Wat is een ISO 27001-audit?
Een ISO 27001-audit is een systematische, objectieve beoordeling van het Information Security Management System (ISMS) binnen uw organisatie. De audit toetst of u voldoet aan de norm ISO/IEC 27001 en hoe effectief uw beheersmaatregelen functioneren in de praktijk.
Doorloopt u de ISO 27001-audit goed dan behaalt u een ISO 27001-certificering. U toont daarmee aan dat uw informatiebeveiliging aantoonbaar op orde is.
Start ISO 27001-audit
Vooraf verzamelt u gegevens zoals het toepassingsgebied, het aantal FTE, uitbestede processen en relevante IT-factoren. Op basis daarvan stellen we een passende offerte op. Wilt u opgaan voor de ISO 27001-certificering dan ontvangt u van ons een auditplanning voor de initiële audit.
De initiële audit vormt de start van het certificeringsproces. Ze is opgesplitst in twee onderdelen: fase 1 en fase 2. De resultaten worden vastgelegd in een auditrapport.
| Fase | Focus | Activiteiten |
|---|---|---|
| Fase 1 | Beoordeling van documentatie en ISMS-structuur | Bestuderen beleidsstukken, risicobeoordeling, intern auditverslag |
| Fase 2 | Beoordeling van de implementatie en effectiviteit | Interviews, observaties, toetsing bewijslast, praktijktoetsing |
Wist u dat...
…interne audits verplicht zijn onder ISO 27001?
Certificering en jaarlijkse audits
Na goedkeuring door de certificatiecommissie wordt het ISO 27001-certificaat verstrekt. Maar daarmee stopt het niet. Jaarlijks vinden controleaudits plaats, waarbij aandacht wordt besteed aan:
- Interne audits en management reviews
- Behandeling van klachten en afwijkingen
- Doelstellingen en verbetermaatregelen
- Wijzigingen in het ISMS of het toepassingsgebied
Afwijkingen
Worden er afwijkingen geconstateerd? Dan ontvangt u hiervoor een afwijkingenformulier met duidelijke instructies. Afwijkingen komen voor in twee vormen:
| Type afwijking | Betekenis | Voorbeeld |
|---|---|---|
| Belangrijke afwijking | Risico op falen van het ISMS | Geen interne audit uitgevoerd |
| Minder belangrijke afwijking | Beperkte invloed op effectiviteit van het ISMS | Verouderd document in omloop |
U bent verantwoordelijk voor het analyseren van de oorzaak en het opstellen van corrigerende maatregelen. De auditor beoordeelt of deze voldoende zijn om het certificeringstraject voort te zetten.
Hercertificering: verlenging na drie jaar
Na drie jaar volgt de hercertificeringsaudit. Deze is vergelijkbaar met fase 2 van de initiële audit en richt zich op de continuïteit en structurele werking van uw ISMS. Tijdige voorbereiding voorkomt dat uw certificaat vervalt.
Wist u dat...
…de externe certificatieaudit alleen uitgevoerd mag worden door een onafhankelijke partij?
ISO 27001 interne audit vs externe audit
| Interne audit | Externe audit (certificering) | |
|---|---|---|
| Doel | Zelfevaluatie en voorbereiding | Onafhankelijke toetsing |
| Uitvoerder | Intern of onafhankelijk expert | Externe auditor/ auditteam |
| Resultaat | Intern rapport met verbeterpunten | Certificaat of rapport met afwijkingen |
| Verplichting | Verplicht onderdeel van een ISMS | Voorwaarde voor certificering |
Een goed uitgevoerde ISO 27001 interne audit legt de basis voor een soepele externe certificering.
Waarom een ISO 27001-audit laten uitvoeren?
Een onafhankelijke audit via Brand Compliance biedt:
✅ Aantoonbare naleving van internationale eisen
✅ Vertrouwen bij opdrachtgevers, partners en toezichthouders
✅ Inzicht in risico’s, verbeterkansen en effectiviteit
✅ Versterking van uw marktpositie en reputatie
✅ Continuïteit en borging van informatiebeveiliging