Wat is de ISO 27001 audit: Checklist, praktische tips en de sleutel tot succesvolle certificering
Een ISO 27001 audit is cruciaal om te bepalen of je organisatie voldoet aan de ISO 27001 norm voor informatiebeveiliging. Ontdek hoe de audit werkt en hoe je als organisatie optimaal voorbereidt op een succesvolle certificering.


Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlISO 27001, de internationale standaard voor informatiebeveiliging met focus op het helpen van organisaties om gegevens te beschermen tegen dreigingen zoals cyberaanvallen, datalekken en ongeautoriseerde toegang, vereist dat er periodiek een ISO 27001 audit plaatsvindt. Een ISO 27001 audit:
- Is een systematische en onafhankelijke beoordeling van je organisatie;
- Controleert of het managementsysteem voor informatiebeveiliging (ISMS) voldoet aan de eisen van de ISO/IEC 27001 norm;
- Garandeert dat de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie(systemen) goed is geregeld;
- Minimaliseert risico’s op datalekken en cyberaanvallen.
Onder een ISO 27001 audit verstaan we doorgaans de certificeringsaudit (externe audit) die wordt uitgevoerd door een onafhankelijke en daartoe bevoegde Certificerende Instelling (CI). Echter is voor het verkrijgen van een ISO 27001 certificaat ook de ISO 27001 interne audit een verplicht onderdeel; deze wordt uitgevoerd door de organisatie zelf of een onafhankelijke partner en heeft als doel controleren of het ISMS goed functioneert en voldoet aan de normeisen.
Wat is de ISO 27001 audit?
Bij een ISO 27001 audit, ook wel de certificeringsaudit genoemd, wordt beoordeeld of je managementsysteem voor informatiebeveiliging (ISMS) voldoet aan de eisen van de ISO 27001 norm, of je aantoonbaar risico’s op gebied van informatiebeveiliging beheerst en of je gecertificeerd kunt worden of blijven. Indien dat het geval is, ontvang je het ISO 27001 certificaat.
Hoelang duurt een ISO 27001 audit? Daar is helaas geen eenduidig antwoord op te geven. Het hangt namelijk o.a. af van het aantal medewerkers en de complexiteit van de organisatie.
Is de ISO 27001 audit verplicht?
Een ISO 27001 certificeringsaudit wordt uitgevoerd door een onafhankelijke en daartoe bevoegde Certificerende Instantie (CI) en is verplicht; laat je de audit niet uitvoeren, dan kun je niet certificeren voor ISO 27001.
De ISO 27001 audit is niet alleen verplicht, maar ook cruciaal! De ISO 27001 norm draait om het opzetten en onderhouden van een managementsysteem dat gericht is op continue verbetering. Audits, zowel intern als extern, zijn essentieel om te toetsen of het managementsysteem functioneert zoals bedoeld en of het voldoet aan de eisen van de norm. Audits helpen om:
- Informatiebeveiliging te waarborgen: Audits stellen vast of processen en procedures voldoen aan de standaarden van de ISO 27001 norm.
- Risico’s te beheersen: Audits identificeren risico’s en knelpunten waardoor je tijdig kunt ingrijpen om continue verbetering te stimuleren. Door de verbeterpunten die aan het licht komen, vormen audits de basis voor innovatie en optimalisatie.
Wat is het doel van de ISO 27001 audit?
Bij iedere ISO norm worden audits uitgevoerd. Het doel per audit kan verschillen. Wat is het doel van de ISO 27001 audit? Hieronder een detailvoorbeeld:
De organisatie moet met geplande tussenpozen (interne) audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
A) overeenkomt met:
- 1) de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
- 2) en de eisen van deze internationale norm.
B) doeltreffend is geïmplementeerd en onderhouden. (NEN,2015)
Hieruit is terug te lezen dat een auditor op zoek is naar opzet, bestaan én doelmatige werking van het managementsysteem. Qua volwassenheid van het systeem is er sprake van:
- Niets (een onderwerp is geheel leeg);
- Opzet (het is beschreven hoe het zou moeten werken);
- Bestaan (naast een beschrijving zijn er middelen en wordt
- er iets gedaan);
- Werking (het draagt effectief bij aan de doelstellingen).
Een daar nog op volgend niveau van volwassenheid (ook wel ‘maturity’) is continue verbetering; dit is een algemeen principe van managementsystemen.
