Academie thuis
Blogs
ISO 27001 certificering: Wat gebeurt er tijdens de certificeringsaudit?
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

ISO 27001 certificering: Wat gebeurt er tijdens de certificeringsaudit?

ISO 27001 collectie
ISO 27001 certificering: Wat gebeurt er tijdens de certificeringsaudit?
NIS2-verzameling
ISO 27001 certificering: Wat gebeurt er tijdens de certificeringsaudit?
Cyberday blog
ISO 27001 certificering: Wat gebeurt er tijdens de certificeringsaudit?

Het belangrijkste doel van audits is het uitvoeren van onafhankelijke en systematische evaluaties van het ISMS en de informatiebeveiliging van een organisatie.

Audits helpen je verouderde onderdelen in je ISMS te vinden, die niet meer kloppen. Ze helpen je verbeterpunten te vinden en hiaten te identificeren. Ze zijn een methode om te zorgen voor continue verbetering en verantwoording met betrekking tot je informatiebeveiliging. Audits houden je eerlijk (als ze goed worden uitgevoerd).

Deze blogpost geeft een algemene inleiding tot informatiebeveiligingsaudits en een gedetailleerde doorloop van het ISO 27001-certificeringsauditproces.

Wat zijn informatiebeveiligingsaudits?

Informatiebeveiligingsaudits zijn systematische evaluaties van de informatiebeveiliging van een organisatie. Ze kunnen specifieke systemen auditen of in het algemeen het beleid, de procedures en de controles van de organisatie rond informatiebeveiliging.

Audits zijn bedoeld om ervoor te zorgen dat de organisatie daadwerkelijk werkt volgens de gestelde eisen of gekozen best practices om haar informatie-assets te beveiligen.

Doelen van een informatiebeveiligingsaudit zijn meestal onder andere:

  1. Naleving beoordelen: Controleer of de organisatie in werkelijkheid voldoet aan vastgestelde of interne beleidsregels of gekozen kaders (bijv. ISO 27001, NIS2, GDPR, HIPAA).
  2. Identificeren van non-conformiteiten: Delen van beleidsregels detecteren die niet correct worden geïmplementeerd of meer technische kwetsbaarheden in systemen of applicaties die door bedreigingen kunnen worden uitgebuit.
  3. Evalueer controles: Analyseren of de gedefinieerde controles effectief zijn in het beschermen van informatiemiddelen en gebieden vinden waar verbetering het meest kritisch is.
  4. Verantwoordelijkheid aantonen: Het bewijs leveren van due diligence bij het uitvoeren van het ISMS en het beheren van risico's.

Audits kunnen intern worden uitgevoerd door bevoegde en bevoegde medewerkers (interne audit) of extern door onafhankelijke partners (externe audit). Sommige audits worden voornamelijk uitgevoerd vanuit het oogpunt van naleving (compliance audits) en andere vanuit een meer technisch oogpunt (technische audits), bijvoorbeeld gericht op specifieke datasystemen of onderwerpen (bijv. netwerkbeveiliging, applicatiebeveiliging).

Wat is een ISO 27001 certificeringsaudit?

De ISO 27001 certificeringsaudit is een specifieke informatiebeveiligingsaudit die wordt uitgevoerd door een geaccrediteerde auditor en volgens de auditrichtlijnen die zijn gedefinieerd in de ISO 27000 standaardserie.

Het doel van de ISO 27001-certificeringsaudit is om te controleren of het beheersysteem voor informatiebeveiliging (ISMS) van de organisatie voldoet aan de vereisten van de ISO 27001-norm.

Wat gebeurt er tijdens de ISO 27001 certificeringsaudit?

Een ISO 27001-certificeringsaudit is een gestructureerd proces waarbij een externe certificeringsinstantie het ISMS van een organisatie beoordeelt aan de hand van de vereisten van de ISO/IEC 27001-norm. Er zijn meestal veel organisaties in elk land die zijn geaccrediteerd door

De eigenlijke audit wordt uitgevoerd in twee hoofdfasen: een voorafgaande beoordeling (Fase 1) en een gedetailleerde beoordeling (Fase 2). Daarnaast kan een organisatie optioneel een gereedheidsbeoordeling doorlopen voor de eigenlijke audit. Post-audit activiteiten zorgen er vervolgens voor dat het ISMS continu wordt verbeterd en goed wordt onderhouden.

Hieronder wordt in meer detail uitgelegd wat er in elke fase van de certificeringsaudit gebeurt.

1. Voorbereiding van de audit

Voordat de certificeringsaudit begint, moet de organisatie zich natuurlijk voorbereiden en ervoor zorgen dat ze op de juiste manier voldoen aan de ISO 27001-norm.

