Ga naar inhoud

Audit & bewijs ·

ISO 27001 interne audit in 2026: planning die surveillance voorbereidt

Juni 2026. Interne audit is een verplicht onderdeel van ISO 27001 — en in surveillancejaar vaak de eerste bron waar externe auditors naar kijken. Te dunne interne audits (alleen documentreview) of steekproeven zonder link naar risico’s leiden tot bevindingen en extra werk.

Wat moet interne audit minimaal dekken?

  • ISMS-scope en SoA — inclusief recente wijzigingen (cloud, SaaS, fusie);
  • risicobehandeling en CAP-opvolging sinds vorige audit;
  • steekproeven op werking: access reviews, logging, changes, backup-restore;
  • management review-input: metrics, incidenten, leveranciers, klachten.

Steekproeven kiezen

Baseer steekproeven op risico, niet op gemak. Kies minimaal één kritieke SaaS, één privileged access-wijziging, één change met security-impact en één incident/CAP uit de auditperiode. Documenteer waarom u deze steekproeven koos — auditors vragen naar rationale.

Onafhankelijkheid en competentie

Interne auditor mag niet alleen zijn eigen werk controleren. Bij kleine organisaties: uitbesteed of collega uit andere afdeling met training. Bewaar auditplan, checklist, bevindingen, CAP en verificatie — versie en datum.

Meer: interne audit ISO 27001, auditvoorbereiding en bewijsvoering.

Plan interne audit minstens zes weken vóór externe surveillance. Bevindingen moeten CAP hebben met eigenaar vóór de externe auditor arriveert — open majors zonder plan zijn rode vlaggen.

Koppel interne audit aan NIS2- en AVG-thema’s waar relevant: incidentmelding, leveranciers, logging. Eén auditprogramma met tags voorkomt drie parallelle auditkalenders.

Auditprogramma op risico afstemmen

Spread interne audit over het jaar — niet alles in de week vóór externe audit. Plan high-risk gebieden (identity, logging, leveranciers) vaker dan low-risk documentatie. Leg het meerjaren-auditprogramma vast en laat management review het goedkeuren.

Train interne auditors in steekproeftechniek: wat vragen, welk bewijs accepteren, wanneer escaleren naar major finding. Een checklist zonder oordeel is onvoldoende — bevindingen moeten CAP triggeren met eigenaar en deadline.

Koppel interne auditbevindingen aan metrics in management review. Herhalende minor findings zonder trendbreuk worden in surveillance vaak major.

Vervolgstappen in uw ISMS

Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.

Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.

Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.

Wat doet u deze week?

Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.

Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.

Bewijs en governance

Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.

Keten en contracten

Veel eisen in 2026 komen via opdrachtgevers en niet alleen via formele wet-scope. Align contract-SLA’s met uw ISMS: incidentmelding, auditrechten, patch-termijnen en exit. Documenteer waar contract strenger is dan interne policy — management review moet die gap expliciet accepteren of investering plannen.

Continu verbeteren

Plan kwartaal een korte review: wat werkte, welke near-miss viel op, welke control heeft extra aandacht nodig? Leg drie verbeteracties vast met eigenaar — dat is precies wat ISO 27001, NIS2 en AVG-toezicht willen zien: PDCA in de praktijk, niet alleen op papier.

Kennisbank en readiness

Voor diepere guidance verwijzen we naar onze kennisbank-pagina’s over ISMS, ISO 27001, NIS2 en AVG. Gebruik het readiness-overzicht om prioriteiten te vergelijken met uw huidige maturiteit. Dit artikel is educatief; voor juridische of auditorische besluiten schakelt u specialisten in.

Bewijs en governance

Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.

Verdiep in de kennisbank

Check je audit readiness

Bundel bewijs, acties en open punten zodat stage 1 en stage 2 voorspelbaar worden.

Bekijk audit readiness

← Terug naar overzicht