De ISO 72001 audit moeiteloos doorlopen: 10 tips

Een ISO 27001 audit voor certificering bestaat uit twee fases. Bij de eerste fase wordt met name de documentatie beoordeeld, terwijl er bij de tweede fase wordt gekeken naar de uitvoering en werking van het ISMS.

Wilt u beide fases van de audit succesvol doorlopen? In dit blogartikel leggen wij precies uit wat de ISO audit inhoudt en geven wij nuttige tot kostenbesparende tips. 

In dit blog:

• Wat is een ISO 27001 audit?
• De twee fases van een audit
• 10 tips om de ISO 27001 audit succesvol te doorlopen
• De kosten van een ISO 27001 audit

Wat is een ISO 27001 audit? 

Een ISO 27001 audit is een formeel proces waarmee wordt beoordeeld of een organisatie voldoet aan de ISO 27001-standaard voor informatiebeveiliging. Deze standaard specificeert de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Het behalen van het ISO 27001-certificaat toont aan dat uw organisatie voldoet aan de gestelde normen en eisen rondom informatiebeveiliging, wat vertrouwen wekt bij klanten, partners en stakeholders.

Met behulp van een ISO 27001 audit wordt bepaald of uw organisatie in aanmerking komt voor het ISO 27001 certificaat. Met een ISO 27001 certificaat toont uw organisatie aan dat u voldoet aan de gestelde normen en eisen rondom informatiebeveiliging. Dit certificaat behaalt u echter niet zomaar; er zijn een heleboel richtlijnen waar u aan moet voldoen. 

Lees ook: Wat is het verschil tussen de ISOO 27001 en ISOO 27002

ISO 27001 audit: de twee fases

Zoals eerder aangegeven bestaat een audit voor het behalen van een ISO 27001 certificering uit twee fases.

Fase 1: Documentation audit

De eerste fase wordt ook wel de ‘documentation audit’ genoemd.

Hierbij draait het om het beoordelen van de status van documentatie binnen de organisatie, het beoordelen van het prestatiesysteem en het beoordelen of de organisatie gereed is voor de volgende fase.

Fase 2: Compliance audit

De tweede fase wordt ook wel de ‘compliance audit’ genoemd. Tijdens deze fase wordt de werking en uitvoering van het ISMS (Information Security Management System) beoordeeld:

• Voldoet het ISMS aan de auditcriteria, ofwel het certificatieschema?
• Stelt het ISMS de organisatie in staat informatiebeveiliging zo te waarborgen dat zij voldoet aan contractuele verplichtingen?
• Stelt het ISMS de organisatie in staat informatiebeveiliging zo te waarborgen dat zij voldoet aan de verschillende wet- en regelgevingen?
• Is het ISMS effectief, zodat redelijkerwijs verwacht kan worden dat de door de organisatie gestelde doelen behaald kunnen worden?
• Kan het ISMS op specifieke gebieden mogelijk verbeterd worden?

Lees ook: Interne audit van ISO normen

10 tips om de ISO 27001 audit succesvol te doorlopen

Wilt u met uw organisatie de twee fases van een ISO 27001 audit succesvol doorlopen? Met de volgende tips wordt het behalen van het certificaat een stuk eenvoudiger:

1. Kies een geaccrediteerde auditor

   Het kiezen van een auditor die erkend is door de Raad van Accreditatie (RvA) zorgt ervoor dat uw certificering wereldwijd wordt erkend. Dit geeft uw certificering meer waarde en biedt de zekerheid dat de audit op een onafhankelijke en objectieve manier wordt uitgevoerd. 
   
   Het is verstandig om tijdig contact op te nemen met potentiële auditors en te controleren of zij de juiste accreditaties en ervaring hebben om uw specifieke branche te auditen.

2. Zorg voor interne kennis

   Binnen de organisatie is het belangrijk om een team samen te stellen dat goed op de hoogte is van alle aspecten van het ISMS en de ISO 27001-normen. Dit team moet in staat zijn om alle vragen van de auditor te beantwoorden, zowel op strategisch als operationeel niveau. 
   Dit vereist niet alleen kennis van de documentatie, maar ook inzicht in de praktische uitvoering van de informatiebeveiligingsmaatregelen. Interne trainingen en proefaudits (simuelatiesessies) kunnen helpen om ervoor te zorgen dat het team goed voorbereid is. 
   
   Zoek binnen de organisatie naar medewerkers die alle vragen rondom informatiebeveiliging kunnen beantwoorden. De juiste kennis kan een flinke impact hebben op het resultaat.
   
   Denk hierbij aan vragen die beginnen met:

    

   - Wat doen we wel en wat doen we niet?
   - Hoe doen we dat?
   - Wanneer doen we dat?
   - Waarom doen we dat?
   - Kunnen we dat laten zien?
   - Hoe meten we dat?

3. Zorg voor volledige documentatie

   Een van de meest voorkomende valkuilen tijdens een ISO 27001 audit is het ontbreken van adequate documentatie. Zorg ervoor dat alle procedures, beleidslijnen en risicobeoordelingen die door de ISO 27001 worden vereist, volledig en up-to-date zijn gedocumenteerd. Dit omvat ook bewijsmateriaal zoals logboeken, rapportages en interne audits. 
   
   Houd er rekening mee dat de auditor mogelijk steekproeven neemt, dus zorg ervoor dat alle documentatie systematisch wordt bijgehouden en gemakkelijk toegankelijk is.
   
   Zoek daarom in de norm naar ‘gedocumenteerd’ (of documentatie). De gevonden zaken dienen dus gedocumenteerd te zijn. Het zou vervelend zijn als het daarop vastloopt.