In een apart artikel kun je meer lezen over de belangrijkste stappen bij de implementatie van ISMS.

2. Bereidheidsbeoordeling (optioneel)

Een beoordeling van de gereedheid voor een ISO 27001-certificeringsaudit is een optionele, voorbereidende evaluatie die wordt uitgevoerd om te bepalen of een organisatie voldoende is voorbereid op de formele certificeringsaudit.

Deze beoordeling kan worden uitgevoerd door dezelfde auditor die de laatste delen van het proces zal uitvoeren.

Een gereedheidsbeoordeling kan helpen bij het identificeren van de grootste hiaten in het ISMS ten opzichte van de vereisten van ISO 27001.

De beoordeling van de gereedheid is vrijwillig. Het moet worden gebruikt als de organisatie onzeker is over de naleving van ISO 27001.

3. Fase 1-audit: Beoordeling van de belangrijkste ISMS-documentatie

Fase 1-audit wordt uitgevoerd om te beoordelen of de organisatie klaar is voor Fase 2 en om eventuele kritieke hiaten te identificeren.

Deze fase is vooral gericht op je belangrijkste ISMS-documentatie en kan ook op afstand worden uitgevoerd. De auditor beoordeelt een aantal belangrijke documenten om vast te stellen of de belangrijkste ISMS-processen aanwezig zijn en naar behoren functioneren.

De belangrijkste documenten die u gewoonlijk moet delen met een auditor tijdens een fase 1 ISO 27001-audit zijn onder andere 

  • Verklaring van Toepasselijkheid (SoA): Opsomming van alle controles van ISO 27002 en details van elke controlestatus (bijv. uw implementatiestatus van de controle, korte beschrijving van implementatie en controles die niet van toepassing worden geacht).
  • Beschrijving en reikwijdte van het ISMS: Dit document moet de auditor uitleggen hoe het ISMS van de organisatie is opgebouwd, wordt gebruikt en gecontroleerd. Het legt ook uit welke delen van de organisatie onder het ISMS vallen, wat de belangrijkste rollen zijn, wat voor soort informatie met het ISMS samenhangt en hoe die wordt gecontroleerd. Door dit document door te nemen, weet de auditor hoe hij de belangrijkste informatie met betrekking tot de certificeringsaudit kan vinden.
  • Informatiebeveiligingsbeleid: Het document op topniveau dat de toewijding van je organisatie aan compliance beschrijft en bijvoorbeeld de rol van het topmanagement in het garanderen van compliance en de benodigde ondersteuning voor het werk.
  • Procedure voor risicobeheer: Beschrijft je proces voor het identificeren, evalueren en behandelen van risico's voor informatiebeveiliging.
  • Interne auditprocedure (+ belangrijkste resultaten): Beschrijft uw proces voor het uitvoeren van interne audits en het bijhouden van een auditschema. U moet de resultaten van een interne audit die volgens de procedure werd uitgevoerd, kunnen voorleggen vóór de certificatieaudit (of het wordt een belangrijke non-conformiteit).
  • Managementbeoordelingsprocedure (+ belangrijkste resultaten): Beschrijft uw proces voor het uitvoeren van managementreviews. Dit is een van de belangrijkste manieren waarop het topmanagement van uw organisatie deelneemt aan informatiebeveiliging. U moet de resultaten van een managementevaluatie die is uitgevoerd volgens de procedure, kunnen presenteren vóór de certificeringsaudit (anders is er sprake van een ernstige tekortkoming).
  • Procedure voor bewustwording van personeel: Beschrijft je proces om ervoor te zorgen dat werknemers, contractanten en relevante derden zich bewust zijn van hun rollen en verantwoordelijkheden bij het handhaven van informatiebeveiliging. Dit document moet bijvoorbeeld beschrijven hoe je werknemers traint, richtlijnen geven voor veilig werken en ervoor zorgen dat ze zich aan de richtlijnen houden.

Aan het einde van de fase 1-audit geeft de auditor een lijst met bevindingen, waaronder belangrijke of minder belangrijke non-conformiteiten. Non-conformiteiten moeten worden verholpen met corrigerende maatregelen voordat er verder kan worden gegaan met het auditproces.

Wanneer auditors non-conformiteiten rapporteren, wijzen ze altijd naar het deel van de norm (bijv. 9.1.1) waaraan niet wordt voldaan.

4. Fase 2-audit: Beoordeling van de implementatie en effectiviteit van ISMS

Fase 2-audit is het belangrijkste onderdeel van de certificeringsaudit. Deze wordt uitgevoerd om te bevestigen of het ISMS volledig is geïmplementeerd, effectief is en voldoet aan ISO 27001.

