ISO 27001 audit

Background

Een ISO 27001-audit is het proces waarbij het ISMS van een organisatie wordt geëvalueerd om te bepalen of het voldoet aan de meest recente informatiebeveiligingspraktijken die zijn vastgelegd in de ISO 27001-richtlijnen. De audit omvat doorgaans een beoordeling van het beleid, de procedures en de maatregelen van de organisatie met betrekking tot informatiebeveiliging. Het is een verplichte stap in het ISO 27001-certificeringsproces, dat een onafhankelijke evaluatie is van de effectiviteit van de informatiebeveiligingspraktijken van een organisatie.

Wat is een ISO 27001 audit?

Een ISO 27001-audit is een beoordelingsproces dat ervoor zorgt dat het beheersysteem voor informatiebeveiliging (ISMS) van uw organisatie in overeenstemming is met de meest recente best practices voor informatiebeveiliging, zoals gedefinieerd door de richtlijnen van ISO/IEC 27001:2022. Organisaties moeten een reeks regelmatige interne audits en externe audits uitvoeren om hun ISO 27001-certificering te ontvangen en te behouden.

ISO 27001 toont aan dat de beveiligingsmaatregelen van een organisatie voldoende zijn om de gegevens, documenten en andere informatiemiddelen te beveiligen. Een ISO 27001-certificaat geeft bedrijven ook een concurrentievoordeel, omdat het laat zien dat hun beveiligingsmaatregelen strenger zijn en op één lijn liggen met internationale normen.

Om voor certificering in aanmerking te komen, moeten bedrijven een externe audit ondergaan van een erkend, objectief auditbedrijf of een goedgekeurde ISO 27001-auditor om aan te tonen dat hun processen en systemen voldoen aan de verwachtingen van ISO/IEC 27001:2022.

Voortdurende ISO 27001-audits tonen de efficiëntie en effectiviteit van de beveiligingsmaatregelen van een bedrijf aan. Bovendien meten en tonen deze audits de voortdurende naleving van de ISO-normen. Door regelmatig audits uit te voeren, kunnen organisaties het niveau van restrisico’s van hun bestaande informatiebeveiligingsnormen bekijken en beoordelen.

Met de resultaten van een IT-audit voor ISO 27001 kunnen organisaties hun ISMS-maatregelen en -normen blijven verbeteren om het resterende risico aanvaardbaarder te maken.

Belang van ISO 27001-audits

In principe is een reeks ISO 27001-audits vereist om het ISO 27001-certificeringsproces te voltooien. Zonder het succesvol afronden van deze audits kan een organisatie niet claimen te voldoen aan de internationale best practices voor informatiebeveiligingsbeheer.

In sommige gevallen kunnen organisaties niet werken met klanten of partners die contractueel naleving van de ISO 27001-normen vereisen om een contract aan te gaan of te verlengen. Dit kan ISO 27001-audits essentieel maken voor bedrijven om klanten binnen hun branche aan te trekken of te behouden.

Zelfs nadat een organisatie de ISO 27001-certificering heeft ontvangen, moet het een regelmatig auditschema volgen om de voortdurende naleving van de ISO 27001-normen aan te tonen om de certificering te behouden. Audits tonen aan dat de systemen, processen en maatregelen van een bedrijf effectief werken en de informatiemiddelen voortdurend beschermen.

Regelmatig geplande audits beoordelen op nieuwe risico’s naarmate het bedrijf zich uitbreidt, waardoor bedrijven eventuele zwakke punten in hun bestaande systemen preventief kunnen identificeren. Deze audits brengen ook mogelijkheden aan het licht voor organisaties om hun bestaande praktijken voor gegevensbeheer en IT-beveiliging te versterken.

Soorten ISO 27001-audits

Voor naleving van ISO 27001 moeten twee soorten audits worden uitgevoerd: interne audits en externe audits.

Accreditatie-instellingen over de hele wereld hebben verschillende eisen voor hoe vaak audits moeten worden uitgevoerd om aan de eisen te blijven voldoen, maar alle bedrijven die hun certificering willen verkrijgen of behouden, moeten regelmatig interne ISO 27001-auditrapporten indienen en periodiek externe audits uitvoeren.

Dit zijn de verwachtingen voor interne en externe audits die organisaties moeten volgen om compliant te blijven.

Een interne ISO 27001-audit is een beoordeling van het ISMS van een bedrijf die wordt uitgevoerd door objectief, intern personeel dat is getraind in ISO 27001-normen of een externe contractant die wordt ingehuurd om samen te werken met een intern team. Zelfs wanneer een interne audit wordt uitgevoerd door een externe partij, wordt deze als intern beschouwd tenzij deze partij deel uitmaakt van een ISO 27001-certificeringsinstantie.

Volgens ISO 27001 hoofdstuk 9.2 is een consistent ISO 27001 auditprogramma vereist om naleving te handhaven. Een goedgekeurd ISO 27001-auditplan definieert hoe vaak interne audits worden uitgevoerd, welke methoden worden gebruikt om de audit te voltooien en wie verantwoordelijk is voor het plannen, voltooien en rapporteren van auditresultaten.

Elk bedrijf werkt samen met de certificeringsinstantie om de juiste ISO 27001-auditfrequentie voor hun organisatie te bepalen, maar de meeste bedrijven zal worden aanbevolen om een jaarlijkse ISO 27001-audit uit te voeren.

  • Beoordelen en bijhouden van interne documentatie voor beleid en procedures
  • Het nemen van steekproeven uit het ISMS als onderdeel van een veldonderzoek om aan te tonen dat het beleid en de procedures consistent worden gevolgd.
  • Analyseren van de bevindingen uit de beoordeling van documenten en veldonderzoek om te waarborgen dat deze voldoen aan de ISO 27001-eisen.
  • Waar nodig verbeteringen doorvoeren op basis van auditbevindingen

Externe audit

Wanneer IT-professionals vragen “hoe bereid je je voor op een ISO 27001-audit”, bedoelen ze meestal een externe ISO 27001-audit. Externe audits worden uitgevoerd door geaccrediteerde, certificerende instanties om naleving van de ISO 27001-normen te bevestigen.

Organisaties die geïnteresseerd zijn in ISO 27001 certificering moeten deelnemen aan vier externe audits:

  • ISMS Ontwerpbeoordeling
  • Certificeringsaudit
  • Bewakingsaudits
  • Hercertificeringsaudits

Zodra uw organisatie de reikwijdte van uw ISMS-audit heeft bepaald, vraagt u een auditor van de geaccrediteerde certificeringsinstantie van uw land om de ISMS Design Review uit te voeren. Tijdens deze externe ISO 27001-audit beoordeelt de auditor de documentatie, processen en procedures van uw organisatie om er zeker van te zijn dat de maatregelen en het ontwerp van uw ISMS voldoen aan de ISO 27001-normen.

Als uw organisatie voldoet aan de eisen van de ISMS Design Review, beveelt de auditor uw organisatie aan voor certificering en gaat over tot de certificeringsaudit.

Tijdens de certificeringsaudit beoordeelt een auditor de bedrijfsprocessen en -cmaatregleen van uw organisatie door middel van een veldonderzoek om er zeker van te zijn dat deze voldoen aan de ISO 27001-eisen en de 114 primaire maatregelen waarnaar wordt verwezen in Bijlage A. Als aan deze vereisten wordt voldaan, komt uw organisatie in aanmerking voor volledige ISO 27001-certificering.

Om compliance te behouden na certificering, voeren certificeringsinstanties periodieke audits uit, ook wel Surveillance Audits genoemd, waarbij ze een willekeurig monster van gegevens nemen om te controleren of deze voldoen aan de procedures en processen die in uw documentatie zijn vastgelegd. Deze audits richten zich vaak op specifieke ISMS-gebieden en vinden plaats vóór hercertificering.

Tot slot worden organisaties om de drie jaar onderworpen aan een uitgebreide hercertificeringsaudit om hun ISO 27001-certificering te behouden. Deze controle omvat alle gebieden van het ISMS en bootst de initiële certificeringsaudit na, waarbij ervoor wordt gezorgd dat de organisatie voortdurend de ISO 27001-normen volgt en het ISMS verbetert wanneer zich nieuwe risico’s voordoen.

iso 27001 audit risicoanalysetool

ISO 27001 risicoanalyse uitvoeren?

Bent u bezig met het realiseren van ISO 27001 compliance? Wij hebben een hulpmiddel voor uw risicoanalyse ontwikkeld dat gratis en vrijblijvend te gebruiken is. De informatie die u invoert kunt u downloaden als PDF, maar wordt niet opgeslagen.

Open de Risicoanalysetool 

Fasen van een ISO-27001 Audit

Als uw organisatie zich voorbereidt op ISO 27001-certificering, is het belangrijk om de twee fasen te begrijpen die samen de initiële certificeringsaudit vormen. De auditcriteria voor ISO 27001 worden gedefinieerd door deze twee fasen en uw bedrijf komt alleen in aanmerking voor certificering als het slaagt voor beide auditfasen.

Bedrijven moeten er rekening mee houden dat organisaties meestal een aparte externe auditor inhuren om hen te ondersteunen bij het voltooien van de fase 1-nalevingsvereisten voordat ze een externe audit aanvragen bij de certificeringsinstantie voor fase 2.

Fase 1 van de ISO 27001-audit wordt de ISMS Ontwerpbeoordeling genoemd. Voordat een bedrijf een ISMS Ontwerp-audit aanvraagt, is het essentieel dat het bedrijf zich goed voorbereidt op wat een ISMS Ontwerp-audit inhoudt. Een ISO 27001 audit checklist kan u helpen om u voor te bereiden op uw fase 1 audit.

