Academie thuis
Blogs
Ik heb een ISO 27001 auditgesprek aangevraagd - wat kan ik verwachten?
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Ik heb een ISO 27001 auditgesprek aangevraagd - wat kan ik verwachten?

ISO 27001 collectie
Ik heb een ISO 27001 auditgesprek aangevraagd - wat kan ik verwachten?
NIS2-verzameling
Ik heb een ISO 27001 auditgesprek aangevraagd - wat kan ik verwachten?
Cyberday blog
Ik heb een ISO 27001 auditgesprek aangevraagd - wat kan ik verwachten?

In januari 2025 onderging Cyberday een ISO 27001:2022 surveillance audit. Ons bedrijf heeft de ISO 27001 certificering sinds 2021. Voor ISO 27001 is de certificering drie jaar geldig en moet er jaarlijks een bewakingsaudit worden uitgevoerd. Aangezien we in 2024 zijn gehercertificeerd, was dit onze 1e controle-audit voor deze driejarige certificeringsperiode.  

Naast de hercertificatie- en toezichtsaudits moeten organisaties minstens één keer per jaar een interne audit uitvoeren.

Om de audit uit te voeren, vroeg de auditor ons om twee aparte personeelsinterviews te houden: een interview met nieuwe medewerkers en een rolgebaseerd interview. Ik werd uitgenodigd om deel te nemen aan het interview met nieuwe medewerkers en nu wil ik jullie daar graag mee naartoe nemen. 🚀

In deze blog bespreken we het belang van werknemersparticipatie in het auditinterviewproces, waarom auditors de inzichten van werknemers waarderen en kijken we naar mogelijke vragen die worden gesteld in een ISO 27001-interview.

Als u meer wilt weten over het hele overkoepelende proces, bekijk dan onze blog over het ISO 27001 certificeringsproces.

Het belang van werknemersparticipatie bij beveiligingsaudits

Audits, met name de ISO 27001, zijn sterk afhankelijk van de actieve betrokkenheid van werknemers. Zij vormen de basis van het Information Security Management System (ISMS) van een organisatie en hun betrokkenheid bij audits bevordert de transparantie en verdiept hun begrip van het beveiligingsbeleid en de beveiligingsprocedures van het bedrijf.

In dit artikel richten we ons op de betrokkenheid van werknemers bij auditgesprekken, maar er zijn vele andere manieren waarop een organisatie werknemers kan betrekken, zoals:

  • Werknemers actief betrekken bij het voorbereidingsproces om een proactieve informatiebeveiligingscultuur op te bouwen en te ontwikkelen.  
  • Mogelijkheid voor trainingssessies en workshops met betrekking tot het raamwerk: op deze manier kunnen werknemers hun rol in het handhaven van de naleving beter begrijpen en zullen ze eerder vragen stellen om eventuele onduidelijkheden op te helderen.
  • Vóór de audit moeten medewerkers ervoor zorgen dat alle documentatie met betrekking tot hun eigen werk up-to-date is en een accurate weergave is van de beveiligingspraktijken die ze volgen.
  • Stimuleer werknemers om feedback te geven over het ISMS en het auditproces. Inzichten van werknemers kunnen waardevol zijn om mogelijke verbeteringen te identificeren.

Audits zijn niet alleen bedoeld om aan de eisen te voldoen; ze zijn bedoeld voor voortdurende verbetering. De betrokkenheid van werknemers bij deze processen helpt bij het identificeren van potentiële gaten in de beveiliging die anders misschien onopgemerkt zouden blijven. Als werknemers feedback kunnen geven over praktische verbeteringen en aanpassingen op basis van hun praktijkervaring, draagt dit bij aan een effectiever ISMS en stimuleert dit een proactieve cultuur op het gebied van informatiebeveiliging.

Waarom doen auditors personeelsinterviews?

Nieuwe werknemers kunnen bij het auditproces worden betrokken door middel van gesprekken of door documentatie te verstrekken.