“Met CAN hebben we ISO 27001 gehaald zonder het wiel opnieuw uit te vinden.”
Enigmatry
Is een ISO 27001 interne audit verplicht?
Een ISO 27001 interne audit is een verplicht onderdeel alvorens je de certificeringsaudit, ook wel externe audit genoemd, uit kunt laten voeren door een Certificerende Instelling (CI).
ISO-normen, zoals ISO 27001, kennen zowel interne als externe audits. Beide typen audits hebben hun eigen doel en aanpak. Wanneer wordt gesproken over de ISO 27001 jaarlijkse audit, dan wordt al snel gedacht aan de certificeringsaudit. Daarbij moet echter niet uit het oog worden verloren dat je als organisatie ook jaarlijks verplicht bent om een interne audit voor ISO 27001 uit te (laten) voeren waarin je:
- Vaststelt dat je managementsysteem naar behoren functioneert;
- ‘Bewijs’ verzamelt om aan te tonen dat je ‘in control’ bent;
- Knel – en verbeterpunten signaleert.
Met behulp van deze output en je directiebeoordeling ga je aan de slag met (eventuele) aanpassingen van je beleid, doelstellingen en beheersmaatregelen gericht op continue verbetering. Door te acteren op de uitkomsten van de audits borg je de voortgang van verbeteringen binnen de organisatie en daarmee houd je dus ook je processen en managementsysteem op orde.
Een interne audit kan in principe uitgevoerd worden op dezelfde wijze als de certificeringsaudit, ook wel de externe audit genoemd. De principes van de certificeringsaudit kunnen namelijk toegepast worden bij de interne audit. En verschil daarbij is echter, in tegenstelling tot de externe audit, dat bij een interne audit wél ruimte is voor verbetersuggesties.
ISO 27001 audit checklist: hoe gaat het ISO 27001 audit proces?
Helaas bestaat er geen standaard ISO 27001 audit checklist. We kunnen je wel op hoofdlijnen vertellen uit welke fasen de ISO 27001 audit bestaat en welke elementen en documenten erin aan bod komen. Een ISO 27001 audit bestaat uit twee fasen:
ISO 27001 audit fase 1
In fase 1 van de ISO 27001 certificeringsaudit vindt het zogenaamde vooronderzoek plaats. Daarin ligt de focus op het onderzoeken van de documentatie, ofwel het Information Security Management System (ISMS). Daarnaast wordt bekeken of alle (verplichte) beleidsdocumenten zijn opgesteld en aantoonbaar geïmplementeerd zijn. Vervolgens stelt de Certificerende Instantie (CI), die de audit uitvoert, vast of de organisatie klaar is voor fase 2 van de ISO 27001 audit.
Documentatie die in ISO 27001 audit fase 1 van belang is:
- De contextanalyse van de organisatie met daarin onder andere de stakeholders- en risicoanalyse en alle bijbehorende beheersmaatregelen. De bijbehorende maatregelen dienen geïmplementeerd te zijn en werking hiervan wordt getoetst in fase 2;
- De scope van het information security managementsysteem;
- De Verklaring Van Toepasselijkheid (VVT);
- (Verplichte) beleidsdocumenten vanuit de norm;
- Fysieke beveiliging;
- Processen en informatiestromen;
- De directiebeoordeling.
ISO 27001 audit fase 2
In fase 2 van de ISO 27001 audit vindt het zogenaamde ‘certificeringsonderzoek’ plaats. Tijdens deze fase is de auditor van de CI meerdere dagen bij de organisatie op locatie aanwezig. De auditor:
- Onderzoekt of de organisatie de vastgestelde acties die (mogelijk) uit fase 1 naar voren zijn gekomen heeft uitgevoerd;
- Bekijkt hoe deze acties zijn opgelost;
- Onderzoekt hoe de organisatie de Annex A geïmplementeerd heeft;
- Bekijkt of dit voldoet aan de ISO 27001 norm;
- Houdt diverse interviews met medewerkers van verschillende afdelingen om te verifiëren of er daadwerkelijk gewerkt is zoals in het beleid, procedures en werkinstructies is vastgelegd.