Werk eerst samen met uw compliance team om de risicotolerantie en beveiligingsrichtlijnen van uw bedrijf te bepalen op basis van de verwachtingen van uw klanten of partners. Mogelijk moet je ook rekening houden met wettelijke of contractuele vereisten. Deze elementen bepalen de reikwijdte, de beveiligingsdoelstellingen en de verklaring van toepasselijkheid voor uw certificeringsaudit.

Documenteer vervolgens grondig alle processen, procedures, beleidsregels, richtlijnen en maatregelen voor uw ISMS op basis van de vereisten die zijn beschreven in ISO 27001 en ISO 27002. U moet ook een risicobeoordeling, risicobehandeling en kloofanalyse uitvoeren en samen met uw documentatie indienen.

Nadat u de maatregelen in uw ISMS hebt geïmplementeerd en gedocumenteerd, zal een auditor uw documentatie beoordelen tijdens de ISMS Design Review om te controleren of deze voldoet aan de ISO 27001-eisen. Na afloop zal de auditor uw organisatie voorzien van een ISO 27001 auditrapport.

Het auditrapport bevat de bevindingen en aanbevelingen om uw processen of maatregelen te verbeteren voordat u doorgaat met fase 2. Mogelijk moeten de werknemers van uw organisatie ook aanvullende beveiligingstraining volgen om te voldoen aan de ISO 27001 fase 1 auditnormen voordat ze verder kunnen gaan met fase 2 van de certificering.

Als een auditor uw organisatie aanbeveelt voor certificering na fase 1, kan uw organisatie ervoor kiezen om verder te gaan met fase 2 om certificering na te streven. Tijdens de fase 2-audit van ISO 27001 voert een auditor van een certificeringsinstantie een bewijskrachtige veldbeoordeling uit om te bevestigen dat de bedrijfsprocessen en maatregelen binnen uw ISMS overeenkomen met de gedocumenteerde en goedgekeurde procedures uit fase 1. De auditor onderzoekt een grondige, willekeurige steekproef van gegevens en informatiemiddelen als bewijs om te bevestigen dat uw ISMS voldoet aan de eisen van fase 1.

De auditor onderzoekt een grondige, willekeurige steekproef van gegevens en informatiemiddelen als bewijs om te bevestigen dat uw ISMS effectief werkt en voldoet aan de vereisten van ISO 27001 en de verplichte maatregelen van Bijlage A. Dit bewijs moet aantonen dat uw bedrijfsprocessen en -maatregelen in overeenstemming zijn met de gedocumenteerde en goedgekeurde procedures van fase 1. Dit bewijs moet aantonen dat uw bedrijfsprocedures werken zoals ze zijn gedocumenteerd.

Om hun audit te voltooien, interviewen auditors vaak de belangrijkste belanghebbenden die verantwoordelijk zijn voor het beheer van het ISMS-systeem, evenals leden van de interne audit- en compliance-teams. Ze zullen ook om bewijs vragen van eerdere auditrapporten en eventuele aanpassingen die zijn uitgevoerd op basis van fase 1-resultaten. Deze auditrapporten informeren hen over non-conformiteiten die door de vorige auditor zijn gepresenteerd, terwijl managementaudits bevestigen dat er na de audit verbeteringen zijn geïmplementeerd.

Fase 2 is ook het moment om de processen voor de toekomst na de certificering te definiëren. Dit omvat trainingsprocedures voor beveiligingsbewustzijn en het interne auditproces, dat moet worden gedocumenteerd om certificering te bereiken en voortdurende naleving te handhaven.

Zodra uw organisatie het fase 2 ISO 27001-auditproces heeft doorlopen, is uw bedrijf ISO 27001-gecertificeerd voor drie jaar. Bedrijven zijn echter nog steeds verplicht om jaarlijkse surveillance-audits uit te voeren en in te dienen om het vereiste interne auditschema te volgen dat is ingediend bij de certificeringsinstantie en om aan te tonen dat hun maatregelen voortdurend werken zoals bedoeld.

Bekijk voor meer informatie over ISO 27001 implementatie ons artikel ”Hoe wordt ISO 27001 geïmplementeerd?”.

Hoe lang duurt een ISO 27001 audit?

Het auditen van het ISMS van een bedrijf voor certificering kan een langdurig proces zijn. Voor de meeste kleine tot middelgrote bedrijven neemt het initiële certificeringsproces van begin tot eind 6 tot 12 maanden in beslag. Grotere organisaties met een uitgebreider ISMS of een uitgebreidere scope kunnen verwachten dat het proces tot 18 maanden in beslag neemt.