Deze fase wordt ter plaatse uitgevoerd, wat niet alleen relevant is voor het beter delen van informatie, maar ook voor het bevestigen van fysieke beveiligingscontroles.

In deze fase moet de auditor bewijs verzamelen dat u voldoet aan uw eigen ISMS-documentatie en aan de ISO 27001-norm. Om dit mogelijk te maken zal de auditor

  • Interviews afnemen:
    • Auditors zullen de verantwoordelijken voor de verschillende ISMS-gebieden vragen om meer uitleg, uitleg en details over de implementatie van het beleid en de controle.
    • Auditors zullen ook interactie hebben met "gewone" werknemers, die niet noodzakelijkerwijs een speciale rol hebben in het ISMS-onderhoud, om hun bewustzijn van het beveiligingsbeleid en de beveiligingsrichtlijnen te evalueren.
  • Bewijs herzien:
    • Controleer de inhoud van het ISMS, onderzoek relevante logboeken, incidentenrapporten, trainingsrapporten, risicobehandelingsplannen, auditrapporten en alles wat relevant is om aan te tonen dat dingen daadwerkelijk zijn geïmplementeerd zoals ze zijn gedefinieerd.
  • De geschiktheid van controles evalueren:
    • Controleer of de beveiligingscontroles in de SoA zijn geïmplementeerd en effectief zijn.
    • Test controles met betrekking tot fysieke beveiliging, toegangsbeheer, reactie op incidenten en meer.

Als belangrijkste resultaat van zijn werk zal de auditor:

  • Identificeer non-conformiteiten:
    • Belangrijke non-conformiteiten: Kritieke problemen die moeten worden opgelost met corrigerende maatregelen en moeten worden voorgelegd aan de auditor voordat certificering plaatsvindt.
    • Kleine non-conformiteiten: Minder kritieke kwesties die corrigerende maatregelen vereisen (bijv. een plan van één dat in de komende 3 maanden aan de auditor moet worden voorgelegd), maar die certificering niet in de weg staan.
  • Geef aanbevelingen en andere relevante opmerkingen: 
    • In het algemeen zullen de controleurs ook de uitleg die je geeft in de gaten houden en je dagelijkse werkzaamheden observeren om te controleren of je aan de regels voldoet.
    • Als auditors onderwerpen zien die verbeterd zouden moeten worden, kunnen ze die aanduiden als aanbevelingen of andere opmerkingen. Aanbevelingen zijn dingen die verbeterd kunnen worden vanuit het oogpunt van de auditor, maar (nog) geen non-conformiteiten. Als er niet wordt gereageerd op aanbevelingen, bijvoorbeeld voor de volgende audit, kunnen ze veranderen in non-conformiteiten.

Als er geen belangrijke afwijkingen meer worden gevonden, wordt de organisatie aanbevolen voor certificering.

Auditors verzamelen de resultaten van de audit in een auditrapport, waarin alle verschillende bevindingen worden uitgelegd en dat naar de gecontroleerden wordt gestuurd.

5. Post-audit activiteiten

Nadat de eigenlijke certificeringsaudit is afgerond, zijn er nog enkele belangrijke dingen te doen:‍

  • Het certificaat uitgeven:
    • Nadat de organisatie de audit heeft doorstaan, geeft de certificeringsinstantie het ISO 27001-certificaat uit.
    • Het certificaat is drie jaar geldig en wordt regelmatig gecontroleerd.
  • Jaarlijkse bewakingsaudits uitvoeren:
    • Korte audits, die jaarlijks worden uitgevoerd, om ervoor te zorgen dat het ISMS aan de eisen blijft voldoen.
    • Focus op geselecteerde gebieden van het ISMS en relevante wijzigingen sinds de laatste audit.
  • Voer elke 3 jaar een hercertificeringsaudit uit:
    • Om de drie jaar uitgevoerd om de certificering te verlengen.
    • Omvat een uitgebreide beoordeling die vergelijkbaar is met het initiële certificeringsproces.
Het bericht van het certificaat is "Auditing organization X verified that Organization Y complies with this standard Z" (Auditing organisatie X heeft geverifieerd dat Organisatie Y voldoet aan deze standaard Z) (voorbeeld van Cyberday.ai)

Veelgestelde vragen over ISO 27001 certificeringsaudits

Hoe lang duurt het voordat organisaties klaar zijn voor de ISO 27001 certificeringsaudit?

We werken momenteel met ongeveer 600 organisaties via onze Cyberday ISMS app. We hebben gezien dat de eerste stappen op weg naar compliance variëren van een paar weken tot 12 maanden en alles daartussenin. En ja, er zijn ook initiatieven die nooit afgemaakt worden.

