Wat is de ISO 27001 audit: Checklist, praktische tips en de sleutel tot succesvolle certificering

ISO 27001, de internationale standaard voor informatiebeveiliging met focus op het helpen van organisaties om gegevens te beschermen tegen dreigingen zoals cyberaanvallen, datalekken en ongeautoriseerde toegang, vereist dat er periodiek een ISO 27001 audit plaatsvindt. Een ISO 27001 audit:

Onder een ISO 27001 audit verstaan we doorgaans de certificeringsaudit (externe audit) die wordt uitgevoerd door een onafhankelijke en daartoe bevoegde Certificerende Instelling (CI). Echter is voor het verkrijgen van een ISO 27001 certificaat ook de ISO 27001 interne audit een verplicht onderdeel; deze wordt uitgevoerd door de organisatie zelf of een onafhankelijke partner en heeft als doel controleren of het ISMS goed functioneert en voldoet aan de normeisen.Niet als vinkje voor de vorm, maar als waardevolle tool om grip te houden op je processen, risico’s en verbeterpunten.

Bij een ISO 27001 audit, ook wel de certificeringsaudit genoemd, wordt op een gestructureerde wijze beoordeeld of je beleid en managementsysteem voor informatiebeveiliging (ISMS) voldoen aan de eisen van de ISO 27001 norm, of je aantoonbaar risico’s op gebied van informatiebeveiliging beheerst en of je gecertificeerd kunt worden of blijven. Indien dat het geval is, ontvang je het ISO 27001 certificaat.

Hoelang duurt een ISO 27001 audit? Daar is helaas geen eenduidig antwoord op te geven. Het hangt namelijk o.a. af van het aantal medewerkers en de complexiteit van de organisatie.

Een ISO 27001 certificeringsaudit wordt uitgevoerd door een onafhankelijke en daartoe bevoegde Certificerende Instantie (CI) en is verplicht; laat je de audit niet uitvoeren, dan kun je niet certificeren voor ISO 27001.

De ISO 27001 audit is niet alleen verplicht, maar ook cruciaal! De ISO 27001 norm draait om het opzetten en onderhouden van een managementsysteem dat gericht is op continue verbetering. Audits, zowel intern als extern, zijn essentieel om te toetsen of het managementsysteem functioneert zoals bedoeld en of het voldoet aan de eisen van de norm. Audits helpen om:

Bij iedere ISO norm worden audits uitgevoerd. Het doel per audit kan verschillen. Wat is het doel van de ISO 27001 audit? Over het algemeen is er tijdens de audit een sterke focus op de formele normelementen van ISO 27001 en de beheersmaatregelen uit bijlage A. Maar er wordt verder gekeken dan de normcontrole. Ook gedrag, bewustwording, leiderschap, cultuur, informatieoverdracht, tools en werkwijzen worden behandeld. Informatiebeveiliging is meer dan techniek en procedures: het leeft in mensen en processen.

Hieronder een detailvoorbeeld:

De organisatie moet met geplande tussenpozen (interne) audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:

A) overeenkomt met:

B) doeltreffend is geïmplementeerd en onderhouden. (NEN,2015)

Hieruit is terug te lezen dat een auditor op zoek is naar opzet, bestaan én doelmatige werking van het managementsysteem. Qua volwassenheid van het systeem is er sprake van:

Een daar nog op volgend niveau van volwassenheid (ook wel ‘maturity’) is continue verbetering; dit is een algemeen principe van managementsystemen.

De digitale dreigingen nemen toe. Wetgeving wordt strenger. Klanten eisen meer zekerheid. In dat speelveld is informatiebeveiliging geen luxe, maar noodzaak. Een interne audit helpt je om:

Een ISO 27001 interne audit is een verplicht onderdeel alvorens je de certificeringsaudit, ook wel externe audit genoemd, uit kunt laten voeren door een Certificerende Instelling (CI).

ISO-normen, zoals ISO 27001, kennen zowel interne als externe audits. Beide typen audits hebben hun eigen doel en aanpak. Wanneer wordt gesproken over de ISO 27001 jaarlijkse audit, dan wordt al snel gedacht aan de certificeringsaudit. Daarbij moet echter niet uit het oog worden verloren dat je als organisatie ook jaarlijks verplicht bent om een interne audit voor ISO 27001 uit te (laten) voeren waarin je:

Met behulp van deze output en je directiebeoordeling ga je aan de slag met (eventuele) aanpassingen van je beleid, doelstellingen en beheersmaatregelen gericht op continue verbetering. Door te acteren op de uitkomsten van de audits borg je de voortgang van verbeteringen binnen de organisatie en daarmee houd je dus ook je processen en managementsysteem op orde.

Een interne audit kan in principe uitgevoerd worden op dezelfde wijze als de certificeringsaudit, ook wel de externe audit genoemd. De principes van de certificeringsaudit kunnen namelijk toegepast worden bij de interne audit. En verschil daarbij is echter, in tegenstelling tot de externe audit, dat bij een interne audit wél ruimte is voor verbetersuggesties.

