De meest voorkomende issues bij het certificeren tegen ISO 27001 zijn onvoldoende gedocumenteerde procedures, een slecht afgebakende scope, een oppervlakkige risicoanalyse en een gebrek aan aantoonbare betrokkenheid van het management. Deze problemen zijn niet uniek voor één type organisatie, maar komen terug bij zowel kleine MKB’s als grotere instellingen. In dit artikel beantwoorden we de vragen die we het vaakst horen van organisaties die aan een ISO 27001 certificering beginnen, zodat jij goed voorbereid aan de start staat. Wil je direct sparren over jouw situatie? Neem gerust contact op, we helpen je graag verder.
Welke fouten maken organisaties het vaakst tijdens een ISO 27001-audit?
De meest voorkomende fouten tijdens een ISO 27001-audit zijn het ontbreken van aantoonbare management commitment, onvolledige documentatie van het Information Security Management System (ISMS), en het niet kunnen laten zien dat beleid ook daadwerkelijk wordt nageleefd in de dagelijkse praktijk. Papier en praktijk lopen bij veel organisaties uiteen.
Wat auditors keer op keer tegenkomen, is dat organisaties zich goed hebben voorbereid op de documentatie, maar vergeten zijn dat een audit ook gaat over gedrag en bewustzijn. Medewerkers die niet weten wat het informatiebeveiligingsbeleid inhoudt, procedures die wel beschreven zijn maar nooit zijn uitgelegd aan de betrokkenen, en logboeken die niet up-to-date zijn: dit zijn de signalen die tijdens een audit direct opvallen.
Een andere veelgemaakte fout is het onderschatten van de interne audit. Veel organisaties voeren deze uit als formaliteit, zonder echt te toetsen of het systeem functioneert. De interne audit is echter een kans om zwakke plekken op te sporen voordat de externe auditor dat doet. Wie die kans niet benut, loopt onnodig risico op bevindingen tijdens de certificeringsaudit.
Waarom zijn gedocumenteerde procedures zo’n struikelblok bij ISO 27001?
Gedocumenteerde procedures zijn een struikelblok bij ISO 27001 omdat organisaties óf te weinig documenteren óf juist een papieren tijger bouwen die niet aansluit op de werkelijkheid. De norm vraagt om documentatie die aantoont dat het systeem werkt, niet om documentatie als doel op zich.
Het probleem zit vaak in twee uitersten. Sommige organisaties schrijven uitgebreide beleidsdocumenten die niemand leest en die niet zijn afgestemd op hoe het werk werkelijk verloopt. Andere organisaties hebben goede werkwijzen, maar leggen niets vast. Beide situaties leveren bevindingen op tijdens een audit.
Wat werkt, is documentatie die proportioneel is: afgestemd op de omvang van de organisatie, begrijpelijk voor de mensen die ermee moeten werken, en aantoonbaar in gebruik. Denk aan een toegangsbeleid dat medewerkers kennen, een incidentprocedure die ook echt wordt gevolgd, en verslagen van managementreviews die inhoudelijk zijn en niet slechts een handtekening bevatten.
Hoe beïnvloedt een te brede of te smalle scope het certificeringstraject?
Een te brede scope maakt het certificeringstraject onnodig complex en kostbaar, terwijl een te smalle scope de waarde van het certificaat ondermijnt en vragen oproept bij klanten of opdrachtgevers. De scopebepaling is daarmee een van de meest strategische beslissingen in een ISO 27001-traject.
Organisaties die alles in scope nemen, lopen het risico dat het project onbeheersbaar wordt. Elk systeem, elke afdeling en elk proces vraagt dan om aandacht, wat de doorlooptijd en de inspanning sterk vergroot. Zeker voor organisaties die voor het eerst certificeren, is dit een recept voor vertraging en frustratie.
Een te smalle scope is echter ook een valkuil. Als de scope zo beperkt is dat de kernactiviteiten van de organisatie er nauwelijks in terugkomen, verliest het certificaat zijn geloofwaardigheid. Klanten en opdrachtgevers die vragen om een ISO 27001-certificaat, willen zekerheid over de informatiebeveiliging van de diensten die zij afnemen. Als die diensten buiten scope vallen, biedt het certificaat die zekerheid niet.
Een goede scopebepaling start met de vraag: voor wie en waarvoor willen we dit certificaat? Vanuit dat antwoord wordt de scope logisch en verdedigbaar opgebouwd.
Wat gaat er mis bij de risicoanalyse in ISO 27001-trajecten?
Bij de risicoanalyse in ISO 27001-trajecten gaat het het vaakst mis doordat organisaties risico’s te abstract beschrijven, de analyse eenmalig uitvoeren zonder deze te actualiseren, of de beheersmaatregelen niet koppelen aan de geïdentificeerde risico’s. Het resultaat is een document dat niet bruikbaar is als stuurinstrument.
ISO 27001 vraagt om een risicoanalyse die aansluit op de context van de organisatie. Dat klinkt eenvoudig, maar in de praktijk zien we vaak generieke risicolijsten die zijn overgenomen van internet of van andere organisaties. Zulke lijsten missen de specifieke dreigingen, kwetsbaarheden en bedrijfsprocessen die relevant zijn voor de eigen situatie.
Een ander veelvoorkomend probleem is dat de risicoanalyse wordt behandeld als een eenmalig project. De norm verwacht echter dat risicobeheer een continu proces is. Veranderingen in de organisatie, nieuwe technologieën of gewijzigde wet- en regelgeving kunnen de risicokaart ingrijpend veranderen. Wie de risicoanalyse niet periodiek herziet, loopt achter de feiten aan.
Tot slot ontbreekt het vaak aan een heldere koppeling tussen de geïdentificeerde risico’s en de gekozen beheersmaatregelen uit Annex A. Auditors willen kunnen zien waarom bepaalde maatregelen zijn gekozen en waarom andere bewust zijn uitgesloten. Zonder die redenering is de risicoanalyse niet overtuigend.
Wanneer is een organisatie écht klaar voor de certificeringsaudit?
Een organisatie is klaar voor de certificeringsaudit wanneer het ISMS aantoonbaar operationeel is, de interne audit en managementreview zijn uitgevoerd, en eventuele bevindingen zijn opgevolgd. Het gaat niet om perfectie, maar om een werkend systeem dat de organisatie begrijpt en uitvoert.
Een praktische checklist om gereedheid te beoordelen:
- Het informatiebeveiligingsbeleid is vastgesteld en gecommuniceerd aan medewerkers.
- De scope is gedocumenteerd en verdedigbaar.
- De risicoanalyse is uitgevoerd en beheersmaatregelen zijn geïmplementeerd.
- De interne audit heeft plaatsgevonden en bevindingen zijn aantoonbaar opgepakt.
- De managementreview is gehouden en gedocumenteerd.
- Medewerkers zijn zich bewust van hun rol binnen het ISMS.
- Alle vereiste registraties en logs zijn beschikbaar.
Wat organisaties soms vergeten, is dat de auditor niet verwacht dat alles perfect is. Bevindingen zijn normaal, zeker bij een eerste certificering. Wat wél wordt verwacht, is dat de organisatie laat zien dat ze begrijpt wat er speelt en hoe ze verbeteringen borgt. Een volwassen houding ten opzichte van informatiebeveiliging weegt zwaarder dan een onberispelijk papieren dossier.
Hoe voorkom je dat ISO 27001-certificering een eenmalig project blijft?
Je voorkomt dat ISO 27001-certificering een eenmalig project blijft door informatiebeveiliging structureel te verankeren in de bedrijfsvoering, met vaste eigenaren, periodieke reviews en een cultuur waarin beveiliging als gedeelde verantwoordelijkheid wordt gezien. Het certificaat is een startpunt, geen eindpunt.
De valkuil is herkenbaar: een organisatie werkt maanden hard aan de certificering, behaalt het certificaat en haalt vervolgens opgelucht adem. De aandacht verslapt, verantwoordelijkheden worden niet geborgd en bij de hercertificering twee jaar later moet alles opnieuw worden opgebouwd. Dit patroon is vermijdbaar.
Wat helpt, is het ISMS inbedden in bestaande overlegstructuren en processen. Maak informatiebeveiliging onderdeel van de reguliere managementrapportage, koppel het aan de risicomanagementcyclus van de organisatie en zorg dat er een eigenaar is die het systeem actief beheert. Dat hoeft geen fulltime functie te zijn, maar het vraagt wel om structurele aandacht.
Daarnaast is bewustwording bij medewerkers een doorlopende opgave. Mensen veranderen, systemen veranderen en dreigingen veranderen. Een jaarlijkse bewustwordingstraining is een minimum, maar de meest effectieve organisaties maken van beveiliging een onderdeel van de dagelijkse werkwijze. Lees ook meer over de brede context van informatiebeveiliging om te begrijpen hoe certificering daarbinnen past.
Een goede auditpartner helpt hierbij. Wij richten onze audits niet alleen op het vaststellen van tekortkomingen, maar ook op het zichtbaar maken van wat goed gaat en hoe de organisatie verder kan groeien. Zo wordt de certificering een duurzame investering in digitale weerbaarheid in plaats van een verplicht nummer. Klaar om de volgende stap te zetten? Neem contact op en plan een vrijblijvend gesprek met een van onze auditors.
Veelgestelde vragen
Wat zijn de meest voorkomende fouten bij een ISO 27001-audit?
De meest voorkomende fouten zijn het ontbreken van aantoonbare betrokkenheid van het management, onvolledige documentatie van het ISMS en het niet kunnen aantonen dat beleid ook in de dagelijkse praktijk wordt nageleefd. Medewerkers die het informatiebeveiligingsbeleid niet kennen en verouderde logboeken zijn signalen die auditors direct opvallen.
Hoe bepaal ik de juiste scope voor mijn ISO 27001-certificering?
Begin met de vraag voor wie en waarvoor je het certificaat wilt behalen, en bouw de scope vanuit dat antwoord logisch op. Een te brede scope maakt het traject onnodig complex en kostbaar, terwijl een te smalle scope de geloofwaardigheid van het certificaat ondermijnt bij klanten en opdrachtgevers die zekerheid willen over de diensten die zij afnemen.
Waarom is een risicoanalyse zo belangrijk binnen ISO 27001 en hoe doe ik het goed?
Een goede risicoanalyse is de basis van je ISMS en toont aan dat je beveiligingsmaatregelen bewust zijn gekozen op basis van echte dreigingen en kwetsbaarheden binnen jouw organisatie. Zorg dat de analyse specifiek is voor jouw context, periodiek wordt herzien bij organisatorische of technologische veranderingen, en dat er een heldere koppeling is tussen geïdentificeerde risico's en de gekozen beheersmaatregelen uit Annex A.
Wanneer is mijn organisatie klaar voor de certificeringsaudit?
Je organisatie is klaar wanneer het ISMS aantoonbaar operationeel is, de interne audit en managementreview zijn uitgevoerd en eventuele bevindingen aantoonbaar zijn opgepakt. De auditor verwacht geen perfectie, maar wel dat je organisatie begrijpt wat er speelt en hoe verbeteringen worden geborgd.
