Waar moet een interne audit bij een ISO 27001 certificering aan voldoen?

Auditor controleert beveiligingschecklist op klembord naast laptop met security-assessmentdata in modern kantoor.

Een interne audit bij een ISO 27001-certificering moet aantoonbaar onafhankelijk, gedocumenteerd en risicogericht zijn. De norm vereist dat de interne audit het volledige managementsysteem voor informatiebeveiliging (ISMS) beoordeelt op conformiteit en effectiviteit. In dit artikel beantwoorden we de meest gestelde vragen over de eisen, de uitvoering en de veelgemaakte valkuilen, zodat jouw organisatie goed voorbereid aan de slag kan. Heb je direct een vraag? Neem gerust contact op en we helpen je verder.

Welke eisen stelt ISO 27001 aan een interne auditor?

ISO 27001 stelt als belangrijkste eis dat de interne auditor onafhankelijk is ten opzichte van de processen en systemen die worden geaudit. De auditor mag zijn of haar eigen werk niet beoordelen. Daarnaast moet de auditor over voldoende kennis en competenties beschikken om een objectief en betrouwbaar oordeel te vormen over het managementsysteem voor informatiebeveiliging.

De norm schrijft niet voor dat de interne auditor een gecertificeerde professional moet zijn, maar de organisatie moet wel kunnen aantonen dat de auditor bekwaam is. Dit kan via opleiding, werkervaring of een combinatie van beide. In de praktijk kiezen veel organisaties voor een collega uit een andere afdeling, een externe adviseur of een gespecialiseerde auditinstelling om de onafhankelijkheid te waarborgen.

Competenties die van belang zijn bij een ISO 27001 interne audit:

  • Kennis van de ISO 27001-norm en de bijbehorende beheersmaatregelen
  • Inzicht in risicomanagement en beveiligingsprocessen
  • Auditvaardigheden zoals interviewen, documenteren en beoordelen
  • Onpartijdigheid en analytisch denkvermogen

Hoe vaak moet een interne audit worden uitgevoerd?

ISO 27001 vereist dat interne audits met geplande tussenpozen worden uitgevoerd, maar schrijft geen vaste frequentie voor. In de praktijk voeren de meeste organisaties minimaal één keer per jaar een volledige interne audit uit. Bij hogere risico’s, significante wijzigingen in de organisatie of na beveiligingsincidenten kan een hogere frequentie noodzakelijk zijn.

De frequentie moet zijn vastgelegd in een auditprogramma. Dit programma houdt rekening met het belang van de betrokken processen, de uitkomsten van eerdere audits en de risicoanalyse van de organisatie. Een auditprogramma dat alleen op papier bestaat maar in de praktijk niet wordt gevolgd, is een veelvoorkomende tekortkoming die externe auditors direct opmerken.

Wat moet er tijdens een interne audit worden gecontroleerd?

Tijdens een interne ISO 27001-audit wordt het volledige ISMS beoordeeld: beleid, procedures, technische beheersmaatregelen, rollen en verantwoordelijkheden, en de werking van risicobeheersingsmaatregelen. De audit controleert of het systeem voldoet aan de eisen van de norm én of het in de praktijk effectief functioneert.

Concreet betekent dit dat de interne auditor onder andere kijkt naar:

  • De volledigheid en actualiteit van het informatiebeveiligingsbeleid
  • De uitvoering van de risicoanalyse en het risicobeheerplan
  • De implementatie van de geselecteerde beheersmaatregelen uit Annex A
  • Bewustwording en training van medewerkers
  • Het beheer van toegangsrechten en incidenten
  • De werking van interne communicatieprocessen rondom informatiebeveiliging
  • De opvolging van bevindingen uit eerdere audits

Het gaat niet alleen om het controleren van documenten. Een goede interne audit omvat ook gesprekken met medewerkers en het observeren van werkprocessen, zodat er een realistisch beeld ontstaat van hoe de informatiebeveiliging in de dagelijkse praktijk werkt.

Welke documentatie is verplicht bij een interne audit?

ISO 27001 verplicht organisaties om het auditprogramma, de auditresultaten en het bewijs van opvolging van bevindingen te documenteren. Zonder deze gedocumenteerde informatie kan een externe auditor niet vaststellen dat de interne audit daadwerkelijk heeft plaatsgevonden en dat de uitkomsten zijn opgepakt.

De minimaal vereiste documentatie bestaat uit:

  1. Auditprogramma: een overzicht van geplande audits, inclusief scope, frequentie en verantwoordelijke auditors
  2. Auditplan per audit: de specifieke doelstellingen, reikwijdte en methode van de individuele audit
  3. Auditrapport: bevindingen, conclusies en eventuele non-conformiteiten of verbeterpunten
  4. Correctieve maatregelen: gedocumenteerde acties die zijn ondernomen naar aanleiding van bevindingen, inclusief verificatie van de effectiviteit

Deze documentatie vormt ook de basis voor de directiebeoordeling (management review), die eveneens een verplicht onderdeel is van het ISO 27001 ISMS.