Helaas bestaat er geen standaard ISO 27001 audit checklist. We kunnen je wel op hoofdlijnen vertellen uit welke fasen de ISO 27001 audit bestaat en welke elementen en documenten erin aan bod komen. Een ISO 27001 audit bestaat uit twee fasen:

In fase 1 van de ISO 27001 certificeringsaudit vindt het zogenaamde vooronderzoek plaats. Daarin ligt de focus op het onderzoeken van de documentatie, ofwel het Information Security Management System (ISMS). Daarnaast wordt bekeken of alle (verplichte) beleidsdocumenten zijn opgesteld en aantoonbaar geïmplementeerd zijn. Vervolgens stelt de Certificerende Instantie (CI), die de audit uitvoert, vast of de organisatie klaar is voor fase 2 van de ISO 27001 audit.

Documentatie die in ISO 27001 audit fase 1 van belang is:

In fase 2 van de ISO 27001 audit vindt het zogenaamde ‘certificeringsonderzoek’ plaats. Tijdens deze fase is de auditor van de CI meerdere dagen bij de organisatie op locatie aanwezig. De auditor:

Documentatie die in ISO 27001 audit fase 2 van belang is:

Hoe meer en makkelijker de auditee weet wat het doel van de vraag of het onderwerp is, hoe makkelijker hij of zij vertelt, en hoe makkelijker het duidelijk wordt hoe het systeem werkt en hoe doeltreffend het is. Dat kan een hoop detailvragen en gezoek schelen. En, niet onbelangrijk, dit leidt in de praktijk van elke dag tot het juiste gedrag.

Bevindingen worden tijdens de audit teruggekoppeld aan de auditee zodat deze de logica van de auditor snapt en eventueel kan corrigeren. Dit is dus ook zeker een moment waar je als auditee aan kan geven als die logica niet klopt, of dat er misschien nog andere feiten zijn die meegenomen moeten worden. Het lijkt voor de hand liggend, maar voor auditees is het goed om te weten: er wordt gezocht naar feiten, niet fouten. Een (goede) auditor is niet op zoek naar zoveel mogelijk afwijkingen, maar geeft weer wat goed en niet goed gaat.

Logischerwijs zal bij het opvolgen van bevindingen na de audit, de auditee ook betrokken worden. De auditor maakt zijn rapport en deelt het met de organisatie – in ieder geval de Security Officer. Deze volgt de auditbevindingen op. Afhankelijk van de aard van de bevindingen en de soort audit kan het nodig zijn dat er een aanvullende audit volgt. Deze zal dan controleren of de getroffen maatregelen effectief zijn. Door deze opvolging wordt de prestatie van de organisatie beter en is informatie dus beter beschikbaar, integer en vertrouwelijk.

Uit de doelstelling en de behoefte aan documentatie, blijkt al dat auditoren op zoek zijn naar verschillende soorten bewijs. Daar horen dus ook verschillende manieren van onderzoeken bij. Hier hebben CI’s formele spelregels voor – en zij worden op hun beurt gecontroleerd door de Raad voor Accreditatie.

Naar welke vormen van bewijs per onderwerp is een auditor doorgaans op zoek? Neem bijvoorbeeld een onderwerp als ‘periodieke controles’ welke vaak geborgd wordt door operationele planning c.q. een actielijst. Daar kan een auditor kijken naar bewijsvormen als:

In de praktijk betekent dit dat de auditor de auditee vraagt hoe iets werkt. Het antwoord op een vraag is daarmee gelijk een stukje interview en kan uitgediept worden. De auditee laat op een gegeven moment uit zichzelf bewijs zien of de auditor vraagt daar expliciet naar.

Om een nog beter beeld te geven van hetgeen dat je kunt verwachten tijdens de audit, hieronder een audit onderwerp voorbeeld voor de ISO 27001 audit uitgewerkt:

Een specifiek audit-onderwerp kan bijvoorbeeld zijn hoe een organisatie omgaat met back-ups (wat, waarom, hoe, hoe lang, waarheen, hoe vaak, is er monitoring op, worden er restore tests gedaan, enz. enz.). Daarvoor kan een audit(or) o.a. kijken naar:

De auditee verstrekt de auditor informatie waarmee de auditor constateert in welke mate dit voldoet. Daarbij is de auditor neutraal. Als de organisatie stelt dat de best mogelijke methode methode X is, en methode X voldoet aan de norm, dan is de persoonlijke mening van de auditor over die methode niet relevant. Wel kan de auditor aangeven als iets niet consistent is. Belooft de organisatie via contract aan al haar klanten methode Y, of eist een wet methode Y, dan is er een afwijking als de organisatie in plaats daarvan methode X toepast.

