Het ISO 27001 auditproces

Na maanden van voorbereiding is het moment aangebroken: de ISO 27001 certificeringsaudit door een geaccrediteerde instantie . De NEN biedt de officiële Nederlandse versie van de norm. Voor veel organisaties is dit een spannende periode. Wat gaat de auditor vragen? En wat gebeurt er als er iets niet klopt?

Het auditproces is gestandaardiseerd en voorspelbaar, wat het minder intimiderend maakt dan het misschien lijkt. In dit artikel nemen we je mee door wat je kunt verwachten, hoe je je kunt voorbereiden, en hoe je omgaat met eventuele bevindingen.

Soorten audits in de certificeringscyclus

Het auditproces voor ISO 27001 bestaat uit verschillende fasen die zich herhalen over een driejarige cyclus. Het begrijpen van deze cyclus helpt je om je op de juiste momenten voor te bereiden.

De certificeringsaudit is de eerste audit die je ondergaat om het certificaat te behalen. Deze bestaat uit twee fasen: een documentatiebeoordeling (Fase 1) en een implementatie-audit (Fase 2). Na succesvolle afronding ontvang je het certificaat, dat drie jaar geldig is.

De surveillance audit vindt jaarlijks plaats in jaar één en twee na certificering. Deze audit is korter dan de initiële audit en controleert of je nog steeds aan de norm voldoet. De auditor bekijkt een selectie van je ISMS, niet het geheel.

De hercertificeringsaudit vindt plaats aan het einde van de driejarige cyclus. Deze audit is vergelijkbaar met de initiële certificeringsaudit en beoordeelt het hele ISMS opnieuw. Na succesvolle afronding begint een nieuwe driejarige cyclus.

Daarnaast is er de interne audit, die je zelf (of met hulp van een externe partij) uitvoert. Dit is geen onderdeel van de certificering maar een eis van de norm zelf. De interne audit controleert of je ISMS werkt zoals bedoeld en helpt je problemen te ontdekken voordat de externe auditor ze vindt.

De certificeringsaudit in twee fasen

De initiële certificeringsaudit verloopt in twee fasen, met tussenliggende tijd om eventuele tekortkomingen te adresseren.

Fase 1: Documentatiebeoordeling

In Fase 1 beoordeelt de auditor of je documentatie compleet is en of je klaar bent voor de implementatie-audit. Deze fase duurt meestal een halve tot hele dag, afhankelijk van de omvang van je organisatie.

De auditor bekijkt onder andere je scope-definitie, je informatiebeveiligingsbeleid, je risicobeoordeling en risicobehandelingsplan, het Statement of Applicability, je doelstellingen, en bewijs dat je interne audit en directiebeoordeling hebt uitgevoerd.

Fase 1 kan op locatie plaatsvinden of op afstand, waarbij de auditor je documentatie digitaal ontvangt en beoordeelt. Steeds meer organisaties kiezen voor een remote Fase 1, wat tijd en kosten bespaart.

Na Fase 1 krijg je een rapport met bevindingen. Als er significante tekortkomingen zijn, moet je die oplossen voordat Fase 2 plaatsvindt. De auditor geeft aan of je klaar bent voor Fase 2 en welke focuspunten daar zullen zijn.

Fase 2: Implementatie-audit

Fase 2 is de eigenlijke audit op locatie (of remote, als je organisatie dat toelaat). De auditor controleert of je ISMS niet alleen op papier bestaat maar ook in de praktijk werkt.

De duur van Fase 2 hangt af van je organisatie. Voor een klein bedrijf kan dit één tot twee dagen zijn; voor een grote organisatie met meerdere locaties kan het een week of langer duren. De International Accreditation Forum (IAF) heeft richtlijnen voor het minimum aantal auditdagen.

Tijdens Fase 2 voert de auditor diverse activiteiten uit. Hij of zij spreekt met medewerkers op verschillende niveaus, van management tot werkvloer. De auditor bekijkt systemen en vraagt om demonstraties van beveiligingsmaatregelen. Er worden registraties gecontroleerd: incidentlogs, toegangslogs, wijzigingsregistraties. En de auditor volgt processen door te kijken hoe ze in de praktijk worden uitgevoerd.

Aan het einde van Fase 2 houdt de auditor een sluitingsbijeenkomst waarin de bevindingen worden gepresenteerd.

Wat de auditor controleert

De auditor controleert systematisch of je voldoet aan alle eisen van ISO 27001. Dit omvat zowel de normeisen uit hoofdstuk 4-10 als de relevante beheersmaatregelen uit Annex A die je in je Statement of Applicability hebt opgenomen.

Documentatie en registraties

De auditor controleert of je de vereiste gedocumenteerde informatie hebt: het beleid, de risicobeoordeling, het SoA, de doelstellingen, de procedures, en de registraties die bewijs leveren dat je processen worden gevolgd.

