Welke onderwerpen worden beoordeeld tijdens de transitieaudit? #

Als een minimale vereiste zal de ISO 27001:2022 transitieaudit bestaan uit een beoordeling van:

• de gap-analyse (meer info zie vraag 2);
• de daaruit volgende wijzigingen in het managementsysteem;
• de aanpassingen in de verklaring van toepasselijkheid;
• eventuele aanpassingen in het risicobehandelplan;
• de implementatie van nieuwe of gewijzigde beheersmaatregelen;
• de effectieve werking van deze beheersmaatregelen.

Logischerwijs beoordeelt de auditor daarom alle paragrafen uit H4 t/m H10 van de norm die gewijzigd zijn, alle nieuwe of gewijzigde beheersmaatregelen, de interne auditactiviteiten en de directiebeoordeling.

Wat moet er in de gap-analyse worden opgenomen? #

Er worden geen vaste eisen gesteld aan de inhoud van een gap-analyse. Het is belangrijk dat tijdens de transitieaudit aangetoond kan worden dat een organisatie inzicht heeft in de wijzigingen van ISO 27001:2022 t.o.v. ISO 27001:2017, welke acties voortkomen uit deze wijzigingen, hoe deze acties zijn gepland, hoe deze acties zijn geïmplementeerd en hoe de organisatie heeft vastgesteld of de wijzigingen effectief zijn doorgevoerd in het managementsysteem.

Moet er een nieuwe interne audit uitgevoerd worden na implementatie van de wijzigingen? #

Een organisatie moet vaststellen of de wijzigingen van ISO 27001:2022 t.o.v. ISO 27001:2017 effectief zijn doorgevoerd in het managementsysteem. Het interne audit proces is een middel om deze effectiviteit te kunnen beoordelen.

Moet er een nieuwe directiebeoordeling uitgevoerd worden na implementatie van de wijzigingen? #

Een organisatie moet vaststellen of de wijzigingen van ISO 27001:2022 t.o.v. ISO 27001:2017 effectief zijn doorgevoerd in het managementsysteem. Het proces van directiebeoordelingen is een middel om de effectiviteit te kunnen evalueren.

Kan de auditor in een transitieaudit afwijkingen vaststellen en welke gevolgen heeft dit voor de transitie? #

Het is mogelijk dat de auditor tijdens de transitieaudit vaststelt dat niet aan bepaalde eisen wordt voldaan. De auditor schrijft dan een afwijking. Indien er afwijkingen worden vastgesteld krijgt u een termijn om deze af te handelen. Wanneer wordt voldaan aan de voorwaarden uit de ISO 27001:2022, is het moment daar dat u een nieuw certificaat ontvangt! Het ISO 27001:2022 certificaat zal dezelfde einddatum bevatten als uw lopende certificaat.

Tot welke datum kunnen initiële audits en hercertificeringen worden uitgevoerd tegen de oude versie van ISO 27001? #

Vanaf 1 mei 2024 kunnen er geen initiële audits en hercertificeringen tegen ISO 27001:2017 meer worden uitgevoerd.

Hoelang duurt het na de transitieaudit tot ik het nieuwe certificaat ontvang? #

Na de transitieaudit stelt de auditor een rapport op. Op het auditrapport wordt intern een review uitgevoerd, alvorens het aan u toegezonden wordt. Wanneer er afwijkingen zijn vastgesteld worden zogenaamde ‘afwijkingenformulieren’ voor u voorbereid zodat u deze kunt invullen.

Nadat eventuele afwijkingen naar tevredenheid van uw auditor zijn opgelost draagt de auditor u voor certificering voor. Deze voordracht gaat naar een zogeheten certificatiecommissie, welke uw dossier nogmaals onafhankelijk beoordeelt. Indien de certificatiecommissie tot dezelfde conclusie komt als de auditor, wordt het dossier overgedragen aan de certificatiebeslisser voor een definitief besluit. Als dit besluit genomen is, wordt een certificaat opgemaakt op basis van de informatie uit het auditrapport.

Hoe verloopt de transitie bij certificeringen op meerdere normen? (bijv. ISO 27001:2022 met NEN 7510:2017?) #

U kunt de transitieaudit laten plaatsvinden in combinatie met een andere norm, bijvoorbeeld NEN 7510. Echter, voor de ISO 27001 wordt gekeken naar de nieuwe beheersmaatregelen in de bijlage A van de 2022 versie, terwijl voor de NEN 7510:2017 nog wordt gekeken naar de Annex A van de 2017 versie.

Aavullende informatie #

Voor klanten die al gecertificeerd zijn voor ISO 27001 hebben we het transitieproces van de huidige naar de nieuwe norm gepubliceerd in de kennisbank op onze website. Zie ook het nieuwsbericht over de ISO 27001 accreditatie.

Heeft u vragen naar aanleiding van dit nieuwsbericht, neem dan contact met ons op via info@brandcompliance.com of +31 (0)73 220 2000.