Met behulp van een ISO 27001 audit wordt bepaald of uw organisatie in aanmerking komt voor het ISO 27001 certificaat. Met een ISO 27001 certificaat toont uw organisatie aan dat u voldoet aan de gestelde normen en eisen rondom informatiebeveiliging. Dit certificaat behaalt u echter niet zomaar; er zijn een heleboel richtlijnen waar u aan moet voldoen.
Een ISO 27001 audit voor certificering bestaat uit twee fases. Bij de eerste fase wordt met name de documentatie beoordeeld, terwijl er bij de tweede fase wordt gekeken naar de uitvoering en werking van het ISMS.
Wilt u beide fases van de audit succesvol doorlopen? In dit blogartikel geven wij nuttige tips:
- De twee fases van een audit
- 10 tips om de ISO 27001 audit succesvol te doorlopen
Behaal meer rendement uit uw ISO 27001 implementatie. Krijg toegang tot het on demand webinar vol met praktische tips en tricks over het implementeren van ISO 27001 en NEN 7510.
ISO 27001 audit: de twee fases
Zoals eerder aangegeven bestaat een audit voor het behalen van een ISO 27001 certificering uit twee fases. De eerste fase wordt ook wel de ‘documentation audit’ genoemd.
Hierbij draait het om het beoordelen van de status van documentatie binnen de organisatie, het beoordelen van het prestatiesysteem en het beoordelen of de organisatie gereed is voor de volgende fase.
De tweede fase wordt ook wel de ‘compliance audit’ genoemd. Tijdens deze fase wordt de werking en uitvoering van het ISMS (Information Security Management System) beoordeeld:
- Voldoet het ISMS aan de auditcriteria, ofwel het certificatieschema?
- Stelt het ISMS de organisatie in staat informatiebeveiliging zo te waarborgen dat zij voldoet aan contractuele verplichtingen?
- Stelt het ISMS de organisatie in staat informatiebeveiliging zo te waarborgen dat zij voldoet aan de verschillende wet- en regelgevingen?
- Is het ISMS effectief, zodat redelijkerwijs verwacht kan worden dat de door de organisatie gestelde doelen behaald kunnen worden?
- Kan het ISMS op specifieke gebieden mogelijk verbeterd worden?
ISO 27001 tips om de audit succesvol te doorlopen
Wilt u met uw organisatie de twee fases van een ISO 27001 audit succesvol doorlopen? Met de volgende tips wordt het behalen van het certificaat een stuk eenvoudiger:
-
Zoek een door de Raad van Accreditatie geaccrediteerde auditor. Dit maakt dat uw certificering ook daadwerkelijk waarde heeft.
-
Zoek binnen de organisatie naar medewerkers die alle vragen rondom informatiebeveiliging kunnen beantwoorden. De juiste kennis kan een flinke impact hebben op het resultaat.
Denk hierbij aan vragen die beginnen met:
-
Wat doen we wel en wat doen we niet?
-
Hoe doen we dat?
-
Wanneer doen we dat?
-
Waarom doen we dat?
-
Kunnen we dat laten zien?
-
Hoe meten we dat?
-
-
Zoek in de norm naar ‘gedocumenteerd’ (of documentatie). De gevonden zaken dienen dus gedocumenteerd te zijn. Al te vaak gebeurt het dat dergelijke zaken niet vastliggen.
-
Maak voorafgaand aan de audit een overzicht van alle documentatie en bijbehorende normen. Voeg bijvoorbeeld een drietal kolommen toe aan de verklaring van toepasselijkheid:
-
(1) waar is het beleid te vinden?
-
(2) waar is bewijs te vinden van het uitvoeren van de norm?
-
(3) hoe voer je de controle uit op de beheersmaatregel?
-
-
Loop een keer door het kantoor en de verschillende ruimtes: stel vragen als ‘Wat zit er in deze kast?’ ‘Wat staat er op deze schijf?’ ‘Wie kan hier bij?’ ‘Wie is daar verantwoordelijk voor?’ ‘Hoe doen we onderhoud?’ en ‘Wat testen we?’
-
Doe wat u hebt beschreven en maak dit aantoonbaar. Uiteindelijk gaat het er om dat de auditor niet alleen het verhaal krijgt, maar dat de praktijk het ook aantoont. Een ticketing-systeem helpt om operationele uitvoering van processen en procedures vast te leggen en daarmee aantoonbaar te maken.
-
De ISO 27001 norm definieert niet hoe u iets moet doen maar wel wat u moet doen. Hoofdstuk 4 t/m 10 zijn daarbij verplicht om als geheel te realiseren. Bijlage A is afhankelijk van de scope van de informatiebeveiliging.
-
Ga uit van de huidige situatie; probeer niet alle mogelijke verbeteringen direct te realiseren maar implementeer een proces van verbetering. Leg dergelijke verbeteringen vast en plan deze in.
-
Stel vragen tijdens de audit. Alhoewel de auditor geen advies mag geven, kan deze wel uitleg geven over de norm en hoe deze uit te leggen.
-
Denk na over beheer na de certificering. Hoe gaat u alle zaken bijhouden en het proces continueren?
Extra tip
Download gratis ons e-book ‘In tien stappen naar ISO 27001’. In dit e-book bespreken wij meer achterliggende informatie rondom de ISO-norm. Daarvoor staan we onder andere stil bij het vaststellen van een beleid en welke maatregelen geïmplementeerd dienen te worden voor de risico’s.
Krijg toegang tot het on demand webinar vol met praktische tips en tricks over het implementeren van ISO 27001 en NEN 7510.