Wat zijn veelgemaakte fouten bij een interne ISO 27001-audit?

De meest voorkomende fout bij een interne ISO 27001-audit is dat de audit te oppervlakkig wordt uitgevoerd: alleen documenten checken zonder te toetsen of de processen ook in de praktijk werken. Andere veelgemaakte fouten zijn een gebrek aan onafhankelijkheid van de auditor en het niet opvolgen van bevindingen.

Specifieke valkuilen die wij regelmatig zien bij ISO 27001-certificeringstrajecten:

  • Checklistdenken: de audit wordt afgewerkt als een lijst met vinkjes, zonder diepgang of context
  • Onvoldoende scope: bepaalde afdelingen of systemen worden overgeslagen, terwijl ze wel binnen het ISMS vallen
  • Geen opvolging van bevindingen: non-conformiteiten worden genoteerd maar niet structureel aangepakt
  • Te laat plannen: de interne audit wordt pas uitgevoerd vlak voor de externe audit, waardoor er geen tijd is voor herstel
  • Onvoldoende documentatie: de audit is wel uitgevoerd, maar er is geen aantoonbaar bewijs van de resultaten en opvolging

Hoe bereidt een organisatie zich voor op de interne audit?

Een goede voorbereiding op de interne ISO 27001-audit begint met het opstellen of actualiseren van het auditprogramma, het aanwijzen van een bevoegde en onafhankelijke auditor en het verzamelen van relevante documentatie. Door vooraf een duidelijke scope en auditcriteria vast te stellen, verloopt de audit gestructureerd en efficiënt.

Praktische stappen voor een goede voorbereiding:

  1. Controleer of het auditprogramma actueel is en aansluit op de huidige risicoanalyse
  2. Stel een auditplan op met een duidelijke scope, tijdlijn en te interviewen medewerkers
  3. Zorg dat alle relevante beleidsdocumenten, procedures en registraties beschikbaar zijn
  4. Informeer betrokken medewerkers over de audit en het doel ervan
  5. Plan de audit ruim voor de externe certificeringsaudit, zodat bevindingen nog kunnen worden opgelost

Een interne audit hoeft geen stressvol moment te zijn. Met de juiste voorbereiding en een open instelling is het juist een waardevolle kans om te zien waar de informatiebeveiliging al goed op orde is en waar nog winst te behalen valt. Wil je weten hoe wij organisaties begeleiden bij dit proces? Neem contact op en we denken graag met je mee.

Veelgestelde vragen

Wat zijn de belangrijkste eisen die ISO 27001 stelt aan een interne auditor?

V: Wat zijn de belangrijkste eisen die ISO 27001 stelt aan een interne auditor?nA: Een interne auditor moet onafhankelijk zijn van de processen die worden geaudit en voldoende kennis hebben van de ISO 27001-norm en informatiebeveiliging. De organisatie moet kunnen aantonen dat de auditor bekwaam is via opleiding of werkervaring, maar een formele certificering is niet verplicht.

Hoe vaak moet een organisatie een interne ISO 27001-audit uitvoeren?

V: Hoe vaak moet een organisatie een interne ISO 27001-audit uitvoeren?nA: ISO 27001 schrijft geen vaste frequentie voor, maar vereist dat audits met geplande tussenpozen plaatsvinden en zijn vastgelegd in een auditprogramma. In de praktijk voeren de meeste organisaties minimaal één keer per jaar een volledige interne audit uit, vaker bij hogere risico's of grote organisatieveranderingen.

Welke documentatie moet een organisatie bijhouden voor een interne ISO 27001-audit?

V: Welke documentatie moet een organisatie bijhouden voor een interne ISO 27001-audit?nA: Verplichte documentatie bestaat uit het auditprogramma, een auditplan per audit, een auditrapport met bevindingen en non-conformiteiten, en bewijs van de opvolging van correctieve maatregelen. Zonder deze gedocumenteerde informatie kan een externe auditor niet vaststellen dat de interne audit daadwerkelijk heeft plaatsgevonden en correct is afgerond.

Waarom is het gevaarlijk om de interne audit pas vlak voor de externe certificeringsaudit uit te voeren?

V: Waarom is het gevaarlijk om de interne audit pas vlak voor de externe certificeringsaudit uit te voeren?nA: Wanneer de interne audit te laat wordt gepland, blijft er onvoldoende tijd om gevonden non-conformiteiten of verbeterpunten structureel op te lossen voordat de externe auditor langskomt. Door de interne audit ruim van tevoren uit te voeren, kan de organisatie bevindingen tijdig aanpakken en met vertrouwen de certificeringsaudit ingaan.

Gerelateerde artikelen

Deel dit bericht

Andere berichten

Contact

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Naam*
Toestemming*
DigiTrust - Certificeren informatiebeveiliging