Een ISO 27001-audit is een systematische beoordeling van je informatiebeveiligingsmanagementsysteem door een onafhankelijke auditor. Tijdens de audit controleert de auditor of je organisatie voldoet aan de eisen van de ISO 27001-norm en of je beveiligingsmaatregelen daadwerkelijk werken. Het proces bestaat uit verschillende fasen: voorbereiding, documentatiereview, on-site audit en rapportage.
Wat is een ISO 27001-audit en waarom wordt deze uitgevoerd?
Een ISO 27001-audit is een onafhankelijke beoordeling waarbij een gecertificeerde auditor controleert of je informatiebeveiligingsmanagementsysteem (ISMS) voldoet aan de internationale norm ISO 27001. De audit toetst zowel de documentatie als de praktische implementatie van beveiligingsmaatregelen binnen je organisatie.
Organisaties ondergaan deze audit om verschillende redenen. Certificering toont aan dat je informatie structureel beschermt en risico’s beheerst. Voor veel bedrijven is ISO 27001-certificering een vereiste vanuit aanbestedingen of samenwerkingsovereenkomsten met klanten die hoge beveiligingseisen stellen.
Er bestaan twee hoofdtypen audits: interne audits die je zelf uitvoert om het systeem te controleren, en externe audits door geaccrediteerde instellingen voor officiële certificering. Externe audits zijn onafhankelijk en objectief, waardoor ze meer waarde hebben voor compliance en vertrouwensopbouw bij stakeholders.
De audit draagt bij aan betere informatiebeveiliging door zwakke punten bloot te leggen en verbetermogelijkheden aan te wijzen. Dit helpt organisaties hun digitale weerbaarheid te versterken en te voldoen aan wettelijke verplichtingen zoals de AVG.
Welke fasen doorloopt een ISO 27001-audit van begin tot eind?
Een ISO 27001-audit bestaat uit meerdere opeenvolgende fasen die samen ongeveer 6-12 weken duren, afhankelijk van de grootte van je organisatie. Het proces begint met voorbereiding en eindigt met certificaatuitgifte na een positieve beoordeling.
De voorbereidingsfase duurt 2-4 weken. Hierin plant de auditor de audit, bestudeert je documentatie en stemt de scope af. Je ontvangt een auditplan met data, tijdsschema en benodigde documenten.
Tijdens de documentatiereview (1-2 weken) beoordeelt de auditor je ISMS-documentatie op volledigheid en conformiteit. Dit gebeurt vaak op afstand. Eventuele tekortkomingen worden gemeld zodat je deze kunt aanvullen.
De on-site audit vindt plaats op je locatie en duurt 1-3 dagen. De auditor voert interviews, controleert processen, test systemen en verzamelt bewijs. Deze fase is het hart van de audit, waarin de praktische werking wordt getoetst.
Na de audit volgt rapportage en beoordeling (1-2 weken). Je ontvangt een auditrapport met bevindingen en eventuele non-conformiteiten. Bij een positieve uitkomst wordt het certificaat uitgegeven, anders krijg je tijd voor correctieve maatregelen.
Hoe bereid je je organisatie voor op een ISO 27001-audit?
Goede voorbereiding bepaalt grotendeels het succes van je ISO 27001-audit. Begin 4-6 weken voor de audit met een interne controle om na te gaan of alle documenten compleet zijn en processen correct functioneren. Zorg dat je ISMS volledig geïmplementeerd is en medewerkers hun taken kennen.
Zorg voor complete documentatie: beleidsregels, procedures, risicoanalyse, Statement of Applicability (SoA) en bewijs van implementatie. Controleer of alle documenten actueel zijn en overeenkomen met de praktijk. Maak een overzicht van wijzigingen sinds de vorige audit.
Bereid je medewerkers voor door hen te informeren over het auditproces. Zij moeten hun taken binnen het ISMS kunnen uitleggen en weten waar relevante documenten te vinden zijn. Organiseer een korte sessie over wat ze kunnen verwachten tijdens interviews.
Veelvoorkomende valkuilen zijn onvolledige documentatie, verschillen tussen beleid en praktijk en onvoldoende bewijs van effectiviteit. Vermijd deze door een interne pre-audit uit te voeren waarbij je kritisch naar je eigen systeem kijkt.
Maak een praktische checklist: controleer toegangsrechten, back-upprocedures, incidentlogs, trainingsregistraties en leverancierscontracten. Zorg dat systemen beschikbaar zijn voor demonstratie en dat sleutelpersonen aanwezig kunnen zijn tijdens de audit.
Wat verwacht de auditor tijdens de on-site auditdagen?