Interviews met medewerkers vormen een belangrijk onderdeel van een ISO 27001-audit, omdat auditors hierdoor uit de eerste hand inzicht krijgen in de manier waarop het informatiebeveiligingsbeleid en de verificatie of procedures in de praktijk worden uitgevoerd. Auditors beoordelen of medewerkers de rol en verantwoordelijkheden begrijpen die ze hebben bij het handhaven van de informatiebeveiligingsstatus van de organisatie.

Door middel van interviews kunnen auditors de effectiviteit evalueren van de trainingsprogramma's en bewustmakingsinitiatieven die de organisatie heeft opgezet. Dit helpt bij het identificeren van eventuele hiaten in de kennis of gebieden waar aanvullende training nodig zou kunnen zijn, om ervoor te zorgen dat al het personeel voldoende is voorbereid om uitdagingen op het gebied van informatiebeveiliging aan te gaan. Personeelsinterviews bieden ook een unieke kans om discrepanties tussen gedocumenteerde procedures en de werkelijke praktijk aan het licht te brengen. Medewerkers kunnen praktische feedback geven over de bruikbaarheid en relevantie van beveiligingscontroles, wat kan leiden tot verbeteringen in het beheersysteem voor informatiebeveiliging van de organisatie.

Mogelijke interviewvragen voor ISO 27001-audit

Laten we vervolgens eens kijken naar wat er in de vragen van het informatiebeveiligingsauditgesprek kan staan. Deze vragen kunnen worden ingedeeld naar rol en onderwerp. Tijdens het interview zal de auditor nagaan of de medewerkers echt op de hoogte zijn van het informatiebeveiligingsbeleid van de organisatie, wat hun rollen en verantwoordelijkheden zijn met betrekking tot beveiligingsmaatregelen en of de dagelijkse werktaken overeenstemmen met het raamwerk, in dit geval met de ISO 27001-controles.

Algemene interviewvragen kunnen relevant zijn voor alle auditgesprekken:  

Dit zijn slechts voorbeelden van de thema's van het ISO 27001 auditinterview. Het is belangrijk dat de medewerker zich bewust is van de beste beveiligingspraktijken en deze volgt in zijn werkroutine.

Rolgebaseerd auditgesprek

Vooral in een rolgebaseerd interview kunnen vragen worden geselecteerd op basis van je professionele rol. Op deze manier kan het interview inzicht geven in hoe u informatiebeveiliging beheert vanuit het perspectief van uw specifieke rol. Hier zijn enkele rolgebaseerde vraagthema's:

IT-team:

  • De vragen kunnen gericht zijn op technische controles en beveiligingsmaatregelen. Bijvoorbeeld: Welke beveiligingsmaatregelen zijn er om ongeautoriseerde toegang tot IT-systemen te voorkomen? Hoe vaak pas je beveiligingspatches en updates toe?

HR (Human Resources):

  • HR kan vragen krijgen over de beveiliging bij het aannemen, trainen en uit dienst nemen van werknemers. Bijvoorbeeld: Welke veiligheidscontroles worden uitgevoerd voor nieuwe werknemers? Hoe zorgt u ervoor dat nieuwe werknemers een veiligheidstraining krijgen?

Finance & Purchacing teams:

  • De vragen kunnen gericht zijn op transacties, financiële beveiliging en leveranciersbeheer, afhankelijk van de rol. Bijvoorbeeld: Hoe zorg je ervoor dat financiële transacties veilig zijn? Hoe beoordeel je de beveiliging van externe leveranciers voordat je met ze samenwerkt?

Afdelingshoofden:

  • Dit managementniveau beantwoordt vragen op basis van gegevensbescherming, risicobeheer en beleidshandhaving. Bijvoorbeeld: Hoe zorgt u ervoor dat werknemers op uw afdeling het beveiligingsbeleid volgen, bijvoorbeeld het clean desk-beleid?

