Wat is de volgende stap als je al met een beveiligingsconsultant werkt?

Als je al samenwerkt met een beveiligingsconsultant, is de logische volgende stap het inschakelen van een onafhankelijke auditinstelling voor een certificeringsaudit. Een consultant helpt je organisatie om het ISMS op te bouwen en voor te bereiden; een auditinstelling beoordeelt onafhankelijk of dat systeem voldoet aan de norm, zoals ISO 27001. Wil je weten wat dat proces precies inhoudt? Neem gerust contact met ons op als je direct vragen hebt. In dit artikel beantwoorden we de meest gestelde vragen over het traject van consultant naar certificering.

Wat doet een auditinstelling dat een consultant niet doet?

Een auditinstelling voert een onafhankelijke, formele beoordeling uit van je informatiebeveiliging en geeft op basis daarvan een certificaat af. Een beveiligingsconsultant adviseert, begeleidt en helpt je organisatie bij het opzetten van een ISMS, maar mag die beoordeling niet zelf uitvoeren. Alleen een geaccrediteerde auditinstelling heeft de bevoegdheid om een geldig ISO 27001-certificaat te verlenen.

Dit onderscheid is niet alleen formeel, maar ook praktisch belangrijk. Een consultant staat naast je organisatie en denkt mee over hoe je de beveiliging inricht. Een auditinstelling staat buiten je organisatie en beoordeelt objectief of de inrichting voldoet aan de eisen van de norm. Die onafhankelijkheid is een vereiste voor de geloofwaardigheid van het certificaat bij klanten, opdrachtgevers en toezichthouders.

Bovendien kijkt een auditinstelling verder dan de documentatie. Tijdens een informatiebeveiligingsaudit worden processen, systemen en de dagelijkse praktijk getoetst. Dat geeft een realistisch beeld van hoe informatiebeveiliging werkelijk functioneert binnen de organisatie, niet alleen op papier.

Wanneer is een organisatie klaar voor een certificeringsaudit?

Een organisatie is klaar voor een certificeringsaudit wanneer het ISMS volledig is gedocumenteerd, geïmplementeerd en minimaal enkele maanden operationeel is. Concreet betekent dit dat risicobeoordelingen zijn uitgevoerd, beveiligingsmaatregelen zijn ingevoerd, interne audits hebben plaatsgevonden en het management de resultaten heeft beoordeeld.

Je beveiligingsconsultant kan je helpen om deze gereedheid te beoordelen. Veel organisaties voeren vlak voor de officiële audit een interne of pre-audit uit om eventuele hiaten te identificeren. Zo kom je goed voorbereid aan de start van het formele certificeringstraject en voorkom je verrassingen tijdens de audit zelf.

Een veelgemaakte fout is te vroeg starten met de certificeringsaudit, terwijl het ISMS nog niet stabiel genoeg is. Andersom zien we ook dat organisaties te lang wachten uit onzekerheid. Een korte intake met de auditinstelling kan snel duidelijkheid geven over de feitelijke gereedheid.

Hoe verloopt het certificeringstraject stap voor stap?

Een ISO 27001-certificeringstraject bestaat uit twee formele auditfasen, voorafgegaan door een voorbereidingsfase. De eerste auditfase (fase 1) is een documentatiebeoordeling; de tweede fase (fase 2) is een diepgaande toetsing van de implementatie. Samen vormen ze de basis voor het certificeringsbesluit.

In de praktijk ziet het traject er als volgt uit:

1. Voorbereiding: Je organisatie bouwt, samen met een consultant, het ISMS op en zorgt dat alle vereiste documentatie aanwezig is.
2. Fase 1-audit: De auditinstelling beoordeelt de documentatie en stelt vast of de organisatie klaar is voor de volledige audit. Eventuele tekortkomingen worden hier al gesignaleerd.
3. Fase 2-audit: Auditors toetsen op locatie of de beveiligingsmaatregelen daadwerkelijk zijn geïmplementeerd en effectief werken. Medewerkers worden geïnterviewd en processen worden beoordeeld.
4. Certificeringsbesluit: Op basis van de bevindingen beslist de auditinstelling of het certificaat wordt afgegeven.
5. Surveillance-audits: Na afgifte vinden jaarlijkse controleaudits plaats om te bevestigen dat het ISMS onderhouden wordt. Na drie jaar volgt een hercertificering.

