Het is zover; je organisatie gaat richting het einde van een ISO 27001:2017 traject en dus nadert het moment waarop de ISO 27001 externe audit in beeld komt. Een belangrijk moment op weg naar certificering. Een externe audit wordt altijd uitgevoerd door een certificerende instantie. We kunnen ons voorstellen dat je als organisatie daarom benieuwd bent naar hoe zo’n externe audit voor ISO 27001 nu eigenlijk in zijn werk gaat? En waar je als organisatie precies op moet letten? Om je daar een beeld van te geven delen we in dit blogartikel onze praktijkervaring.
Wat is de opzet van de ISO 27001 audit?
Op ons blog is al een artikel te raadplegen waarin verteld wordt wat je kunt verwachten bij een ISO 9001 audit. Dit artikel ‘Een ISO 9001:2015 audit, dit kun je verwachten’ legt uit dat een externe audit uit twee fases bestaat. Dat is bij de ISO 27001:2017 externe audit ook het geval. Hieronder worden deze twee fasen nader toegelicht:
Fase 1:
In de eerste fase van de externe audit voor ISO 27001 vindt het vooronderzoek plaats. Daarin ligt voornamelijk de focus op het onderzoeken van de documentatie (lees: het Information Security Managementsysteem). Daarnaast wordt bekeken of alle (verplichte) beleidsdocumenten zijn opgesteld en ook aantoonbaar zijn geïmplementeerd. Vervolgens stelt de certificerende instantie vast of de organisatie klaar is voor fase 2 van de audit.
Documentatie die in fase 1 van belang is:
- De contextanalyse van de organisatie met daarin onder andere de stakeholders- en risicoanalyse en alle bijbehorende beheersmaatregelen. De bijbehorende maatregelen dienen geïmplementeerd te zijn en werking hiervan wordt getoetst in fase 2;
- De scope van het information security managementsysteem;
- De Verklaring Van Toepasselijkheid (VVT);
- (Verplichte) beleidsdocumenten vanuit de norm;
- Fysieke beveiliging;
- Processen en informatiestromen;
- De directiebeoordeling.
Lees ook het artikel: De interne audit uitbesteden of niet? 5 factoren om bij stil te staan.
Fase 2:
In fase 2 vindt het certificeringsonderzoek plaats. Gedurende deze fase is de auditor meerdere dagen bij de organisatie op locatie aanwezig. De auditor onderzoekt of de organisatie de vastgestelde acties die (mogelijk) uit fase 1 naar voren zijn gekomen heeft uitgevoerd en bekijkt hoe deze zijn opgelost. Verder onderzoekt de externe auditor hoe de organisatie de annex A geïmplementeerd heeft en wordt bekeken of dit voldoet aan de ISO 27001:2017 norm. Daarnaast houdt de auditor ook in fase 2 diverse interviews met medewerkers van verschillende afdeling om zo te verifiëren of er daadwerkelijk gewerkt wordt zoals in het beleid, de procedures en werkinstructies is vastgelegd.
Documentatie die in fase 2 van belang is:
- De directiebeoordeling;
- Het complete Information Security Managementsysteem (Hst. 4 t/m Hst. 10);
- Alle beheersmaatregelen van de annex A (93 beheersmaatregelen);
- Het bewustzijn op het gebied van informatiebeveiliging van alle medewerkers;
- Naleving van beleidsdocumenten en contractuele eisen vanuit wet- en regelgeving (denk aan AVG/GDPR).
Hoelang duurt een ISO 27001 externe audit?
Bij CertificeringsAdvies Nederland krijgen we regelmatig de vraag gesteld hoelang een externe audit duurt? Daar is helaas geen eenduidig antwoord op te geven. Het hangt namelijk af van het aantal medewerkers en de (ICT) complexiteit van de organisatie. Meer informatie over het tijdsbestek van een ISO 27001 traject is te lezen in het blogartikel: Hoelang duurt ISO 27001 certificering?
Vol vertrouwen de ISO 27001 externe audit tegemoet?
Wil jij vol vertrouwen de externe audit tegemoet? Dan adviseren wij van CertificeringsAdvies Nederland je om allereerst een interne audit uit te laten voeren. Wanneer je een interne audit uit laat voeren:
- Voldoe je aan de verplichting vanuit de norm. Alvorens je kunt certificeren is het namelijk verplicht om een interne audit uit te laten voeren door een externe partij.
- Ga je goed voorbereid de externe audit tegemoet. Je ervaart als het ware hoe een externe audit in zijn werk gaat.
- Worden de puntjes op de spreekwoordelijke i gezet. Er wordt beoordeeld waar je op dit moment staat en daarnaast krijg je praktische tips.
Wanneer de externe audit voor de deur staat is het dus verstandig om eerst een interne ISO 27001 audit uit te laten voeren. CertificeringsAdvies Nederland kan deze interne audit voor je verzorgen. In dat geval komt één van onze ervaren ISO 27001 adviseurs bij je langs om kritisch naar je organisatie te kijken. Daarbij krijg je praktisch advies en ontvang je een intern auditrapport (wat vereist is voor certificering) waarin alle bevindingen, tekortkomingen en verbeterpunten zijn opgenomen. Met dit auditrapport kun je de laatste stappen zetten op weg naar een succesvolle certificering!
Interesse? Vraag dan vandaag nog een interne audit offerte aan.