Doorgaans neemt het proces 3 tot 9 maanden in beslag. De belangrijkste factoren die de tijdlijn beïnvloeden zijn de complexiteit en omvang van je activiteiten, het huidige niveau van informatiebeveiliging, de middelen en expertise die je kunt inzetten voor het werk en de tools die worden gebruikt om het ISMS uit te voeren.

Hoe lang duurt de eigenlijke ISO 27001 certificeringsaudit?

Aanvaardbaar uitgevoerde ISO 27001-certificeringsaudits hebben een duidelijke minimumduur voor de tijd die de audit in beslag moet nemen, zoals beschreven in de ISO 27000-standaardserie.

In een kleine organisatie (minder dan 10 werknemers) heb je in totaal 7-14 dagen auditiewerk nodig in één certificeringsperiode van 3 jaar. In een grote organisatie (10 000+ werknemers) zal het aantal ongeveer 50 dagen auditiewerk zijn in één certificeringsperiode van 3 jaar.

Typische auditduur per organisatiegrootte

Wat zijn de kosten van ISO 27001 certificering?

De directe kosten van een ISO 27001-certificeringsaudit zijn eenvoudig in te schatten als u kijkt naar de vraag hierboven over de duur van de audit. De belangrijkste kostenpost daar is wat u betaalt voor het werk van de auditor, waarbij een goede ruwe schatting 1000 € per dag is in de EU.

De directe rekening voor de auditorganisaties die de certificeringsaudit uitvoeren, varieert dus van € 10.000 tot € 50.000 voor de hele periode van 3 jaar, afhankelijk van de grootte van je organisatie.

De interne kosten (bijv. benodigde ISMS-werkzaamheden, personeelstijd, softwareoplossingen, andere technologische investeringen, benodigde training) zijn volledig afhankelijk van de mate waarin je begint met informatiebeveiliging.

Hoe vaak worden ISO 27001-audits uitgevoerd?

De certificeringsaudit (of hercertificeringsaudit) wordt eens in de 3 jaar uitgevoerd. Surveillance-audits zijn kortere jaarlijkse audits die gedurende de resterende jaren worden uitgevoerd om continue verbetering en goed onderhoud van het ISMS te garanderen.

Wat gebeurt er als u niet slaagt voor de ISO 27001 certificeringsaudit?

"Niet slagen" voor een ISO 27001 certificeringsaudit kan in principe betekenen dat de organisatie ten tijde van de audit niet voldeed aan alle vereisten van de norm en dat er dus enkele non-conformiteiten werden geïdentificeerd.

Hierna krijgt de organisatie de gelegenheid om de non-conformiteiten aan te pakken met corrigerende maatregelen en het certificeringsproces voort te zetten. Dit betekent dat er een correctief actieplan moet worden opgesteld en dat de correcties moeten worden geïmplementeerd. Voor grote non-conformiteiten moeten de correcties worden geverifieerd door de auditor. Voor kleine non-conformiteiten is alleen het verifiëren van het plan voldoende.

Als uit de follow-up van de corrigerende maatregelen blijkt dat aan de eisen wordt voldaan, kan de certificering worden toegekend.

Het is belangrijk om te begrijpen dat het certificeringsauditproces eigenlijk geen mislukking is. De auditor zal je alleen helpen bij het identificeren van non-conformiteiten, onderwerpen die je moet verbeteren. Zelfs als er non-conformiteiten worden vastgesteld (wat heel normaal is), heb je een to-do-lijst voor certificering en heb je je informatiebeveiliging verbeterd.

Geschreven door
Aleksi Pulkkanen
22.1.2025
@
apulkkanen
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Artikel delen

Andere vergelijkbare content van Academy

Blogs

ISMS-implementatie: vergelijking van documenten, wiki's, ISMS-tools en GRC

Er zijn een paar verschillende benaderingen om een ISMS op te bouwen. In dit artikel vergelijken we deze verschillende methoden, zodat u weet welke het beste past bij de behoeften van uw organisatie op het gebied van beveiligingsbeheer.
6.3.2025

Wat is Verklaring van Toepasselijkheid (SoA) in ISO 27001?

In deze blog behandelen we het belangrijkste doel en de voordelen van een goed werkend document met een Verklaring van Toepasselijkheid. We leggen ook uit waarom SoA belangrijk is, en 4 belangrijke rollen die het kan spelen bij informatiebeveiliging.
4.3.2025

Waarom is ISO 27001-naleving nu belangrijker dan ooit?

Jaar na jaar is de ISO 27001-norm een van de gouden standaarden voor informatiebeveiliging gebleven. De wereldwijde standaard is relevant gebleven, maar waar is ISO 27001 ontstaan? En waarom neemt de populariteit alleen maar toe?
27.2.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekWekelijkse nieuwsverteertInschrijven voor AcademieLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid