Wat is een ISO 27001-audit en waarom is die belangrijk?
Een ISO audit 27001 is een systematische, objectieve beoordeling van het Information Security Management System (ISMS) binnen uw organisatie. De audit toetst of u voldoet aan de norm ISO/IEC 27001 en hoe effectief uw beheersmaatregelen functioneren in de praktijk.
Doorloopt u de ISO 27001-audit goed dan behaalt u een ISO 27001-certificering. U toont daarmee aan dat uw informatiebeveiliging aantoonbaar op orde is.
Hoe start u een ISO 27001-audit?
Vooraf verzamelt u gegevens zoals het toepassingsgebied, het aantal FTE, uitbestede processen en relevante IT-factoren. Op basis daarvan stellen we een passende offerte op. Wilt u opgaan voor de ISO 27001-certificering dan ontvangt u van ons een auditplanning voor de initiële audit ISO 27001.
De initiële audit vormt de start van het certificeringsproces. Ze is opgesplitst in twee onderdelen: fase 1 en fase 2. De resultaten worden vastgelegd in een auditrapport.
| Fase | Focus | Activiteiten |
|---|---|---|
| Fase 1 | Beoordeling van documentatie en ISMS-structuur | Bestuderen beleidsstukken, risicobeoordeling, intern auditverslag |
| Fase 2 | Beoordeling van de implementatie en effectiviteit | Interviews, observaties, toetsing bewijslast, praktijktoetsing |
Wist u dat...
…interne audits verplicht zijn onder ISO 27001?
Hoe verloopt de certificering en welke jaarlijkse audits volgen?
Na goedkeuring door de certificatiecommissie wordt het ISO 27001-certificaat verstrekt. Maar daarmee stopt het niet. Jaarlijks vinden controleaudits plaats, waarbij aandacht wordt besteed aan:
- Interne audits en management reviews
- Behandeling van klachten en afwijkingen
- Doelstellingen en verbetermaatregelen
- Wijzigingen in het ISMS of het toepassingsgebied
Wat gebeurt er als er afwijkingen worden geconstateerd tijdens de audit?
Worden er afwijkingen geconstateerd? Dan ontvangt u hiervoor een afwijkingenformulier met duidelijke instructies. Afwijkingen komen voor in twee vormen:
| Type afwijking | Betekenis | Voorbeeld |
|---|---|---|
| Belangrijke afwijking | Risico op falen van het ISMS | Geen interne audit uitgevoerd |
| Minder belangrijke afwijking | Beperkte invloed op effectiviteit van het ISMS | Verouderd document in omloop |
U bent verantwoordelijk voor het analyseren van de oorzaak en het opstellen van corrigerende maatregelen. De auditor beoordeelt of deze voldoende zijn om het certificeringstraject voort te zetten.
Hoe werkt hercertificering na drie jaar?
Na drie jaar volgt de hercertificeringsaudit. Deze is vergelijkbaar met fase 2 van de initiële audit en richt zich op de continuïteit en structurele werking van uw ISMS. Tijdige voorbereiding voorkomt dat uw certificaat vervalt.
Wist u dat...
…de externe certificatieaudit alleen uitgevoerd mag worden door een onafhankelijke partij?
Wat is het verschil tussen een ISO 27001 interne audit en een externe audit?
| Interne audit | Externe audit (certificering) | |
|---|---|---|
| Doel | Zelfevaluatie en voorbereiding | Onafhankelijke toetsing |
| Uitvoerder | Intern of onafhankelijk expert | Externe auditor/ auditteam |
| Resultaat | Intern rapport met verbeterpunten | Certificaat of rapport met afwijkingen |
| Verplichting | Verplicht onderdeel van een ISMS | Voorwaarde voor certificering |
Een goed uitgevoerde ISO 27001 interne audit legt de basis voor een soepele externe certificering.
Waarom kiezen voor een ISO 27001-audit via Brand Compliance?
Een onafhankelijke audit ISO 27001 via Brand Compliance biedt:
✅ Aantoonbare naleving van internationale eisen
✅ Vertrouwen bij opdrachtgevers, partners en toezichthouders
✅ Inzicht in risico’s, verbeterkansen en effectiviteit
✅ Versterking van uw marktpositie en reputatie
✅ Continuïteit en borging van informatiebeveiliging