Ga naar inhoud

Audit & bewijs ·

Management review ISO 27001: inhoud die auditors in 2026 verwachten

Juli 2026. ISO 27001 vereist periodieke management review van het ISMS. In surveillance vragen auditors: zagen bestuurders risico’s, incidenten en resources — en namen ze besluiten over acceptatie, investering en prioriteit?

Verplichte input (minimum)

  • status acties uit eerdere reviews;
  • wijzigingen in context, scope, risico’s, requirements;
  • resultaten interne audit, externe audit, CAP;
  • incidenten, near-misses, klachten, metrics;
  • leveranciers/keten, awareness, continue verbetering.

Output die telt

Notulen met besluiten: welke risico’s geaccepteerd, welke investering goedgekeurd, welke scope-wijziging. Algemene “we zijn voortgang” zonder besluit is onvoldoende. Koppel output aan verbeterregister en budget.

Meer: ISMS en auditvoorbereiding. Voeg NIS2/AVG-items toe waar relevant — één agenda.

Bestuurlijke aanwezigheid: CEO of gedelegeerd bestuur moet zichtbaar — CISO-only review is zwak bewijs voor NIS2 en ISO.

KPI’s die bestuur snapt

Vertaal security-metrics naar business-taal: uitval minuten, open major CAP’s, phishing click-rate, gemiddelde patch-tijd, open ketenrisico’s bij top vendors. Vermijd jargon zonder uitleg.

Acties uit management review moeten in verbeterregister met eigenaar — follow-up next review is verplichte input. Auditors steekproeven op closed loop.

NIS2 en AVG items op dezelfde agenda voorkomen dat bestuur twee verhalen hoort. Eén notulen-set, tags per kader.

Vervolgstappen in uw ISMS

Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.

Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.

Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.

Wat doet u deze week?

Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.

Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.

Bewijs en governance

Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.

Keten en contracten

Veel eisen in 2026 komen via opdrachtgevers en niet alleen via formele wet-scope. Align contract-SLA’s met uw ISMS: incidentmelding, auditrechten, patch-termijnen en exit. Documenteer waar contract strenger is dan interne policy — management review moet die gap expliciet accepteren of investering plannen.

Continu verbeteren

Plan kwartaal een korte review: wat werkte, welke near-miss viel op, welke control heeft extra aandacht nodig? Leg drie verbeteracties vast met eigenaar — dat is precies wat ISO 27001, NIS2 en AVG-toezicht willen zien: PDCA in de praktijk, niet alleen op papier.

Kennisbank en readiness

Voor diepere guidance verwijzen we naar onze kennisbank-pagina’s over ISMS, ISO 27001, NIS2 en AVG. Gebruik het readiness-overzicht om prioriteiten te vergelijken met uw huidige maturiteit. Dit artikel is educatief; voor juridische of auditorische besluiten schakelt u specialisten in.

Bewijs en governance

Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.

Keten en contracten

Veel eisen in 2026 komen via opdrachtgevers en niet alleen via formele wet-scope. Align contract-SLA’s met uw ISMS: incidentmelding, auditrechten, patch-termijnen en exit. Documenteer waar contract strenger is dan interne policy — management review moet die gap expliciet accepteren of investering plannen.

Continu verbeteren

Plan kwartaal een korte review: wat werkte, welke near-miss viel op, welke control heeft extra aandacht nodig? Leg drie verbeteracties vast met eigenaar — dat is precies wat ISO 27001, NIS2 en AVG-toezicht willen zien: PDCA in de praktijk, niet alleen op papier.

Verdiep in de kennisbank

Check je audit readiness

Bundel bewijs, acties en open punten zodat stage 1 en stage 2 voorspelbaar worden.

Bekijk audit readiness

← Terug naar overzicht