Documentatie die in ISO 27001 audit fase 2 van belang is:
- De directiebeoordeling;
- Het complete Information Security Managementsysteem (Hst. 4 t/m Hst. 10);
- Alle beheersmaatregelen van de annex A (93 beheersmaatregelen);
- Het bewustzijn op het gebied van informatiebeveiliging van alle medewerkers;
- Naleving van beleidsdocumenten en contractuele eisen vanuit wet- en regelgeving (denk aan AVG/GDPR).
De auditbevindingen
Hoe meer en makkelijker de auditee weet wat het doel van de vraag of het onderwerp is, hoe makkelijker hij of zij vertelt, en hoe makkelijker het duidelijk wordt hoe het systeem werkt en hoe doeltreffend het is. Dat kan een hoop detailvragen en gezoek schelen. En, niet onbelangrijk, dit leidt in de praktijk van elke dag tot het juiste gedrag.
Bevindingen worden tijdens de audit teruggekoppeld aan de auditee zodat deze de logica van de auditor snapt en eventueel kan corrigeren. Dit is dus ook zeker een moment waar je als auditee aan kan geven als die logica niet klopt, of dat er misschien nog andere feiten zijn die meegenomen moeten worden. Het lijkt voor de hand liggend, maar voor auditees is het goed om te weten: er wordt gezocht naar feiten, niet fouten. Een (goede) auditor is niet op zoek naar zoveel mogelijk afwijkingen, maar geeft weer wat goed en niet goed gaat.
Logischerwijs zal bij het opvolgen van bevindingen na de audit, de auditee ook betrokken worden. De auditor maakt zijn rapport en deelt het met de organisatie – in ieder geval de Security Officer. Deze volgt de auditbevindingen op. Afhankelijk van de aard van de bevindingen en de soort audit kan het nodig zijn dat er een aanvullende audit volgt. Deze zal dan controleren of de getroffen maatregelen effectief zijn. Door deze opvolging wordt de prestatie van de organisatie beter – en is informatie dus beter beschikbaar, integer en vertrouwelijk.
Wat kan ik verwachten in een ISO 27001 audit?
Uit de doelstelling en de behoefte aan documentatie, blijkt al dat auditoren op zoek zijn naar verschillende soorten bewijs. Daar horen dus ook verschillende manieren van onderzoeken bij. Hier hebben CI’s formele spelregels voor – en zij worden op hun beurt gecontroleerd door de Raad voor Accreditatie.
Naar welke vormen van bewijs per onderwerp is een auditor doorgaans op zoek? Neem bijvoorbeeld een onderwerp als ‘periodieke controles’ welke vaak geborgd wordt door operationele planning c.q. een actielijst. Daar kan een auditor kijken naar bewijsvormen als:
- Documenten en registraties:
- Document (opzet): Is er een operationele planning en een beschrijving hoe deze aangestuurd en uitgevoerd moet worden?Registratie (bestaan): is zichtbaar dat de acties uit de operationele planning zijn uitgevoerd (mogelijk door rapportage) en wordt de planning goed bijgehouden.
- Registratie (werking): waren de acties op tijd? Waren ze effectief (leverden ze nuttige informatie of vervolgmogelijkheden op)?
- Interviews:
- Vertelt de voor de operationele planning verantwoordelijke medewerker dat er “weliswaar een ingevulde planning is, maar dat deze in de laatste maand voor de audit pas ingevuld en uitgevoerd wordt”?
- Geven directie en technisch systeembeheerder dezelfde informatie over het belang van de handelingen op de operationele planning?
- Observaties:
- Wordt één van de acties op de operationele planning, bijvoorbeeld de restore-test van een back-up, uitgevoerd naar een fysiek medium (NAS) in het kantoor, maar ziet de auditor dat deze niet meer aanwezig is in het serverrack waar deze moet staan?
In de praktijk betekent dit dat de auditor de auditee vraagt hoe iets werkt. Het antwoord op een vraag is daarmee gelijk een stukje interview en kan uitgediept worden. De auditee laat op een gegeven moment uit zichzelf bewijs zien of de auditor vraagt daar expliciet naar.
Welke methode(n) hanteert een auditor?
Omdat de audit kijkt naar zowel de norm als de manier waarop een organisatie handelt (zie onderdeel ‘doel’ hierboven) kan een auditor de vraag op verschillende manieren stellen. Zo kan een auditor zeggen:
- “Hoe doen jullie back-ups?” (organisatiegericht) of
- “Hoe ga je om met A.12.3.1?” (de specifieke norm-paragraaf
- over back-ups).