Naast het bovengenoemde ‘uitvoerende’ doel van elk auditonderdeel is er het hogere doel. Dat ontstaat uit de eindconclusie en wordt dus meestal per individueel onderwerp besproken:

Wanneer je het ISMS hebt opgezet, voldoet aan alle verplichtingen van de ISO 27001 norm en je succesvol de interne en certificeringsaudit hebt doorstaan, ontvang je het ISO 27001 certificaat. Traject ten einde, of toch niet? Nee, nu begint het pas! Zodra je het ISO 27001 certificaat hebt behaald, ga je de ISO 27001 audit cyclus in waarin periodieke interne en externe audits een cruciale rol spelen. Waaruit bestaat die ISO 27001 audit cyclus zoal?

Hoe vaak is een ISO 27001 audit? Als je voornemens bent het ISO 27001 certificaat te behouden, krijg je voor drie opeenvolgende jaren na certificering te maken met de ISO 27001 jaarlijkse audit. Dit is een controle- of hercertificatie-audit welke uitgevoerd wordt door een CI. Bij de audit wordt beoordeeld of je nog voldoet aan de eisen van de norm en het certificaat mag blijven voeren.

De ISO 27001 jaarlijkse auditcyclus ziet er als volgt uit:

Daarbij zijn controle-audits minder uitgebreid, dan een audit voor her-certificatie. Een dergelijke her-certificatie audit vindt altijd minimaal drie maanden voor de vervaldatum van het ISO 27001 certificaat plaats. Deze her-certificatie audit is even uitgebreid en vrijwel identiek aan de originele certificeringaudit.

Zoals hierboven benoemd is de interne audit ISO 27001 een verplicht onderdeel alvorens je de certificeringsaudit, ook wel externe audit genoemd, uit kunt laten voeren door een Certificerende Instelling (CI). Deze wordt uitgevoerd door de organisatie zelf of een onafhankelijke partner. CertificeringsAdvies Nederland (CAN) kan die onafhankelijke partner voor je zijn. Wij geloven we in een grondige, maar vooral waardevolle aanpak. We starten altijd met een goede voorbereiding.

Normen zoals ISO 27001 geven kaders en verplichtingen, maar laten ruimte voor eigen invulling. Dat betekent dat je als organisatie zelf bepaalt hoe streng of hoe vaak je iets uitvoert – mits dit in lijn is met je risicobeeld en beleid.

Neem bijvoorbeeld back-ups. ISO 27001 schrijft voor dat back-ups moeten worden bewaard en regelmatig getest, in overeenstemming met je eigen back-upbeleid. Maar de norm zegt níet hoe vaak dat moet gebeuren. Die keuze ligt bij de organisatie.

Stel: jouw organisatie legt vast dat dagelijks back-ups worden gemaakt en dat deze elke maand getest worden. Dan is dát je normkader. Wordt er in de praktijk echter maar wekelijks een back-up gemaakt en slechts één keer per jaar getest, dan is dit niet alleen een afwijking van je eigen beleid, maar ook een afwijking van de norm.

Dit voorbeeld laat zien dat compliance nooit een papieren exercitie mag zijn. Het is niet genoeg dat procedures er netjes uitzien; ze moeten ook daadwerkelijk worden nageleefd. Een interne of externe audit toetst daarom altijd zowel de formele eisen uit de norm als de uitvoering in de praktijk.

Een belangrijk onderdeel van onze aanpak is het bijhouden van een heldere audittrail. Dat is een gestructureerde verslaglegging van:

Deze audittrail vormt de basis van onze rapportage en is onmisbaar bij het onderbouwen van bevindingen. Zo weet jij exact waar je staat en wat de logische vervolgstappen zijn.

We gebruiken duidelijke terminologie voor onze categorieën van bevindingen:

Elke afwijking wordt toegelicht, voorzien van bewijs en vastgelegd met bronvermelding. Zo weet je precies wat er speelt én wat je kunt doen.

Een interne audit uitgevoerd door CAN is méér dan een verplicht onderdeel richting certificering. Dit mag je verwachten:

Het auditrapport van CertificeringsAdvies Nederland onderscheidt zich door:

Daarmee sluit onze aanpak naadloos aan op de filosofie van CertificeringsAdvies Nederland: samen, als partners, groeien, inspireren en vernieuwen.

Een ISO 27001 certificeringsaudit dient te worden uitgevoerd door een Certificerende Instantie. Alvorens je die audit kunt laten plaatsvinden, ben je verplicht een ISO 27001 interne audit uit te (laten) voeren. Daarmee:

De deskundige adviseurs van CertificeringsAdvies Nederland (CAN) kunnen deze interne audit voor je verzorgen. Geen organisatie is hetzelfde. Daarom stemmen we onze interne audits altijd af op jouw situatie. Daarbij krijg je praktisch advies en ontvang je een intern auditrapport, wat vereist is voor certificering, waarin alle bevindingen, tekortkomingen en verbeterpunten zijn opgenomen. Met dit auditrapport kun je de laatste stappen zetten op weg naar een succesvolle certificering. Een interne audit ISO 27001 is een krachtig instrument. Mits goed uitgevoerd. Interesse? Vraag vrijblijvend een offerte aan of neem contact op.