Maar documentatie alleen is niet genoeg. De auditor wil zien dat de documentatie actueel is, dat medewerkers weten waar ze de documentatie kunnen vinden, en dat de documenten worden gebruikt in de dagelijkse praktijk.

Interviews met medewerkers

Gesprekken met medewerkers zijn een cruciaal onderdeel van de audit. De auditor spreekt niet alleen met de security officer of de IT-manager, maar ook met andere medewerkers om te verifiëren dat het ISMS daadwerkelijk leeft in de organisatie.

Typische vragen kunnen zijn: “Ken je het informatiebeveiligingsbeleid?”, “Wat doe je als je een verdachte e-mail ontvangt?”, “Hoe vraag je toegang aan tot een systeem?”, “Heb je recent security awareness training gehad?”

Bereid je medewerkers voor op de audit, maar instrueer ze niet om “het goede antwoord” te geven. Auditors zijn getraind om te herkennen wanneer antwoorden zijn ingestudeerd. Eerlijkheid en authenticiteit werken beter.

Technische verificatie

Afhankelijk van de competenties van de auditor en de aard van je organisatie, kan de auditor ook technische verificaties uitvoeren. Dit kan variëren van het bekijken van configuraties en logbestanden tot het observeren van beveiligingssystemen in werking.

De auditor is geen penetratietester en zal geen technische aanvallen uitvoeren op je systemen. Maar hij of zij wil wel bewijs zien dat je technische maatregelen werken zoals beschreven.

Bewijs van werking

Een terugkerend thema in de audit is bewijs. Het is niet genoeg om te zeggen dat je iets doet; je moet het kunnen aantonen. Dit betekent registraties, logbestanden, notulen, rapporten, en andere artefacten die laten zien dat processen worden gevolgd.

Als je zegt dat je kwetsbaarheden scant en patcht, wil de auditor de scanrapporten en de patchregistratie zien. Als je zegt dat je incidenten registreert, wil de auditor de incidentdatabase bekijken. Als je zegt dat medewerkers getraind zijn, wil de auditor de trainingsregistraties zien.

Mogelijke uitkomsten

Na de audit krijg je een rapport met de bevindingen. Bevindingen worden gecategoriseerd in verschillende gradaties van ernst.

Conformiteit betekent dat je voldoet aan de eis. Dit is het gewenste resultaat.

Observatie of aandachtspunt is een bevinding die geen afwijking is, maar wel een verbeterpunt. De auditor heeft iets geobserveerd dat beter kan, maar het voldoet nog wel aan de norm. Je bent niet verplicht om er iets mee te doen, maar het is verstandig om observaties serieus te nemen.

Minor afwijking betekent dat je niet volledig voldoet aan een eis, maar de tekortkoming de effectiviteit van het ISMS niet fundamenteel ondermijnt. Je krijgt doorgaans 90 dagen om de afwijking te corrigeren en bewijs te leveren aan de certificerende instantie. Minor afwijkingen blokkeren de certificering niet direct.

Major afwijking is een ernstige tekortkoming die de effectiviteit van het ISMS in gevaar brengt. Bijvoorbeeld: geen risicobeoordeling uitgevoerd, geen interne audit gedaan, of fundamentele controls ontbreken. Een major afwijking blokkeert de certificering totdat deze is opgelost en geverifieerd, wat een extra auditbezoek kan vereisen.

Voorbereiden op de audit

Een goede voorbereiding vermindert stress en vergroot de kans op een positief resultaat. Begin weken van tevoren, niet dagen.

Weken van tevoren

Voer een grondige interne audit uit die alle onderdelen van je ISMS dekt. Los gevonden afwijkingen op en documenteer de corrigerende maatregelen. Houd de directiebeoordeling als dat nog niet recent is gebeurd.

Controleer of alle vereiste documentatie compleet en actueel is. Is de risicobeoordeling recent genoeg? Is het SoA bijgewerkt als er wijzigingen zijn geweest? Zijn alle procedures up-to-date?

Verzamel het bewijs dat je nodig hebt: trainingsregistraties, auditlogs, incidentrapporten, wijzigingsregistraties. Zorg dat je snel kunt vinden wat de auditor vraagt.

Dagen van tevoren

Informeer medewerkers dat er een audit komt. Leg uit wat het doel is en wat ze kunnen verwachten. Stel gerust: het is geen examen waarbij ze persoonlijk worden beoordeeld.

Regel praktische zaken: een ruimte voor de auditor om te werken, toegang tot systemen die bekeken moeten worden, beschikbaarheid van sleutelpersonen voor interviews.

