ISO 27001 interne audit
De interne audit is een verplichte eis van ISO 27001 (clausule 9.2) en een van de slimste investeringen in je ISMS. Je ontdekt zelf wat er niet klopt voordat de externe auditor het ziet. De NEN-versie van de norm stelt dat je met geplande tussenpozen interne audits uitvoert om te controleren of het ISMS voldoet aan de eisen en effectief werkt. Het volledige auditproces — inclusief de externe certificeringsaudit — staat beschreven op de pagina het auditproces.
De externe auditor verwacht bewijs van interne audits. Geen intern auditrapport = een major afwijking. Plan de interne audit ruim voor de certificeringsaudit of surveillance-audit, zodat je tijd hebt om bevindingen op te lossen.
Wat controleert de interne audit?
De interne audit controleert of het ISMS voldoet aan:
- De eisen van ISO 27001 — De clausules 4 tot en met 10
- De eigen eisen van de organisatie — Beleid, procedures, en doelstellingen die je zelf hebt vastgelegd
- De geselecteerde Annex A-maatregelen — Of de maatregelen uit je SoA aantoonbaar zijn geïmplementeerd
De audit controleert zowel conformiteit (voldoe je aan de eis?) als effectiviteit (werkt het?). Een procedure die bestaat maar nooit wordt gevolgd, is een bevinding.
Planning van de interne audit
Stel een auditprogramma op
Het auditprogramma beschrijft alle interne audits die je het komende jaar plant. ISO 27001 vraagt niet per se één audit per jaar, maar dat alle onderdelen van het ISMS regelmatig worden geaudit. Veel organisaties verdelen de audit over het jaar: bijvoorbeeld de ene helft in kwartaal 2, de andere in kwartaal 3.
Neem in het auditprogramma op: welke onderdelen worden geaudit, wanneer, door wie, en op basis van welke criteria. Bewaar het programma, want de externe auditor wil het zien.
Stel auditcriteria vast
De auditcriteria zijn de standaarden waaraan je toetst: de norm zelf, je eigen beleid, procedures, en de geselecteerde Annex A-maatregelen. Beschrijf de criteria per auditonderdeel in het auditplan.
Wijs een onafhankelijke auditor aan
De interne auditor mag niet het eigen werk auditen. Dit is een harde eis. De IT-manager audit niet zijn eigen IT-processen. De ISMS-eigenaar auditeert niet het ISMS dat hij of zij heeft opgebouwd.
Voor kleine organisaties betekent dit vaak een van de volgende opties:
| Optie | Geschikt voor | Aandachtspunt |
|---|---|---|
| Medewerker andere afdeling | Organisaties met 20+ medewerkers | Training in audittechnieken nodig |
| Externe interne auditor | Alle organisaties | Kosten; geen vertrouwde medewerkers nodig |
| Gedeeltelijk extern | Hybride aanpak | Flexibel, populair bij mkb |
Stel een auditplan op per audit
Het auditplan beschrijft de scope, het doel, de criteria, de geplande activiteiten en de tijdsduur. Stuur het plan vooraf naar de auditees zodat zij weten wat er wordt verwacht en welke documenten klaargelegd moeten worden.
Uitvoering van de interne audit
Documentenreview
Begin met het reviewen van documentatie: is de scope actueel, is het informatiebeveiligingsbeleid up-to-date, zijn procedures beschikbaar en van de juiste versie? Controleer of de documenten zijn goedgekeurd en correct versiebeheert.
Interviews
Spreek met medewerkers die verantwoordelijk zijn voor ISMS-processen. Stel open vragen: “Hoe handle je een beveiligingsincident?”, “Wanneer heb je voor het laatst een risico-beoordeling bijgewerkt?”, “Hoe weten medewerkers welke data ze niet mogen doorsturen?” Antwoorden laten zien of processen daadwerkelijk worden gevolgd.