Meer informatie over hoe dit traject er bij ons uitziet, vind je op de pagina over ISO 27001-certificering.

Wat gebeurt er als de audit bevindingen oplevert?

Als de certificeringsaudit bevindingen oplevert, worden deze gecategoriseerd als afwijkingen of opmerkingen. Een afwijking betekent dat een vereiste van de norm niet wordt nageleefd en moet worden opgelost voordat het certificaat wordt afgegeven. Een opmerking is een verbeterpunt dat geen blokkade vormt voor certificering.

Bij een grote afwijking krijgt de organisatie de gelegenheid om een correctief actieplan op te stellen en de afwijking op te lossen. Afhankelijk van de ernst kan de auditinstelling besluiten een aanvullende audit in te plannen om te verifiëren dat de afwijking daadwerkelijk is opgelost. Dit is geen ongewone situatie en zeker geen reden tot paniek.

Kleine afwijkingen kunnen in veel gevallen worden opgelost met documentatie of procesaanpassingen, zonder dat een volledig nieuwe audit nodig is. Een goede auditinstelling communiceert helder over de bevindingen en ondersteunt de organisatie bij het begrijpen van de verwachte verbeteringen, zonder daarbij de rol van consultant over te nemen.

Hoe kies je de juiste auditinstelling voor jouw sector?

De juiste auditinstelling voor jouw sector is een geaccrediteerde instelling met aantoonbare ervaring in jouw branche en met de relevante norm, zoals ISO 27001 of NEN 7510. Accreditatie door de Raad voor Accreditatie (RvA) is een minimumvereiste; sectorkennis bepaalt de kwaliteit van de audit.

Praktische criteria om op te letten bij de keuze:

• Accreditatie: Controleer of de instelling RvA-geaccrediteerd is voor de betreffende norm.
• Sectorervaring: Een auditinstelling met ervaring in de zorg, overheid of ICT begrijpt de specifieke context en risico’s van jouw organisatie.
• Aanpak: Vraag naar de auditaanpak. Een instelling die maatwerk levert en verder kijkt dan een checklist, voegt meer waarde toe.
• Communicatie: Helderheid en bereikbaarheid tijdens het traject zijn belangrijke kwaliteitsindicatoren.
• Referenties: Vraag naar ervaringen van vergelijkbare organisaties.

Wij werken vanuit Eindhoven met organisaties in uiteenlopende sectoren, van zorginstellingen tot IT-bedrijven en kritieke infrastructuur. Onze auditors combineren technische kennis met sectorspecifieke expertise, zodat de audit aansluit bij de werkelijkheid van jouw organisatie.

Wat kost een ISO 27001-certificeringsaudit?

De kosten van een ISO 27001-certificeringsaudit variëren afhankelijk van de omvang van de organisatie, het auditbereik en het aantal medewerkers dat binnen de scope valt. Voor kleine organisaties liggen de kosten doorgaans lager dan voor grote, complexe organisaties met meerdere locaties of systemen.

Een certificeringsaudit bestaat uit meerdere onderdelen die elk bijdragen aan de totale kosten:

• De fase 1-audit (documentatiebeoordeling)
• De fase 2-audit (implementatietoetsing op locatie)
• Jaarlijkse surveillance-audits gedurende de certificeringsperiode van drie jaar
• Eventuele aanvullende audits bij afwijkingen

Naast de auditkosten zijn er ook kosten voor de voorbereiding, zoals de inzet van een beveiligingsconsultant en interne uren. Het is verstandig om die totale investering mee te nemen in de begroting. Een transparante offerte van de auditinstelling geeft inzicht in wat je kunt verwachten, zonder verrassingen achteraf.

Wil je weten wat een certificeringstraject voor jouw organisatie kost? Neem contact met ons op voor een vrijblijvende offerte of een eerste gesprek over de mogelijkheden.

Gerelateerde artikelen

• Wat is een risicoanalyse volgens NEN 7510?
• Wat is de rol van de IGJ bij NEN 7510?
• Hoe vaak moet je NEN 7510 certificering vernieuwen?
• Welke bewaartermijnen gelden voor medische gegevens?
• Hoe verhoogt ISO 27001 de rechtsbescherming?