Wat is de ISO 27001 audit: Checklist, praktische tips en de sleutel tot succesvolle certificering

ISO 27001, de internationale standaard voor informatiebeveiliging met focus op het helpen van organisaties om gegevens te beschermen tegen dreigingen zoals cyberaanvallen, datalekken en ongeautoriseerde toegang, vereist dat er periodiek een ISO 27001 audit plaatsvindt. Een ISO 27001 audit:

Onder een ISO 27001 audit verstaan we doorgaans de certificeringsaudit (externe audit) die wordt uitgevoerd door een onafhankelijke en daartoe bevoegde Certificerende Instelling (CI). Echter is voor het verkrijgen van een ISO 27001 certificaat ook de ISO 27001 interne audit een verplicht onderdeel; deze wordt uitgevoerd door de organisatie zelf of een onafhankelijke partner en heeft als doel controleren of het ISMS goed functioneert en voldoet aan de normeisen.

Bij een ISO 27001 audit, ook wel de certificeringsaudit genoemd, wordt beoordeeld of je managementsysteem voor informatiebeveiliging (ISMS) voldoet aan de eisen van de ISO 27001 norm, of je aantoonbaar risico’s op gebied van informatiebeveiliging beheerst en of je gecertificeerd kunt worden of blijven. Indien dat het geval is, ontvang je het ISO 27001 certificaat.

Hoelang duurt een ISO 27001 audit? Daar is helaas geen eenduidig antwoord op te geven. Het hangt namelijk o.a. af van het aantal medewerkers en de complexiteit van de organisatie.

Een ISO 27001 certificeringsaudit wordt uitgevoerd door een onafhankelijke en daartoe bevoegde Certificerende Instantie (CI) en is verplicht; laat je de audit niet uitvoeren, dan kun je niet certificeren voor ISO 27001.

De ISO 27001 audit is niet alleen verplicht, maar ook cruciaal! De ISO 27001 norm draait om het opzetten en onderhouden van een managementsysteem dat gericht is op continue verbetering. Audits, zowel intern als extern, zijn essentieel om te toetsen of het managementsysteem functioneert zoals bedoeld en of het voldoet aan de eisen van de norm. Audits helpen om:

Bij iedere ISO norm worden audits uitgevoerd. Het doel per audit kan verschillen. Wat is het doel van de ISO 27001 audit? Hieronder een detailvoorbeeld:

De organisatie moet met geplande tussenpozen (interne) audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:

A) overeenkomt met:

B) doeltreffend is geïmplementeerd en onderhouden. (NEN,2015)

Hieruit is terug te lezen dat een auditor op zoek is naar opzet, bestaan én doelmatige werking van het managementsysteem. Qua volwassenheid van het systeem is er sprake van:

Een daar nog op volgend niveau van volwassenheid (ook wel ‘maturity’) is continue verbetering; dit is een algemeen principe van managementsystemen.

Een ISO 27001 interne audit is een verplicht onderdeel alvorens je de certificeringsaudit, ook wel externe audit genoemd, uit kunt laten voeren door een Certificerende Instelling (CI).

ISO-normen, zoals ISO 27001, kennen zowel interne als externe audits. Beide typen audits hebben hun eigen doel en aanpak. Wanneer wordt gesproken over de ISO 27001 jaarlijkse audit, dan wordt al snel gedacht aan de certificeringsaudit. Daarbij moet echter niet uit het oog worden verloren dat je als organisatie ook jaarlijks verplicht bent om een interne audit voor ISO 27001 uit te (laten) voeren waarin je:

Met behulp van deze output en je directiebeoordeling ga je aan de slag met (eventuele) aanpassingen van je beleid, doelstellingen en beheersmaatregelen gericht op continue verbetering. Door te acteren op de uitkomsten van de audits borg je de voortgang van verbeteringen binnen de organisatie en daarmee houd je dus ook je processen en managementsysteem op orde.

Een interne audit kan in principe uitgevoerd worden op dezelfde wijze als de certificeringsaudit, ook wel de externe audit genoemd. De principes van de certificeringsaudit kunnen namelijk toegepast worden bij de interne audit. En verschil daarbij is echter, in tegenstelling tot de externe audit, dat bij een interne audit wél ruimte is voor verbetersuggesties.