Loop nog een keer door je documentatie en zorg dat alles georganiseerd en vindbaar is. De auditor heeft beperkte tijd; zoeken naar documenten is verspilde tijd.

Tijdens de audit

Wees eerlijk en open. Als iets niet perfect is, is het beter om dat toe te geven dan om het te verbergen. Auditors waarderen eerlijkheid en zullen harder oordelen als ze het gevoel hebben dat er dingen worden achtergehouden.

Geef concrete antwoorden met voorbeelden. Niet: “Ja, we doen aan incidentmanagement.” Maar: “Ja, hier is ons incidentregistratiesysteem, en hier zie je de drie incidenten die we deze maand hebben gehad met hun afhandeling.”

Maak aantekeningen van bevindingen en feedback. Dit helpt je om na de audit aan de slag te gaan met verbeteringen.

Wat als je zakt?

Niet slagen voor de audit voelt teleurstellend, maar het is geen ramp. Het betekent dat er werk te doen is, maar dat werk is meestal goed te overzien.

Bij een major afwijking moet je eerst analyseren wat er mis is gegaan. Was het een probleem met de implementatie, met de documentatie, of met het begrip van de norm? Maak een actieplan om de afwijking te corrigeren en voer dit uit. Lever bewijs aan de certificerende instantie en plan een heraudit op de probleemgebieden.

De meeste organisaties die zakken, slagen bij de heraudit. Het vraagt extra tijd en geld, maar het is geen definitief oordeel over je organisatie.

De surveillance audit

Na certificering komt de auditor jaarlijks terug voor een surveillance audit. Deze audit is korter dan de initiële audit, meestal ongeveer de helft van de tijd.

De surveillance audit controleert niet het hele ISMS, maar een selectie van onderdelen. De auditor kijkt naar wat er is veranderd sinds de vorige audit, naar de status van eventuele eerdere bevindingen, en naar specifieke onderdelen van de norm op rotatiebasis.

Bereid je ook op surveillance audits voor alsof het de initiële audit is. Te veel organisaties laten het ISMS versloffen na certificering en worden dan verrast door problemen bij de surveillance audit.

Kiezen van een certificerende instantie

Niet alle certificerende instanties zijn gelijk. Kies zorgvuldig.

Accreditatie

Kies een instantie die is geaccrediteerd door de Raad voor Accreditatie (RvA) of een vergelijkbare nationale accreditatie-instelling. Accreditatie betekent dat de instantie zelf is gecontroleerd op kwaliteit en onafhankelijkheid. Een certificaat van een niet-geaccrediteerde instantie wordt door veel klanten niet erkend.

Ervaring en specialisatie

Sommige instanties hebben meer ervaring in bepaalde sectoren. Een auditor die je sector kent, begrijpt de specifieke risico’s en kan relevantere vragen stellen. Vraag naar de ervaring van de instantie in jouw branche.

Kosten en aanpak

Vergelijk offertes, maar let niet alleen op prijs. Een goedkope audit die onvoldoende grondig is, heeft weinig waarde. Vraag naar de aanpak van de instantie: hoe communiceren ze, hoe flexibel zijn ze met planning, hoe gaan ze om met bevindingen?

Bekende instanties in Nederland

Certificerende instanties die in Nederland actief zijn voor ISO 27001 zijn onder andere Kiwa , BSI , TÜV , DNV , Bureau Veritas , en LRQA . Elk heeft zijn eigen karakter en benadering.

De interne audit

Naast de externe audit moet je ook interne audits uitvoeren. Dit is een eis van de norm en een waardevolle praktijk om problemen vroegtijdig te ontdekken.

Wie voert de interne audit uit?

De interne auditor moet onafhankelijk zijn van wat geaudit wordt. Je mag niet je eigen werk auditen. Voor kleinere organisaties betekent dit vaak dat je een externe partij inschakelt of dat medewerkers van verschillende afdelingen elkaar auditen.

De auditor moet de norm kennen en weten hoe je auditeert. Training in interne auditing is aan te raden voor wie dit intern wil doen.

Hoe vaak?

De norm zegt niet precies hoe vaak, maar je moet alle onderdelen van je ISMS regelmatig auditen. De meeste organisaties doen jaarlijks een volledige cyclus, al dan niet verspreid over het jaar.

Plan de interne audit ruim voor de externe audit, zodat je tijd hebt om bevindingen op te lossen.

Wat registreer je?

Documenteer het auditplan, het auditrapport met bevindingen, de corrigerende maatregelen die zijn genomen, en het bewijs dat de maatregelen effectief zijn.

Meer informatie

Stappenplan – Van nul naar certificaat
Eisen van de norm – Wat vraagt ISO 27001?
Veelgestelde vragen – Antwoorden op praktische vragen
ISO 9001 audit – Vergelijk met de kwaliteitsnorm audit