Een ander voorbeeld van verschillende vraagstijlen is:
- “Hoe hebben jullie bepaald wat meer of minder belangrijk is voor jullie managementsysteem?”. Dat is organisatiegericht en dekt meerdere management-paragrafen uit een norm zoals belangrijke issues, belangen van stakeholders en risicoanalyse.
- “Waarom sluit je paragraaf A.11.1.6 (laad en loslocaties) uit in je verklaring van toepasselijkheid?”. Dit stuurt heel norm gericht op begrip van 6.1.3.e.
Bij een interne audit zijn de vragen vaak meer organisatiegericht, bij een externe audit varieert het tussen organisatie- en normgericht. De manier waarop de vraag gesteld wordt, kan het best worden aangepast aan de rol en verantwoordelijkheid van de auditee.
Wat kan ik verwachten als auditee?
Je bent uitgenodigd als ‘auditee’ (iemand die tijdens een audit vragen beantwoordt). Dat betekent dat je een auditor gaat laten zien hoe je (een deel van je werk) doet. Het doel daarvan is om vast te stellen:
- Of dat is volgens de afspraken binnen jouw organisatie (beleid, richtlijnen, procedures, workflows);
- Of die afspraken kunnen voldoen aan een of meerdere eisen van een norm.
Audits zijn er in meerdere vormen: het meest voorkomende verschil is of de auditor je collega is (interne audit) of een externe deskundige.
Dat moment van ‘laten zien’ gaat volgens een auditagenda (hoe laat gaat het, met wie, over welk onderwerp op dag x) en volgt een langer auditprogramma (welk thema komt wanneer aan bod in een cyclus van 3 jaar). De verantwoordelijke voor het auditprogramma zorgt er voor dat de relevante onderwerpen voldoende vaak aan bod komen zodat aangetoond kan worden dat de werking van het hele systeem effectief is en aan de totale norm voldoet. Als het om een interne audit gaat, stelt een interne verantwoordelijke (hierna “Security Officer”) het programma en de specifieke agenda’s op, op basis van risico’s. Bij een externe audit is dit in samenspraak met de Certificerende Instelling. Je wordt gekozen voor onderwerpen waar je normaliter zelf (mede)uitvoerder van bent. Diezelfde Security Officer helpt jou natuurlijk (al eerder) op pad (en is zelf ook auditee).
- Als de Security Officer de auditee is, dan wordt van hem of haar verwacht dat hij de formele normeisen (her)kent en kan een auditvraag open en algemeen gehouden worden. Het antwoord geeft daarmee hopelijk de meest direct relevante en praktische informatie (en mogelijk gelijk antwoord op meerdere punten).
- Als de (technisch) beheerder van een belangrijk informatiesysteem geauditeerd wordt, dan is A tot Z kennis van alle onderdelen van een norm en het managementsysteem minder belangrijk. De auditee moet wel weten dat er een managementsysteem is waarin hij de zaken die hij niet dagdagelijks doet op kan zoeken (of collega’s als de security officer waar hij dingen aan kan vragen), bijvoorbeeld een procedure voor vernietigen van harde schijven. Het gaat er met name om: is duidelijk welke uitvoerende activiteiten hij (voor zover relevant voor informatiebeveiliging) moet doen, hoe, wat het gewenste resultaat is, en wordt het resultaat gehaald.
ISO 27001 audit onderwerp voorbeeld
Om een nog beter beeld te geven van hetgeen dat je kunt verwachten tijdens de audit, hieronder een audit onderwerp voorbeeld voor de ISO 27001 audit uitgewerkt:
Een specifiek audit-onderwerp kan bijvoorbeeld zijn hoe een organisatie omgaat met back-ups (wat, waarom, hoe, hoe lang, waarheen, hoe vaak, is er monitoring op, worden er restore tests gedaan, enz. enz.). Daarvoor kan een audit(or) o.a. kijken naar:
- Beleid voor back-ups, met verantwoordelijken;
- Een procesbeschrijving voor de back-ups, of inrichting daar van via een automatische tool met automatisch meldingen via e-mails;
- De uitvoering (en vastlegging daarvan) van de back-ups én restore-testen daarvan, inclusief eventuele opvolging bij afwijkingen en of deze conform de eigen processen is, en;
- Of door middel van het uitgevoerde werk het doel, bijvoorbeeld of voor een informatiesysteem het recovery point objective, behaald wordt.