Helaas bestaat er geen standaard ISO 27001 audit checklist. We kunnen je wel op hoofdlijnen vertellen uit welke fasen de ISO 27001 audit bestaat en welke elementen en documenten erin aan bod komen. Een ISO 27001 audit bestaat uit twee fasen:

In fase 1 van de ISO 27001 certificeringsaudit vindt het zogenaamde vooronderzoek plaats. Daarin ligt de focus op het onderzoeken van de documentatie, ofwel het Information Security Management System (ISMS). Daarnaast wordt bekeken of alle (verplichte) beleidsdocumenten zijn opgesteld en aantoonbaar geïmplementeerd zijn. Vervolgens stelt de Certificerende Instantie (CI), die de audit uitvoert, vast of de organisatie klaar is voor fase 2 van de ISO 27001 audit.

Documentatie die in ISO 27001 audit fase 1 van belang is:

In fase 2 van de ISO 27001 audit vindt het zogenaamde ‘certificeringsonderzoek’ plaats. Tijdens deze fase is de auditor van de CI meerdere dagen bij de organisatie op locatie aanwezig. De auditor:

Documentatie die in ISO 27001 audit fase 2 van belang is:

Hoe meer en makkelijker de auditee weet wat het doel van de vraag of het onderwerp is, hoe makkelijker hij of zij vertelt, en hoe makkelijker het duidelijk wordt hoe het systeem werkt en hoe doeltreffend het is. Dat kan een hoop detailvragen en gezoek schelen. En, niet onbelangrijk, dit leidt in de praktijk van elke dag tot het juiste gedrag.

Bevindingen worden tijdens de audit teruggekoppeld aan de auditee zodat deze de logica van de auditor snapt en eventueel kan corrigeren. Dit is dus ook zeker een moment waar je als auditee aan kan geven als die logica niet klopt, of dat er misschien nog andere feiten zijn die meegenomen moeten worden. Het lijkt voor de hand liggend, maar voor auditees is het goed om te weten: er wordt gezocht naar feiten, niet fouten. Een (goede) auditor is niet op zoek naar zoveel mogelijk afwijkingen, maar geeft weer wat goed en niet goed gaat.

Logischerwijs zal bij het opvolgen van bevindingen na de audit, de auditee ook betrokken worden. De auditor maakt zijn rapport en deelt het met de organisatie – in ieder geval de Security Officer. Deze volgt de auditbevindingen op. Afhankelijk van de aard van de bevindingen en de soort audit kan het nodig zijn dat er een aanvullende audit volgt. Deze zal dan controleren of de getroffen maatregelen effectief zijn. Door deze opvolging wordt de prestatie van de organisatie beter – en is informatie dus beter beschikbaar, integer en vertrouwelijk.

Uit de doelstelling en de behoefte aan documentatie, blijkt al dat auditoren op zoek zijn naar verschillende soorten bewijs. Daar horen dus ook verschillende manieren van onderzoeken bij. Hier hebben CI’s formele spelregels voor – en zij worden op hun beurt gecontroleerd door de Raad voor Accreditatie.

Naar welke vormen van bewijs per onderwerp is een auditor doorgaans op zoek? Neem bijvoorbeeld een onderwerp als ‘periodieke controles’ welke vaak geborgd wordt door operationele planning c.q. een actielijst. Daar kan een auditor kijken naar bewijsvormen als:

In de praktijk betekent dit dat de auditor de auditee vraagt hoe iets werkt. Het antwoord op een vraag is daarmee gelijk een stukje interview en kan uitgediept worden. De auditee laat op een gegeven moment uit zichzelf bewijs zien of de auditor vraagt daar expliciet naar.

Omdat de audit kijkt naar zowel de norm als de manier waarop een organisatie handelt (zie onderdeel ‘doel’ hierboven) kan een auditor de vraag op verschillende manieren stellen. Zo kan een auditor zeggen:

Een ander voorbeeld van verschillende vraagstijlen is:

Bij een interne audit zijn de vragen vaak meer organisatiegericht, bij een externe audit varieert het tussen organisatie- en normgericht. De manier waarop de vraag gesteld wordt, kan het best worden aangepast aan de rol en verantwoordelijkheid van de auditee.

Je bent uitgenodigd als ‘auditee’ (iemand die tijdens een audit vragen beantwoordt). Dat betekent dat je een auditor gaat laten zien hoe je (een deel van je werk) doet. Het doel daarvan is om vast te stellen:

Audits zijn er in meerdere vormen: het meest voorkomende verschil is of de auditor je collega is (interne audit) of een externe deskundige.