4. Maak een overzicht van de documentatie

   Maak voorafgaand aan de audit een overzicht van alle documentatie en bijbehorende normen. Het opstellen van een overzicht van alle relevante documentatie en normen is een effectieve manier om de audit soepel te laten verlopen. 
   
   Overweeg om een matrix of spreadsheet te maken waarin u per norm vastlegt waar de bijbehorende documentatie te vinden is, welk bewijs er is voor de uitvoering van de norm, en hoe de controle op de beheersmaatregel wordt uitgevoerd. Dit maakt het voor zowel uw team als de auditor duidelijk waar de benodigde informatie zich bevindt en voorkomt onnodige vertragingen.
   
   Een andere optie is door bijvoorbeeld een drietal kolommen toe te voegen aan de verklaring van toepasselijkheid:

   (1) waar is het beleid te vinden?
   (2) waar is bewijs te vinden van het uitvoeren van de norm?
   (3) hoe voer je de controle uit op de beheersmaatregel?

5. Doe een test controle

   Naast de administratieve en technische aspecten van informatiebeveiliging zal de auditor ook de fysieke beveiliging van uw organisatie willen controleren. Dit omvat het beveiligingsniveau van kantoorruimtes, datacenters en archiefruimtes.
   
   Loop daarom een keer door het kantoor en de verschillende ruimtes: stel vragen als ‘Wat zit er in deze kast?’ ‘Wat staat er op deze schijf?’ ‘Wie kan hier bij?’ ‘Wie is daar verantwoordelijk voor?’ ‘Hoe doen we onderhoud?’ en ‘Wat testen we?’

6. Zorg voor aantoonbare naleving

   Doe wat u hebt beschreven en maak dit aantoonbaar. Uiteindelijk gaat het er om dat de auditor niet alleen het verhaal krijgt, maar dat de praktijk het ook aantoont. 
   
   Het spreekt misschien voor zich, maar het is niet voldoende om alleen procedures en beleidslijnen op papier te hebben; uw organisatie moet deze ook daadwerkelijk naleven. Gebruik systemen zoals ticketing-tools om de uitvoering van procedures en processen te documenteren. 
   
   Dit maakt het voor de auditor duidelijk dat uw ISMS niet alleen goed is ontworpen, maar ook effectief wordt toegepast in de dagelijkse praktijk. Zorg ervoor dat u operationele processen kunt aantonen met concrete voorbeelden en dat alle acties die worden ondernomen, traceerbaar zijn.

7. Focus op het behalen van doelen

   De ISO 27001-norm schrijft niet voor hoe specifieke beveiligingsmaatregelen moeten worden geïmplementeerd, maar legt de nadruk op het behalen van bepaalde doelen. Dit geeft uw organisatie de flexibiliteit om maatregelen te kiezen die het beste passen bij uw bedrijfsomgeving en risicoprofiel. Zorg ervoor dat alle verplichte onderdelen uit hoofdstuk 4 t/m 10 volledig zijn geïmplementeerd en dat de bijlage A, die een overzicht biedt van beheersmaatregelen, goed aansluit op de scope van de informatiebeveiliging.

8. Voer verbeteringen stapsgewijs door

   In plaats van te proberen alle mogelijke verbeteringen in één keer door te voeren, is het effectiever om een continu verbeteringsproces te implementeren. Dit sluit ook aan bij het PDCA-model (Plan-Do-Check-Act) dat centraal staat in de ISO 27001. 
   
   Door alle verbeteringen zorgvuldig te documenteren en in te plannen, laat u aan de auditor zien dat uw organisatie zich actief bezighoudt met het verbeteren van de informatiebeveiliging en dat er een gestructureerde aanpak is om risico's aan te pakken.

9. Stel vragen tijdens de audit

   Hoewel een auditor geen advies mag geven over specifieke oplossingen, kan hij of zij wel verduidelijking bieden over de interpretatie van de norm. Maak gebruik van deze mogelijkheid door vragen te stellen als u ergens over twijfelt of als u meer wilt begrijpen over hoe bepaalde eisen worden beoordeeld. Dit kan waardevolle inzichten opleveren die u kunt gebruiken om uw ISMS verder te optimaliseren en om ervoor te zorgen dat uw organisatie volledig compliant is.

10. Denk ook na over wat er komt na de ISO 27001 audit

    Denk na over beheer na de certificering. Hoe gaat u alle zaken bijhouden en het proces continueren?

De kosten van een ISO 27001 audit

De kosten van een ISO 27001 audit kunnen sterk variëren, afhankelijk van verschillende factoren zoals de omvang en complexiteit van de organisatie, de gekozen certificerende instantie, en de mate van voorbereiding van de organisatie. 

Voor kleinere bedrijven kunnen de kosten ergens tussen de €5.000 en €15.000 liggen, terwijl grotere of meer complexe organisaties mogelijk te maken krijgen met kosten die kunnen oplopen tot €30.000 of meer. Deze kosten omvatten zowel de voorbereidende kosten, zoals interne audits en eventuele consultancy, als de feitelijke auditkosten door de certificerende instantie. Het is belangrijk om rekening te houden met deze variabele kosten bij het plannen van een ISO 27001 certificering.

Kostenbesparende tip

Download gratis ons e-book ‘In tien stappen naar ISO 27001’. In dit e-book bespreken wij meer achterliggende informatie rondom de ISO-norm. Daarvoor staan we onder andere stil bij het vaststellen van een beleid en welke maatregelen geïmplementeerd dienen te worden voor de risico’s.