Tijdens de on-site audit voert de auditor verschillende activiteiten uit om te beoordelen of je ISMS effectief werkt. De auditor start meestal met een openingsmeeting om het programma door te nemen en verwachtingen af te stemmen. Vervolgens volgen interviews, documentcontroles en systeemtests gedurende 1-3 dagen.
Interviews met medewerkers vormen een belangrijk onderdeel. De auditor spreekt met verschillende rollen: management, IT-beheerders, gebruikers en beveiligingsverantwoordelijken. Zij vragen naar taken, verantwoordelijkheden en hoe beveiligingsprocedures in de praktijk werken.
Bij documentcontrole bekijkt de auditor beleid, procedures, logs en registraties. Zij controleren of documentatie actueel is, wordt gevolgd en effectief blijkt. Ook beoordelen zij de kwaliteit van je risicoanalyse en of gekozen maatregelen passend zijn.
Systeemtests en observaties tonen aan hoe beveiligingsmaatregelen daadwerkelijk functioneren. De auditor kan vragen om toegangsrechten te demonstreren, back-upprocedures te tonen of incidentrespons door te lopen. Zij observeren werkprocessen om te zien of medewerkers procedures volgen.
De auditor verzamelt objectief bewijs en noteert bevindingen tijdens het proces. Aan het eind van elke dag bespreken zij voorlopige conclusies. De audit eindigt met een sluitingsmeeting waarin hoofdbevindingen worden gepresenteerd voordat het definitieve rapport volgt.
Wat gebeurt er na de audit en hoe kom je tot certificering?
Na de on-site audit ontvang je binnen 1-2 weken een gedetailleerd auditrapport met alle bevindingen, waarderingen en aanbevelingen. Bij een positieve beoordeling zonder grote tekortkomingen wordt je certificaat uitgegeven. Bij non-conformiteiten krijg je de kans om correctieve maatregelen te nemen voordat certificering plaatsvindt.
Het auditrapport bevat verschillende typen bevindingen: sterke punten, verbeterpunten en eventuele non-conformiteiten. Grote non-conformiteiten moeten worden opgelost voordat certificering mogelijk is. Kleine non-conformiteiten kunnen na certificering worden aangepakt binnen een afgesproken termijn.
Voor correctieve maatregelen heb je meestal 30-90 dagen de tijd. Je moet aantonen dat de oorzaak is weggenomen en maatregelen effectief zijn. De auditor beoordeelt je reactie en kan aanvullend bewijs vragen of een beperkte heraudit uitvoeren.
Een ISO 27001-certificaat is drie jaar geldig. Jaarlijks vinden controle-audits plaats om te controleren of het systeem nog steeds voldoet. Na drie jaar is hercertificering nodig, waarbij het volledige ISMS opnieuw wordt beoordeeld.
Het onderhouden van certificering vereist continu werk: regelmatige interne audits, managementreviews, het bijhouden van wijzigingen en het verbeteren van het systeem. Dit zorgt ervoor dat je informatiebeveiliging actueel blijft en waarde toevoegt aan je organisatie.
Wil je meer weten over het complete ISO 27001-certificeringstraject of heb je vragen over hoe wij je kunnen helpen? Neem dan contact met ons op voor een vrijblijvend gesprek over je specifieke situatie.
Veelgestelde vragen
Wat kost een ISO 27001-audit en welke factoren bepalen de prijs?
De kosten voor een ISO 27001-audit variëren tussen €5.000 en €25.000, afhankelijk van organisatiegrootte, complexiteit en scope. Grotere bedrijven met meerdere locaties betalen meer vanwege langere auditdagen en uitgebreidere documentatiereview.
Hoe lang duurt het voordat je een ISO 27001-certificaat ontvangt na een geslaagde audit?
Na een positieve audit ontvang je het ISO 27001-certificaat meestal binnen 2-4 weken. De certificerende instelling heeft tijd nodig voor administratieve afhandeling en kwaliteitscontrole van het auditrapport voordat officiële uitgifte plaatsvindt.
Wat gebeurt er als je organisatie niet slaagt voor de ISO 27001-audit?
Bij het niet slagen krijg je 30-90 dagen om non-conformiteiten op te lossen via correctieve maatregelen. De auditor beoordeelt je verbeteringen en kan een beperkte heraudit uitvoeren voordat certificering alsnog wordt toegekend.
Waarom zijn jaarlijkse controle-audits nodig en wat wordt er dan gecontroleerd?
Jaarlijkse controle-audits controleren of je ISMS nog steeds effectief functioneert en voldoet aan ISO 27001-eisen. De auditor beoordeelt wijzigingen, nieuwe risico's, incidentafhandeling en de werking van verbetermaatregelen sinds de vorige audit.