Bedrijven moeten rekening houden met een uitgebreide voorbereiding van documentatie, zelfs voordat ze de fase 1 ISMS Design Review doorlopen. Dit proces alleen al kan vaak 6 tot 10 maanden in beslag nemen. Mogelijk moet u meerdere interne audits en implementaties voltooien voordat uw ISMS klaar is om het certificeringsproces te starten.

Zodra u met het certificeringsproces begint, zal een auditor met uw organisatie samenwerken om een ISO 27001-auditschema op te stellen. Dit schema bepaalt het tijdsbestek waarbinnen een auditor de documentatie in fase 1 grondig moet beoordelen en voldoende bewijs moet verzamelen om compliance in fase 2 aan te tonen.

Terwijl de beoordeling van documenten in fase 1 meestal ongeveer een week in beslag neemt, neemt fase 2 vaak meer tijd in beslag omdat auditors belanghebbenden interviewen en meer tijd besteden aan het onderzoeken van uw ISMS.

Tijdens beide stappen kunnen auditors verbeteringen voorstellen die moeten worden uitgevoerd voordat de organisatie verder kan met certificering. Afhankelijk van welke verbeteringen nodig zijn om aan de ISO 27001-normen te voldoen, kan het voltooien van de noodzakelijke verbeteringen de tijdlijn voor ISO 27001-certificering verder verlengen.

Wie voert een ISO 27001-audit uit?

Interne en externe ISO 27001-audits worden door verschillende partijen uitgevoerd. De interne audit kan worden uitgevoerd door een team binnen de organisatie of door een gekwalificeerde externe partij, terwijl de externe audit wordt uitgevoerd door een geaccrediteerde certificeringsinstantie.

Een interne ISO 27001 audit moet worden uitgevoerd door auditors die zowel competent als objectief zijn. Om competent te zijn, moet een auditor over bepaalde vaardigheden beschikken en het volgende kunnen voorleggen:

  • Expertise in fysieke beveiliging, cyberbeveiliging, computerbeveiliging of andere vormen van informatiebeveiliging
  • Een uitgebreide kennis van de norm en de auditprocedure.
  • Een ISO 27001 Lead Auditor-training of een erkende auditkwalificatie en bewijs van inzicht in de norm.
  • Een bewustzijn van de missie en doelen van de organisatie, evenals de cultuur en bereidheid om risico’s te nemen.

De competentie van een auditor kan ook zonder formele training worden aangetoond. Dit kan echter tot problemen leiden met uw certificeringsinstantie. Er moet ook een duidelijke scheiding zijn tussen de functie van de auditor en zijn rapportagelijnen om objectiviteit aan te tonen.

Voor organisaties die op zoek zijn naar duidelijkere objectiviteit, kan het praktischer zijn om een gecertificeerde auditor zoals Enshore Security in te schakelen. Certificerende instanties hebben hun auditors namelijk getoetst op competentie en kunnen dit op verzoek verifiëren.

ISO 27001 audits in het kort

Een ISO 27001-audit is een essentieel onderdeel van het handhaven van de naleving van het ISMS van uw organisatie. Met als belangrijkste doel te garanderen dat het ISMS van een organisatie adequaat wordt geïmplementeerd en uitgevoerd, zal een accreditatie in ISO 27001 uw organisatie in staat stellen om klanten en belanghebbenden met vertrouwen te behouden.

Ook is het voor organisaties van fundamenteel belang om te begrijpen wanneer ISO 27001-audits vereist zijn en in te schatten hoe belangrijk het is om gecertificeerde auditors te hebben om de taak uit te voeren.

Enshore Security adviseert organisaties met verschillende achtergronden over onderwerpen als Privacy by Design en Default, gegevensuitwisseling met externe dienstverleners en principes voor het wissen van producten.

Hulp nodig bij het navigeren in de wereld van informatiebeveiliging of bij de voorbereiding op een certificeringsaudit? Wij helpen u graag – neem vandaag nog contact op met een van onze experts.

Artikelen

Hoe wordt ISO 27001 geïmplementeerd?

Hoe gaat het implementeren van deze norm in zijn werk? In dit artikel nemen we u mee in de wereld van ISO, het ISMS, de voordelen, de investering en hoe u een ISMS onderhoudt.

ISO 27001:2022 en ISO 27002:2022: Wat gaat er veranderen?

Een nieuwe versie van ISO 27002 verscheen in februari 2022. Wat betekent dat voor uw ISO 27001 certificering?

ISO 27001 certificering

Risicoanalysetool

Bent u bezig met het realiseren van ISO 27001 compliance? Wij hebben een hulpmiddel voor uw risicoanalyse ontwikkeld dat gratis en vrijblijvend te gebruiken is. De informatie die u invoert kunt u downloaden als PDF, maar wordt niet opgeslagen.

Open de Risicoanalysetool