Dat moment van ‘laten zien’ gaat volgens een auditagenda (hoe laat gaat het, met wie, over welk onderwerp op dag x) en volgt een langer auditprogramma (welk thema komt wanneer aan bod in een cyclus van 3 jaar). De verantwoordelijke voor het auditprogramma zorgt er voor dat de relevante onderwerpen voldoende vaak aan bod komen zodat aangetoond kan worden dat de werking van het hele systeem effectief is en aan de totale norm voldoet. Als het om een interne audit gaat, stelt een interne verantwoordelijke (hierna “Security Officer”) het programma en de specifieke agenda’s op, op basis van risico’s. Bij een externe audit is dit in samenspraak met de Certificerende Instelling. Je wordt gekozen voor onderwerpen waar je normaliter zelf (mede)uitvoerder van bent. Diezelfde Security Officer helpt jou natuurlijk (al eerder) op pad (en is zelf ook auditee).

Om een nog beter beeld te geven van hetgeen dat je kunt verwachten tijdens de audit, hieronder een audit onderwerp voorbeeld voor de ISO 27001 audit uitgewerkt:

Een specifiek audit-onderwerp kan bijvoorbeeld zijn hoe een organisatie omgaat met back-ups (wat, waarom, hoe, hoe lang, waarheen, hoe vaak, is er monitoring op, worden er restore tests gedaan, enz. enz.). Daarvoor kan een audit(or) o.a. kijken naar:

De auditee verstrekt de auditor informatie waarmee de auditor constateert in welke mate dit voldoet. Daarbij is de auditor neutraal. Als de organisatie stelt dat de best mogelijke methode methode X is, en methode X voldoet aan de norm, dan is de persoonlijke mening van de auditor over die methode niet relevant. Wel kan de auditor aangeven als iets niet consistent is. Belooft de organisatie via contract aan al haar klanten methode Y, of eist een wet methode Y, dan is er een afwijking als de organisatie in plaats daarvan methode X toepast.

Naast het bovengenoemde ‘uitvoerende’ doel van elk auditonderdeel is er het hogere doel. Dat ontstaat uit de eindconclusie en wordt dus meestal per individueel onderwerp besproken:

Wanneer je het ISMS hebt opgezet, voldoet aan alle verplichtingen van de ISO 27001 norm en je succesvol de interne en certificeringsaudit hebt doorstaan, ontvang je het ISO 27001 certificaat. Traject ten einde, of toch niet? Nee, nu begint het pas! Zodra je het ISO 27001 certificaat hebt behaald, ga je de ISO 27001 audit cyclus in waarin periodieke interne en externe audits een cruciale rol spelen. Waaruit bestaat die ISO 27001 audit cyclus zoal?

Hoe vaak is een ISO 27001 audit? Als je voornemens bent het ISO 27001 certificaat te behouden, krijg je voor drie opeenvolgende jaren na certificering te maken met de ISO 27001 jaarlijkse audit. Dit is een controle- of hercertificatie-audit welke uitgevoerd wordt door een CI. Bij de audit wordt beoordeeld of je nog voldoet aan de eisen van de norm en het certificaat mag blijven voeren.

De ISO 27001 jaarlijkse auditcyclus ziet er als volgt uit:

Daarbij zijn controle-audits minder uitgebreid, dan een audit voor her-certificatie. Een dergelijke her-certificatie audit vindt altijd minimaal drie maanden voor de vervaldatum van het ISO 27001 certificaat plaats. Deze her-certificatie audit is even uitgebreid en vrijwel identiek aan de originele certificeringaudit.

Een ISO 27001 certificeringsaudit dient te worden uitgevoerd door een Certificerende Instantie. Alvorens je die audit kunt laten plaatsvinden, ben je verplicht een ISO 27001 interne audit uit te (laten) voeren. Daarmee:

De deskundige adviseurs van CertificeringsAdvies Nederland (CAN) kunnen deze interne audit voor je verzorgen. Daarbij krijg je praktisch advies en ontvang je een intern auditrapport, wat vereist is voor certificering, waarin alle bevindingen, tekortkomingen en verbeterpunten zijn opgenomen. Met dit auditrapport kun je de laatste stappen zetten op weg naar een succesvolle certificering. Interesse. Vraag vrijblijvend een offerte aan of neem contact op.