Observatie en bewijs
Vraag om bewijs. Trainingsregistraties, incidentlogs, toegangslogs, back-uprapporten. Als een procedure zegt dat wekelijks back-ups worden gecontroleerd, wil je de controleregistratie zien. Ontbreekt die, dan is er een bevinding.
Gebruik onderstaande checklist als leidraad.
Checklist interne audit ISO 27001
| Clausule / maatregel | Controle | Bevinding |
|---|---|---|
| 4.3 Scope | Is de scope gedocumenteerd en actueel? | |
| 5.2 Beleid | Is het beleid goedgekeurd, gedateerd en gecommuniceerd? | |
| 6.1.2 Risicobeoordeling | Is de risicoanalyse recent en zijn risico’s eigenaren toegewezen? | |
| 6.1.3 SoA | Omvat de SoA alle Annex A-maatregelen met rechtvaardiging? | |
| 7.2 Competentie | Zijn trainingen gedocumenteerd voor relevante medewerkers? | |
| 7.3 Bewustzijn | Kennen medewerkers het beleid en weten ze hoe te melden? | |
| 9.2 Interne audit | Zijn vorige auditresultaten aanwezig en zijn bevindingen afgehandeld? | |
| 9.3 Directiebeoordeling | Zijn notulen aanwezig en zijn acties opgevolgd? | |
| A.6.3 Awareness | Is er een awareness-programma en zijn deelnemers geregistreerd? | |
| A.5.24-5.28 Incidenten | Is er een incidentregister? Worden incidenten geanalyseerd? | |
| A.8.5 Authenticatie | Wordt MFA gebruikt voor systemen met gevoelige toegang? |
Rapportage van de interne audit
Het auditrapport legt bevindingen vast. ISO 27001 schrijft niet voor hoe uitgebreid het rapport moet zijn, maar het moet minimaal bevatten:
- Datum en scope van de audit
- Geauditeerde processen en personen
- Gebruikte criteria
- Bevindingen per clausule of maatregel (conformiteit, observaties, afwijkingen)
- Corrigerende maatregel per afwijking, met eigenaar en deadline
Deel het rapport met het management en gebruik het als input voor de directiebeoordeling. De externe auditor vraagt het rapport op bij de certificeringsaudit.
Een rapport zonder bevindingen is verdacht. Een goed werkend ISMS vindt altijd verbeterpunten. Auditoren waarderen eerlijkheid: een rapport met drie mineure bevindingen die zijn opgelost, is sterker dan een leeg rapport.
Zelf doen of uitbesteden?
| Zelf doen | Uitbesteden |
|---|---|
| Goedkoper | Onafhankelijker oordeel |
| Vraagt interne kennis van de norm | Externe partij kent de norm goed |
| Onafhankelijkheid is uitdaging bij kleine teams | Direct inzetbaar |
| Bouwt interne competentie op | Minder kennisoverdracht |
Bij een eerste certificering kiezen veel organisaties voor externe begeleiding van de interne audit. Na certificering kweek je interne auditcapaciteit op zodat je de kosten voor latere cycli kunt verlagen.
Interne audit en het stappenplan
De interne audit hoort in fase 8 van het stappenplan: na het opbouwen van het ISMS en het implementeren van maatregelen, maar ruim vóór de externe certificeringsaudit. Plan minimaal vier tot zes weken tussen de interne audit en de certificeringsaudit, zodat je tijd hebt om bevindingen op te lossen en bewijs te verzamelen.
Herhaal de interne audit jaarlijks als onderdeel van je onderhoudsstrategie na certificering.
Meer informatie
- Het auditproces — Externe certificeringsaudit en surveillance
- Stappenplan — Interne audit in het totale traject
- Onderhoud na certificering — Jaarlijkse interne auditcyclus
- Eisen van de norm — Clausule 9.2 uitgelegd
- Verklaring van toepasselijkheid — Wat de auditor toetst