’s mogelijk verouderde kennis hebben. Organiseer gerichte trainingen per doelgroep.
Interne audits zijn cruciaal omdat ze laten zien hoe goed jullie systeem in de praktijk werkt. Plan deze audits minstens drie maanden voor de hercertificering, zodat je tijd hebt om geconstateerde punten op te lossen. Betrek verschillende afdelingen bij deze audits om een breed perspectief te krijgen.
Creëer een cultuur waarin informatiebeveiliging normaal is en niet iets extra’s. Medewerkers die begrijpen waarom bepaalde maatregelen bestaan, passen deze natuurlijker toe dan mensen die alleen regels opvolgen.
Wat zijn de meest voorkomende valkuilen bij hercertificering en hoe vermijd je ze?
De grootste valkuilen zijn verouderde documentatie, onduidelijke verantwoordelijkheden en een gebrek aan bewijs voor continue verbetering. Vermijd deze door je systeem regelmatig te onderhouden, duidelijke rollen te definiëren en verbeteracties goed te documenteren.
Verouderde documentatie ontstaat wanneer organisaties hun systeem alleen bijwerken voor audits. Maak documentbeheer onderdeel van je reguliere werkprocessen. Wijs eigenaren toe aan elk document en plan periodieke reviews in.
Onduidelijke verantwoordelijkheden leiden tot gaten in je beveiliging. Zorg dat elke beveiligingsmaatregel een duidelijke eigenaar heeft die weet wat er van hem of haar verwacht wordt. Update functiebeschrijvingen wanneer rollen veranderen.
Een gebrek aan continue verbetering valt direct op, omdat auditors willen zien dat je leert van incidenten en feedback. Documenteer niet alleen wat er misging, maar ook welke verbeteringen je hebt doorgevoerd en hoe je het resultaat hebt gemeten.
Professionele ondersteuning kan het verschil maken tussen een stressvolle en een soepele hercertificering. Ervaren auditinstellingen zoals wij helpen organisaties niet alleen met de certificering zelf, maar begeleiden ook bij de voorbereiding. Door onze contextgerichte benadering krijg je een ISO 27001-certificering die écht waarde toevoegt aan je organisatie. Wil je weten hoe wij jouw hercertificering kunnen ondersteunen? Neem contact op voor een vrijblijvend gesprek over jouw specifieke situatie.
Veelgestelde vragen
Wat gebeurt er als je certificaat verloopt voordat de hercertificering is afgerond?
Als je certificaat verloopt voordat de hercertificering is voltooid, verlies je tijdelijk je ISO 27001-status. Dit kan gevolgen hebben voor contracten en klantvertrouwen. Begin daarom altijd ruim op tijd met de voorbereidingen om dit risico te vermijden.
Hoe lang duurt een hercertificeringsaudit gemiddeld?
Een hercertificeringsaudit duurt meestal 2-5 dagen, afhankelijk van de grootte van je organisatie en complexiteit van je systemen. Grotere organisaties met meerdere locaties hebben meer audittijd nodig dan kleinere bedrijven met een eenvoudig IT-landschap.
Waarom kost hercertificering meer dan jaarlijkse controle-audits?
Hercertificering is uitgebreider omdat auditors het volledige managementsysteem opnieuw beoordelen in plaats van alleen wijzigingen te controleren. Dit vereist meer audittijd en een grondiger onderzoek van alle processen, documentatie en verbeteringen uit de afgelopen drie jaar.
Wanneer moet je een nieuwe risicoanalyse uitvoeren voor hercertificering?
Voer minimaal 6 maanden voor je hercertificering een nieuwe risicoanalyse uit, vooral als je organisatie is gegroeid of nieuwe systemen heeft geïmplementeerd. Een actuele risicoanalyse vormt de basis voor alle andere documentupdates en toont aan dat je proactief met beveiliging omgaat.
