Ga naar inhoud

ISO 27001 audit

De ISO 27001-certificeringsaudit is het moment waarop je aantoont dat het ISMS niet alleen bestaat op papier, maar werkt in meetings, wijzigingen, incidenten en leveranciersgesprekken. Auditors zoeken naar traceerbare ketens: risico → besluit → maatregel → bewijs → verbeteractie. Deze pagina helpt je voorbereiden zonder auditstress.

Plan een vrijblijvend gesprek

ISO Ready helpt je om beleid, risico’s en bewijslast samen te brengen — zonder eindeloze documentstromen.

Doe de ISO 27001 readiness scan

ISO 27001 audit — met name de certificeringsaudit — is het moment waarop je aantoont dat je ISMS daadwerkelijk werkt in de praktijk. Auditors beoordelen niet alleen documenten; ze volgen risico’s naar steekproeven in tickets, configuraties, logs en interviews. Een sterke audit voorbereiding betekent daarom: een heldere verhaallijn, reproduceerbare voorbeelden en teams die hun eigen processen kunnen uitleggen zonder marketingtaal.

Zie deze pagina als praktische voorbereidingsgids — geen vervanging van je certificeringsinstantie of juridisch advies over sectorale regels die parallel kunnen lopen of strenger zijn dan ISO alleen.

Intern repeteren met dezelfde vragen en diepte als een externe auditor voorkomt dat je “overrompeld” wordt door detailvragen over uitzonderingen, noodaccounts en leveranciers.

Zorg dat je ook communicatie richting klanten en prospects klopt met auditrealiteit: als marketing claimt dat “alles in de EU staat” maar logging replicas elders replicated worden, moet je auditstory hetzelfde narratief als engineering gebruiken.

Wat betekent dit?

Een ISO 27001-certificeringsaudit toetst of je managementsysteem voldoet aan de norm en of het daadwerkelijk wordt uitgevoerd. Dat omvat beleid en procedures, maar ook operationele controles zoals identiteits- en toegangsbeheer, change management, logging en incidentresponse. Auditors gebruiken een risicogebaseerde aanpak: ze selecteren steekproeven op basis van wat het belangrijkst is voor jouw scope en context.

In surveillance audits daarna zoomen auditors vaak in op verbeteracties en trends: zijn incidenten afgenomen, zijn herhalende minors die niet zijn opgelost signalen van zwakte in je verbetercyclus? Het helpt om daar vooraf een eerlijke zelfevaluatie van te maken.

Je directiebeoordeling en interne audit zijn inputs voor de externe auditor: ze verwachten dat non-conformities en verbeteracties traceerbaar zijn en dat er zichtbare voortgang is. Een audit is dus geen “theorie-examen”; het is een bewijsrit langs je echte werkwijze — soms letterlijk door het volgen van een change ticket van begin tot productie.

Auditors onderscheiden major en minor non-conformities: majors zijn fundamentele breuken in het ISMS of maatregelen die risico’s niet beheersen; minors zijn lokale afwijkingen. Het verschil beïnvloedt je certificeringstraject en hoe snel je herstel moet laten zien — daarom is een eerlijke interne audit waardevoller dan een ‘groene’ rapportage zonder tekortkomingen.

Voor wie is dit relevant?

Voor iedereen die proceseigenaar is binnen scope — niet alleen security. Developers worden gevraagd naar secure SDLC; HR naar onboarding en uit dienst; servicedesk naar incidentregistratie. Als deze rollen niet weten waar beleid staat of hoe exceptions worden goedgekeurd, ontstaan inconsistenties die auditors als signalen lezen.

Voor scale-ups met snelle releases is dit extra relevant: continuous delivery mag, mits je laat zien dat controles (reviews, tests, rollback) daadwerkelijk plaatsvinden en dat logging bruikbaar is bij incidenten.

In ondernemingen met outsourcing moeten grenzen tussen leverancier en organisatie glashelder zijn — auditors gaan zoeken naar “wie heeft het systeem geconfigureerd?” en “hoe zien jullie mismatches tussen contract en praktijk?”.

In gefuseerde omgevingen met legacy en nieuwe platforms letten auditors ook op consistentie tussen oude mainframes en moderne microservices: heterogene landschappen zijn prima zolang je grenzen en logging maar uniform beschrijft.

Welke eisen of stappen horen erbij?

Voorbereiding start met een evidence-map: per Annex A-thema of per risico noteer je welke artefacten je toont (ticketnummers, exports, configuratiescreenshots binnen policy). Daarna train je interviews: korte antwoorden die verwijzen naar procedures en voorbeelden. Regel een technische escala­tie tijdens auditdagen zodat vragen over logging niet “volgende week” worden uitgesteld.

Maak ook een lijst van bekende weaknesses — liever zelf benoemd met verbeterplan dan door een auditor ontdekt zonder context. Dit maakt je gesprek volwassen en laat zien dat het ISMS eerlijk stuurt op verbetering.

Organiseer ook een pre-audit interne audit of gap assessment met onafhankelijke blik. Documenteer bevindingen en sluit ze waar mogelijk vóór de externe audit — open majors zijn stressvol en duur. Zorg dat leveranciersonderdelen aansluiten: contracten, exits, subprocessors en monitoring — dit zijn favoriete auditgebieden.

Richt een audit dossier in met index op onderwerp en tijdvak: bijvoorbeeld IAM Q4, patches Q3–Q4, incidenten laatste 12 maanden. Dat voorkomt dat teams tijdens audit ad hoc screenshots gaan maken die niet reproduceerbaar zijn.