De auditee verstrekt de auditor informatie waarmee de auditor constateert in welke mate dit voldoet. Daarbij is de auditor neutraal. Als de organisatie stelt dat de best mogelijke methode methode X is, en methode X voldoet aan de norm, dan is de persoonlijke mening van de auditor over die methode niet relevant. Wel kan de auditor aangeven als iets niet consistent is. Belooft de organisatie via contract aan al haar klanten methode Y, of eist een wet methode Y, dan is er een afwijking als de organisatie in plaats daarvan methode X toepast.
Naast het bovengenoemde ‘uitvoerende’ doel van elk auditonderdeel is er het hogere doel. Dat ontstaat uit de eindconclusie en wordt dus meestal per individueel onderwerp besproken:
- Zijn we als organisatie in control en hoe verbeteren we? (interne audits);
- Voldoet de organisatie dermate dat een onafhankelijk certificaat hiervan afgegeven kan worden (externe audits).
Hoe vaak is een ISO 27001 audit? De ISO 27001 audit cyclus.
Wanneer je het ISMS hebt opgezet, voldoet aan alle verplichtingen van de ISO 27001 norm en je succesvol de interne en certificeringsaudit hebt doorstaan, ontvang je het ISO 27001 certificaat. Traject ten einde, of toch niet? Nee, nu begint het pas! Zodra je het ISO 27001 certificaat hebt behaald, ga je de ISO 27001 audit cyclus in waarin periodieke interne en externe audits een cruciale rol spelen. Waaruit bestaat die ISO 27001 audit cyclus zoal?
- Het opstellen van een (intern) auditplan;
- Het onderhouden van een managementsysteem;
- Actueel houden van documentatie;
- Doorvoeren van verbeteringen;
- Beheren van acties;
- Etc.
Hoe vaak is een ISO 27001 audit? Als je voornemens bent het ISO 27001 certificaat te behouden, krijg je voor drie opeenvolgende jaren na certificering te maken met de ISO 27001 jaarlijkse audit. Dit is een controle- of hercertificatie-audit welke uitgevoerd wordt door een CI. Bij de audit wordt beoordeeld of je nog voldoet aan de eisen van de norm en het certificaat mag blijven voeren.
De ISO 27001 jaarlijkse auditcyclus ziet er als volgt uit:
- Jaar 1 na certificering: controle-audit;
- Jaar 2 na certificering: controle audit;
- Jaar 3 na certificering: her-certificatie-audit.
Daarbij zijn controle-audits minder uitgebreid, dan een audit voor her-certificatie. Een dergelijke her-certificatie audit vindt altijd minimaal drie maanden voor de vervaldatum van het ISO 27001 certificaat plaats. Deze her-certificatie audit is even uitgebreid en vrijwel identiek aan de originele certificeringaudit.
ISO 27001 interne audit uit (laten) voeren?
Een ISO 27001 certificeringsaudit dient te worden uitgevoerd door een Certificerende Instantie. Alvorens je die audit kunt laten plaatsvinden, ben je verplicht een ISO 27001 interne audit uit te (laten) voeren. Daarmee:
- Voldoe je aan de verplichting vanuit de norm. Alvorens je kunt certificeren is het namelijk verplicht om een interne audit uit te laten voeren door een externe partij.
- Ga je goed voorbereid de externe audit tegemoet. Je ervaart als het ware hoe een externe audit in zijn werk gaat.
- Worden de puntjes op de spreekwoordelijke i gezet. Er wordt beoordeeld waar je op dit moment staat en daarnaast krijg je praktische tips.
De deskundige adviseurs van CertificeringsAdvies Nederland (CAN) kunnen deze interne audit voor je verzorgen. Daarbij krijg je praktisch advies en ontvang je een intern auditrapport, wat vereist is voor certificering, waarin alle bevindingen, tekortkomingen en verbeterpunten zijn opgenomen. Met dit auditrapport kun je de laatste stappen zetten op weg naar een succesvolle certificering. Interesse. Vraag vrijblijvend een offerte aan of neem contact op.

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlInterne audit laten uitvoeren?
Al 500+ organisaties gingen je voor!
- Deskundige experts met veel kennis
- Snel, praktisch en op maat
- Inclusief verbeterrapport