Verkoopteam:

  • Leden van het verkoopteam gaan om met klantgegevens, contracten en gevoelige bedrijfsinformatie, waardoor ze een belangrijk aandachtspunt zijn bij een ISO 27001-audit. Auditors zullen controleren hoe goed ze klantinformatie beschermen, het beveiligingsbeleid volgen en datalekken voorkomen. Bijvoorbeeld: Waar slaat u klantcontracten en gevoelige informatie op? Hoe zorgt u ervoor dat klantgegevens in de CRM niet worden misbruikt of uitlekken?

Aan de hand van rolgebaseerde interviews kan worden geverifieerd of werknemers binnen hun functieverantwoordelijkheden beveiligingsmaatregelen consequent doorvoeren. Deze interviews zijn cruciaal voor het beoordelen van specifieke beveiligingscontroles en het identificeren van potentiële risico's. Ze helpen auditors ook om te bepalen of de trainings- en bewustwordingsprogramma's van de organisatie op effectieve wijze hebben geleid tot diepgaande kennis van beveiliging in de dagelijkse werkzaamheden.

Controlegesprek nieuwe werknemer

Vragen voor een auditgesprek met nieuwe medewerkers richten zich op onderwerpen als het inwerkproces, training in beveiligingsbewustzijn en communicatie over het beleid. Met deze vragen wil de auditor ervoor zorgen dat er vanaf de eerste dag rekening wordt gehouden met beveiliging en dat nieuwe medewerkers hun verantwoordelijkheden begrijpen. Vergeleken met een rolgebaseerd interview richt het interview van nieuwe medewerkers zich op de basisprocessen van de organisatie, vooral in de beginfase:

  • Beoordelen hoe goed het inwerkproces het beveiligingsbewustzijn dekt: Kunt u uw wervingsproces/uw eerste dagen op het werk beschrijven?
  • Algemeen bewustzijn van informatiebeveiliging: Heb je een beveiligingstraining gekregen nadat je bij de organisatie bent gekomen? Wanneer en hoe werd de training gegeven? Waar kunt u het informatiebeveiligingsbeleid van het bedrijf vinden? Hoe blijft u op de hoogte van het beveiligingsbeleid van het bedrijf?
  • Toegangscontrole & Fysiek werk en werk op afstand: Hoe vraag je toegang tot bedrijfssystemen of software? Mag je persoonlijke apparaten gebruiken voor je werk? Hoe beveilig je je werkplek als je niet achter je bureau zit?
  • De vragen kunnen ook je kennis over informatiebeveiliging tot nu toe testen, om de effectiviteit van de onboarding-beveiligingstraining te controleren : Wat zou je doen als je een verdachte e-mail ontvangt waarin om je inloggegevens wordt gevraagd? Wat moet je doen als je laptop of telefoon van het bedrijf zoekraakt of wordt gestolen?

Is er een manier om je voor te bereiden op de audit?

Als je je wilt voorbereiden op je aankomende sollicitatiegesprek, zijn hier een paar manieren om je te helpen.

  • Lees de richtlijnen opnieuw: Zorg ervoor dat je de richtlijnen van de organisatie hebt gelezen en begrepen. Controleer ook waar u de relevante documenten kunt vinden, bijv. informatiebeveiligingsbeleid
  • Proefinterview: Zenuwachtig voor het interview? Verzamel veelvoorkomende auditinterviewvragen en vraag de hulp van een collega of neem de vragen zelf door.
  • Denkbeeldige cyberbedreigingen: Aangezien de interviewer je zou kunnen vragen hoe je moet handelen bij een mogelijke phishingpoging, of wat je moet doen als je je telefoon of laptop verliest, is het goed om de best practices en instructies door te nemen.
In Cyberday kunnen gebruikers altijd teruggaan om de gegeven richtlijnen te lezen

Zolang de ISO 27001-maatregelen goed zijn ingeburgerd in uw organisatie, zal ook de voorbereiding op een audit eenvoudiger zijn. Onthoud in de interviewsituatie : 