Veelgemaakte fouten

Te veel focus op documentatie en te weinig op bewijs: een policy zonder voorbeeld van een recente wijzigingsaanvraag overtuigt niet. Tweede fout: inconsistente definities van “incident” tussen teams — dat leidt tot discussies over meldplicht en registratie. Derde fout: geen sample van privileged account reviews. Vierde fout: het framen van audits als “IT-project” waardoor business-eigenaren afwezig zijn terwijl context juist essentieel is.

Voeg daar aan toe: geen exit scenarios voor kritieke leveranciers — auditors vragen regelmatig “wat als deze SaaS morgen uitvalt?” en verwachten een minimal viable recovery pad.

Vijfde patroon: geen tijdzone-buffer voor logging correlation — voor internationale teams kan dit een auditor frustreren als correlatie niet reproduceerbaar is.

Zesde patroon: “delegatie naar tooling” — als antwoord altijd “we hebben een dashboard” zonder interpretatie, dan wil een auditor weten wie alarms afhandelt en hoe escalatie werkt als dashboards incompleet zijn.

Praktisch stappenplan

Werk met een auditkalender: T-8 weken evidence-map, T-4 weken interne mock interviews, T-2 weken technische controles op retention en IAM, T-1 week dieptestress op ketenleveranciers. Houd een single-room war room met toegang tot tickets en SOC voorbeelden — maar voorkom dat je auditweek alleen uit brandjes bestaat.

Benoem een audit moderator die vragen cluster en dubbele antwoorden voorkomt — dit maakt interviews rustiger en voorkomt dat inconsistenties tussen teams ontstaan onder druk.

Werk ook een beperkte “no demo list” uit voor omgevingen waar live tonen ongewenst risico geeft — je kunt dan alsnog configuratie-exports en change records tonen zonder productie te verstoren.

Lees voor context ook ISO 27001-certificering en ISO 27001 stappenplan; voor keten specifiek Leveranciersbeheer ISO 27001.

Plan ook rustmomenten voor het kernteam: auditweeks zijn intensief; uitval door burn-out midden in interviews is een reëel risico voor kleine organisaties.

Leg vooraf vast wie beslisbevoegd is tijdens audit als er escalaties ontstaan — ambiguïteit over goedkeuringen tijdens een interview voelt voor auditors als een governance-gap die je eenvoudig voorkomt.

Relatie met ISO 27001, NIS2, AVG of ISMS

Auditbewijs voor ISO overlapt met wat je nodig hebt voor NIS2-meldprocessen en AVG-incidenten: tijdlijnen, besluiten en logging. Zorg dat privacy en security hetzelfde incidentticket niet dubbel maar complementair behandelen — zie AVG en ISO 27001. EU-hosting keuzes moeten terug te lezen zijn in je cloud-roadmap en leveranciersadministratie — zie EU hosting en dataopslag.

Leg ook vast hoe je met testdata en geheimen in CI/CD omgaat: auditors vragen steeds vaker naar pipeline secrets en tijdelijke credentials — een frequente bron van bevindingen bij SaaS teams die snel deployen.

Je ISMS blijft leidend: audits zijn het moment waarop je laat zien dat PDCA werkt — niet alleen dat documenten bestaan — sluit aan bij ISMS opzetten en NIS2 compliance voor ketenverwachtingen.

Na de audit: archiveer bevindingen en lessons learned in je verbeterbacklog en deel een korte management samenvatting — zo wordt audit niet een eenmalige stresspie maar een versnellingsmoment voor volwassenheid.

Tot slot: train soft skills — hoe je “ik weet het niet, maar ik pak het na met eigenaar X” zegt is beter dan een gok die niet klopt. Auditors waarderen eerlijkheid en traceerbare vervolgstappen boven glanzende antwoorden die niet standhouden bij detailvragen en doorvragen op de werkvloer.

Kernpunten

  • Auditoren volgen risico’s en steekproeven; een netjes ordner-archief zonder verbinding naar processen overtuigt niet.
  • Interne audit en directiebeoordeling zijn je generale repetitie — gebruik dezelfde interviewvragen als de externe auditor.
  • Leveranciers en logging zijn favoriete doorzoekgebieden; bereid concrete voorbeelden voor.

Veelgestelde vragen

Welke documenten vraagt een auditor het eerst?
Vaak scope en context, het beleid, risicoregister en Statement of Applicability, plus planning van interne audit en directiebeoordeling. Daarna volgen steekproeven in operationele processen.
Hoe diep gaan interviews?
Diep genoeg om te zien of medewerkers hun rol herkennen: bijvoorbeeld hoe incidenten worden gemeld, hoe toegang wordt aangevraagd en hoe wijzigingen worden getest.
Wat als een maatregel tijdelijk niet werkt?
Wees eerlijk en toon verbeteracties met eigenaren en deadlines. Auditors accepteren gebreken als het verbeterproces zichtbaar stuurt — niet als het verborgen wordt.
Kan ik leveranciers laten auditen i.p.v. zelf te tonen?
Leveranciersauditrapporten helpen, maar tonen niet automatisch jouw eigen governance over keten en monitoring. Jij blijft verantwoordelijk voor contractuele eisen en follow-up.

Check je audit readiness

Bundel bewijs, acties en open punten zodat stage 1 en stage 2 voorspelbaar worden.

Bekijk audit readiness