Hoeveel surveillance audits zijn er tijdens een certificaatcyclus?

Tijdens een certificaatcyclus van drie jaar zijn er twee surveillance audits verplicht. Deze tussentijdse audits vinden plaats in het eerste en tweede jaar na de initiële certificering, voordat de hercertificeringsaudit in het derde jaar plaatsvindt. Voor organisaties die werken aan hun ISO 27001 certificering is het belangrijk om dit ritme van tevoren goed te begrijpen. In dit artikel beantwoorden we de meest gestelde vragen over surveillance audits, van de inhoud tot de frequentie en de gevolgen als een audit wordt gemist. Heb je direct een vraag? Neem gerust contact op en we helpen je verder.

Wat gebeurt er tijdens een surveillance audit?

Tijdens een surveillance audit beoordeelt een onafhankelijke auditor of jouw Information Security Management System (ISMS) nog steeds effectief functioneert en voldoet aan de eisen van de norm. Het is een gerichte tussentijdse controle, geen volledige herhaling van de initiële certificeringsaudit. De focus ligt op continuïteit, verbeteringen en de werking van het systeem in de praktijk.

Concreet kijkt de auditor onder andere naar:

• De voortgang op eerder vastgestelde verbeterpunten en bevindingen
• De werking van interne audits en managementreviews
• Of de doelstellingen van het informatiebeveiligingsbeleid worden nagestreefd
• Wijzigingen binnen de organisatie die invloed kunnen hebben op het ISMS
• De behandeling van klachten en incidenten

Een surveillance audit duurt doorgaans korter dan de initiële audit, maar vraagt wel degelijk voorbereiding. Organisaties die hun ISMS actief bijhouden en intern auditeren, ervaren de surveillance audit als een logische bevestiging van hun werk in plaats van een stressmoment.

Hoeveel surveillance audits zijn verplicht per certificaatcyclus?

Per certificaatcyclus van drie jaar zijn er twee surveillance audits verplicht. Dit is vastgelegd in de ISO/IEC 17021-1 norm, die de eisen beschrijft voor certificatie-instellingen. Elke surveillance audit vindt in principe eenmaal per jaar plaats, in het eerste en tweede jaar na de initiële certificering of hercertificering.

De frequentie van surveillance audits is dus als volgt:

1. Jaar 1: Eerste surveillance audit
2. Jaar 2: Tweede surveillance audit
3. Jaar 3: Hercertificeringsaudit (geen surveillance audit)

Sommige certificatie-instellingen hanteren een hogere frequentie, bijvoorbeeld bij grotere of complexere organisaties. In de meeste standaardsituaties geldt echter het schema van twee surveillance audits per cyclus. Na succesvolle hercertificering begint de cyclus opnieuw.

Wanneer worden surveillance audits gepland binnen de cyclus?

Surveillance audits worden gepland binnen een vast tijdvenster: de eerste surveillance audit vindt plaats uiterlijk twaalf maanden na de initiële certificering, en de tweede uiterlijk twaalf maanden daarna. In de praktijk plant de certificatie-instelling deze audits in overleg met de organisatie, maar het tijdvenster is niet vrij te kiezen.

De planning wordt vastgelegd bij aanvang van de certificaatcyclus. Organisaties ontvangen doorgaans ruim van tevoren bericht over de geplande datum, zodat ze zich kunnen voorbereiden. Afwijkingen van het geplande schema zijn in beperkte mate mogelijk, maar moeten worden afgestemd met de certificatie-instelling en mogen niet leiden tot een overschrijding van de maximale termijn.

Het is verstandig om interne processen, zoals managementreviews en interne audits, zo te plannen dat ze zijn afgerond vóór de surveillance audit. Zo beschik je over actuele documentatie en kun je aantonen dat het ISMS actief wordt beheerd.

Wat is het verschil tussen een surveillance audit en een hercertificeringsaudit?

Het belangrijkste verschil is de reikwijdte. Een surveillance audit is een gerichte tussentijdse beoordeling die zich richt op specifieke onderdelen van het ISMS. Een hercertificeringsaudit is een volledige herbeoordeling van het gehele managementsysteem, vergelijkbaar in omvang met de initiële certificeringsaudit.

Verder zijn er de volgende praktische verschillen:

• Duur: Een surveillance audit is aanzienlijk korter dan een hercertificeringsaudit
• Frequentie: Twee surveillance audits per cyclus, één hercertificeringsaudit per drie jaar
• Uitkomst: Een surveillance audit bevestigt de geldigheid van het bestaande certificaat; een hercertificeringsaudit verlengt het certificaat voor een nieuwe cyclus van drie jaar
• Voorbereiding: De hercertificeringsaudit vraagt meer voorbereiding omdat alle normeisen opnieuw integraal worden beoordeeld

Beide audittypen zijn essentieel voor het behoud van een geldig certificaat. De surveillance audit is de regelmatige controle die aantoont dat de organisatie de norm blijft naleven tussen de hercertificeringen in.

Wat wordt er beoordeeld tijdens een surveillance audit ISO 27001?

Tijdens een surveillance audit ISO 27001 beoordeelt de auditor een selectie van de normeisen, met nadruk op de onderdelen die aantonen dat het ISMS actief werkt en verbetert. De verplichte onderdelen die bij elke surveillance audit aan bod komen, zijn vastgelegd in de norm en omvatten minimaal de volgende aspecten.

Verplichte onderwerpen per surveillance audit:

• Interne audits en de opvolging van bevindingen
• Managementreview en de uitkomsten daarvan
• Corrigerende maatregelen naar aanleiding van eerdere audits
• Klachtenbehandeling en informatiebeveiligingsincidenten
• Voortgang op doelstellingen en verbeteringen van het ISMS
• Wijzigingen in de organisatie of context die relevant zijn voor de informatiebeveiliging

Naast deze vaste onderdelen kiest de auditor ook specifieke beheersmaatregelen (controls) uit Annex A om steekproefsgewijs te beoordelen. Welke controls worden geselecteerd, verschilt per audit en is afhankelijk van de organisatiecontext en eventuele bevindingen uit voorgaande audits. Dit maakt elke surveillance audit uniek, ook al volgt hij hetzelfde basisschema.

Wat gebeurt er als een organisatie een surveillance audit mist?

Als een organisatie een surveillance audit mist of laat verlopen, kan het certificaat worden opgeschort of ingetrokken. De certificatie-instelling is verplicht om actie te ondernemen wanneer een audit niet binnen het vastgestelde tijdvenster plaatsvindt. Opschorting betekent dat het certificaat tijdelijk niet geldig is; intrekking betekent dat de certificering volledig vervalt.

In de praktijk hanteert een certificatie-instelling doorgaans een getrapt proces:

1. Herinnering en uitstelverzoek: Bij een dreigende overschrijding neemt de instelling contact op. Beperkt uitstel is soms mogelijk, maar moet worden aangevraagd en goedgekeurd.
2. Opschorting: Wordt de audit niet tijdig ingepland, dan volgt opschorting van het certificaat. De organisatie mag het certificaat in deze periode niet gebruiken in commerciële communicatie of aanbestedingen.
3. Intrekking: Blijft de situatie onopgelost, dan wordt het certificaat ingetrokken. Een nieuwe certificering is dan nodig, inclusief een volledige initiële audit.

De gevolgen van een verlopen certificaat kunnen aanzienlijk zijn, zeker voor organisaties die hun certificering nodig hebben voor aanbestedingen of contracten met klanten. Wij adviseren altijd om de auditplanning proactief te bewaken en tijdig contact op te nemen als er omstandigheden zijn die de planning bemoeilijken. Zo voorkom je een onnodige onderbreking van je certificering.

Wil je meer weten over hoe een certificaatcyclus eruitziet, of wil je weten wat wij voor jouw organisatie kunnen betekenen? Neem contact op en we denken graag met je mee over de planning en aanpak van jouw surveillance audits.

Gerelateerde artikelen

• Wat is een beveiligingsincident volgens NEN 7510?
• Wat is het verschil tussen NEN 7510 en NEN 7512?
• Hoe vergelijk je offertes van verschillende auditorganisaties?
• Hoe voer je een effectieve ISO 27001 risicoanalyse uit?
• Hoe bereid je je voor op een ISO 27001 audit?