  • Je wordt niet getest. Het interview is er om er zeker van te zijn dat je organisatie echt doet wat ze zeggen dat ze doen.
  • Vergeet niet om de vragen van de auditors eerlijk te beantwoorden. Als je iets niet weet, weet je misschien wie je daarbij kan helpen?
  • Je kunt voorbeelden uit het echte leven gebruiken, en wat nog beter is - je kunt, indien mogelijk, toegepaste beveiligingsmaatregelen laten zien.
  • Als je beveiligingstrainingen hebt gevolgd of als je weet dat je organisatie bewustwordingsprogramma's organiseert, kun je die hier vermelden. Deze kunnen de voortdurende verbeteringsmaatregelen in de organisatie benadrukken.

Belangrijkste punten uit mijn eerste auditgesprek

Voorafgaand aan de audit namen we het tijdschema voor de auditdagen door, evenals wanneer elk interview zou plaatsvinden. We namen de hoofdthema's van de audit door en bespraken de verschillen tussen de twee interviews, waarbij we controleerden of de deelnemers zich op hun gemak voelden bij de interviews. We hoefden niet echt in te gaan op de details, want je zou kunnen zeggen dat we in het hart van Cyberday werken en dat informatiebeveiliging voor ons vrijwel dagelijkse kost is.

Aangezien ik specifiek werd geïnterviewd vanuit het oogpunt van een nieuwe werknemer, begon het interview met het vertellen van mijn rol in Cyberday en hoe lang ik hier nu werk. Daarna begonnen we bij het begin. En als ik begin zeg, bedoel ik vanaf het wervingsproces. Van daaruit gingen we naar onboarding en veiligheidstrainingsprocedures, verantwoordelijkheden, fysieke beveiliging en meer gedetailleerde zaken, bijvoorbeeld wat ik moet doen als ik phishing e-mails krijg. Ik heb ook gesproken over wat ik persoonlijk zie als verbeterpunten voor mijn werkomgeving. Over het algemeen was het interview meer conversationeel en het laatste beetje nerveuze gevoel smolt vrij snel weg toen ik me realiseerde dat ik de vragen zonder problemen kon beantwoorden.

Als u op het punt staat geïnterviewd te worden tijdens een audit, kunt u nerveus zijn, vooral als de situatie van het interview wat onbekender is. Maar als er ISO 27001-maatregelen zijn genomen in uw organisatie, hoeft u zich nergens zorgen over te maken. Het belangrijkste is dat u eerlijk bent tegen de auditor. Als u iets niet weet of u iets niet herinnert, is het goed om te weten waar u de informatie kunt vinden.

Geschreven door
Ronja Isaksson
13.2.2025
@
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Artikel delen

Andere vergelijkbare content van Academy

Blogs

10 meest voorkomende non-conformiteiten in ISO 27001-audits

Audits en non-conformiteiten zetten organisaties aan tot voortdurende verbetering. Maar voor uw eerste ISO 27001 certificering is het goed om op de hoogte te zijn van een aantal veelvoorkomende non-conformiteiten, zodat u deze kunt vermijden tijdens uw certificeringsaudit.
18.2.2025

Ik heb een ISO 27001 auditgesprek aangevraagd - wat kan ik verwachten?

In deze blog bespreken we het belang van werknemersparticipatie in het auditinterviewproces, waarom auditors de inzichten van werknemers waarderen en kijken we naar mogelijke vragen die worden gesteld in een ISO 27001-interview.
13.2.2025

Controlelijst voor naleving en certificering van ISO 27001

Wilt u ervoor zorgen dat u voldoet aan de ISO 27001-eisen? Deze checklist presenteert duidelijk geordende belangrijke stappen die uw organisatie begeleiden bij het bouwen van een ISMS en het voldoen aan de ISO 27001-norm.
6.2.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekWekelijkse nieuwsverteertInschrijven voor AcademieLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid