richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Convert eBook-Audit from submodule to normal directory

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-19 15:34:31 +02:00
parent 570d74d4dd
commit 54c4374ac8
17 changed files with 1309 additions and 1 deletions
Download patch file Download diff file Expand all files Collapse all files

1
marketing/content/eBook-Audit

@ -1 +0,0 @@
Subproject commit bdc238de983b78e7f33e23dab3c42dbfe8916e9e

BIN
marketing/content/eBook-Audit/.DS_Store vendored Normal file
View file

Binary file not shown.

7
marketing/content/eBook-Audit/.claude/settings.local.json Normal file
View file

@ -0,0 +1,7 @@
{
"permissions": {
"allow": [
"Bash(bash build.sh)"
]
}
}

14
marketing/content/eBook-Audit/Alles over de Audit - structuur.md Normal file
View file

@ -0,0 +1,14 @@
1. Titel: Waarom een ISO 27001 audit?
* wat is ISO 27001?
* wat heb je aan een certificaat?
* wat zijn redenen waarom je gecertificeerd zou willen zijn?
* wat voor voordelen biedt dat?
2. Ben ik klaar voor de audit?
3. Hoe lang duurt een audit, en wat kost het?
4. Hoe vraag je een audit aan?
5. Hoe verloopt een audit?
6. Wat verwacht de Auditor?
7. Wat is het resultaat van de audit?
8. Uitslag en Certificering
9. Afsluiting met verwijzing naar ISO27DIY, incl. link met UTM-tracker

187
marketing/content/eBook-Audit/Alles wat je wilt weten over de ISO 27001 audit.md Normal file
View file

@ -0,0 +1,187 @@
# Alles wat je wilt weten over de ISO 27001 audit
#iso27DIY/marketing/content
Dit boekje is een gids om je door het volledige audit- en certificeringsproces te loodsen, van het leggen van het fundament tot de uiteindelijke uitreiking van het certificaat.
## Waarom een ISO 27001 audit?
ISO 27001 is de internationale standaard voor informatiebeveiliging. Het behalen van deze certificering bewijst dat jouw organisatie informatiebeveiliging serieus neemt en structureel beheert via een Information Security Management System (ISMS).
## Wanneer ben ik klaar voor de audit?
Een organisatie is klaar voor de initiële certificeringsaudit wanneer het fundament van het Information Security Management System (ISMS) niet alleen is geïmplementeerd, maar ook door de organisatie zelf is getoetst op de effectieve werking ervan [1].
Concreet betekent dit dat de volgende stappen minimaal moeten zijn afgerond voordat de externe auditor langskomt voor de eerste fase van de audit (de Stage 1 documentatie-audit):
* **Volledige implementatie van het ISMS:** De fundamentele processen uit de norm (hoofdstuk 4 tot en met 10) moeten operationeel zijn [1, 2]. Dit houdt in dat de scope is afgebakend, het informatiebeveiligingsbeleid is ondertekend en een volledige risicoanalyse is uitgevoerd en vertaald naar een risicobehandelplan [3].
* **Een afgeronde Interne Audit:** Voordat de externe audit begint, vereist de norm dat je het systeem zelf hebt geëvalueerd. Je moet op zijn minst één interne audit hebben uitgevoerd en hier een auditrapport van hebben opgeleverd [1, 4]. Het is hierbij best practice dat deze eerste interne audit direct de volledige scope van jouw ISMS beslaat [4]. Ook moeten eventuele afwijkingen die tijdens de interne audit zijn gevonden, correct zijn gedocumenteerd in actieplannen (follow-up) [4].
* **Uitgevoerde Directiebeoordeling (Management Review):** Na de interne audit moet het topmanagement (de directie) formeel de prestaties en de effectiviteit van het ISMS hebben beoordeeld [1, 5]. Dit is cruciaal om managementbetrokkenheid aan te tonen, wat een harde eis is voor het fundament [3].
* **De Verplichte Documentatie is Beschikbaar:** Zoals we eerder bespraken in de context van de vier documentatieniveaus, moeten de belangrijkste documenten zoals je Verklaring van Toepasselijkheid (Statement of Applicability), procedures en de registraties (records) van de hierboven genoemde audits en management reviews aanwezig zijn en goed worden beheerd [6, 7].
Kort samengevat: Zodra je het managementsysteem hebt geïmplementeerd én je de zogenaamde 'Plan-Do-Check-Act' cyclus minimaal één keer zelf hebt rondgemaakt door het uitvoeren van een interne audit en management review, is de organisatie klaar om een onafhankelijke certificatie-instelling (certification body) te selecteren en de externe audit aan te vragen [1].
### Waarom het fundament eerst moet
Een ISMS bestaat uit twee hoofddelen: een procesmatig fundament (clausules 4 tot en met 10 van de norm) en een lijst met 93 mogelijke beveiligingsmaatregelen (de Annex A controls). Het is een vereiste om de fundamentele processen eerst volledig te hebben geïmplementeerd [1]. Deze processen dwingen je namelijk om een risicoanalyse uit te voeren, zodat je weet wát je moet beveiligen [2]. Je bent niet verplicht om alle 93 Annex A maatregelen blindelings te implementeren; je kiest ze uit op basis van jouw specifieke risico's en documenteert deze in de Verklaring van Toepasselijkheid (Statement of Applicability of SoA) [3, 4].
Zorg ook dat de **scope** van je ISMS en wat precies gecertificeerd moet worden helder in het Scope Statement staat.
Dit onderscheid tussen het fundament (het managementsysteem) en de specifieke maatregelen zie je terug in de opbouw van de audit:
In Stage 1 kijkt de auditor nog niet naar specifieke beveiligingsmaatregelen, maar uitsluitend naar het ontwerp van het managementsysteem. Hier gaat het om fundamentele vereisten: begrijpt de organisatie de standaard, is de scope duidelijk, is de risicoanalyse uitgevoerd, en zijn de fundamentele processen zoals de interne audit en de directiebeoordeling (management review) afgerond.
Pas in Stage 2 duikt de auditor echt de praktijk in om de effectiviteit en implementatie van het ISMS en de specifieke maatregelen (de controls) te evalueren.
### Mag ik certificeren als nog niet alles perfect is?
**Ja, met een belangrijke nuance.** Een auditor verwacht niet dat vanaf dag één elke beveiligingsmaatregel 100% is doorgevoerd. Zolang het managementfundament (zoals risicoanalyses, interne audits en directiebeoordelingen) draait, accepteert de norm dat je met een risicobehandelplan werkt. Als een bepaalde maatregel pas later wordt geïmplementeerd en de directie accepteert in de tussentijd formeel het restrisico, is dat toegestaan [5, 6]. Zorg er echter voor dat de *Verklaring van Toepasselijkheid* altijd de realiteit weerspiegelt en je niet claimt dat iets effectief is, terwijl het eigenlijk nog op de roadmap staat [4, 7].
## Wat kost een ISO 27001-audit en hoe lang duurt deze?
De prijs wordt meestal bepaald door **organisatiegrootte, complexiteit, aantal locaties, bestaande controles en de auditdagen** die nodig zijn. Een certificeringsinstantie rekent vaak per auditdag, en day rates liggen in de bronnen grofweg rond **€1.200€1.800 in Europa** of vergelijkbaar in andere valuta. Als je al een goed ISMS en veel bewijs hebt, valt de audit meestal goedkoper uit dan wanneer alles nog opgezet moet worden.[2][4][5][1]
De totale kosten van een audit hangen sterk af van de gekozen certificeringsinstantie, de complexiteit van je organisatie en het aantal benodigde auditdagen. Voor een **initiële ISO 27001-audit** kun je grofweg rekenen op **€5.000 tot €10.000** voor een kleine organisatie, en vaak **€10.000 tot €20.000** voor middelgrote bedrijven. Sommige Nederlandse bronnen noemen voor de EU en Nederland ook totale certificeringsfees van ongeveer **€6.000 tot €12.000**, afhankelijk van de scope en het gehanteerde dagtarief. Voor micro-businesses en heel kleine teams worden in recente bronnen ook lagere auditfees genoemd, variërend van ongeveer **€800 tot €3.000** (omgerekend), al is dit sterk afhankelijk van de specifieke certificatie-instelling.
Dat deze kosten kunnen variëren, komt doordat het aantal dagen dat een auditor in rekening brengt niet zomaar wordt verzonnen. Dit wordt strikt gereguleerd door tabellen uit de **ISO 27006-norm**, waardoor de geoffreerde tijdsbesteding tussen verschillende instellingen vaak redelijk overeenkomt.
**De basislijn voor het aantal auditdagen** Het startpunt voor de berekening van de audittijd is altijd de grootte van de organisatie (het aantal FTE):
* **1 tot 10 medewerkers:** Hiervoor staat een absoluut minimum van **5 auditdagen** in totaal.
* **11 tot 15 medewerkers:** De basislijn stijgt naar **6 auditdagen**.
* **Grotere organisaties (bijv. 176 tot 275 medewerkers):** De basislijn bedraagt in dit geval **14 auditdagen**.
**Hoe worden deze dagen in de praktijk verdeeld?** De auditdagen omvatten meer dan alleen de uren dat de auditor daadwerkelijk bij jou op kantoor is. Voor de minimale audit van 5 dagen (voor het kleinste MKB) ziet de standaard verdeling er doorgaans als volgt uit:
* **Een halve dag:** Voorafgaande planning en voorbereiding.
* **1 volledige dag:** De Stage 1 audit (de documentatie-audit).
* **3 volledige dagen:** De Stage 2 audit (de gedetailleerde on-site of remote implementatie-audit).
* **Een halve dag:** Het opstellen en schrijven van het uiteindelijke auditrapport.
**Aanvullende factoren die kosten en tijd beïnvloeden** Hoewel het aantal medewerkers de basislijn vormt, kan de certificatie-instelling de uiteindelijke audittijd (en daarmee de prijs) naar boven of beneden bijstellen op basis van specifieke factoren. De instelling beoordeelt onder andere:
* **Sector en complexiteit:** Werkt de organisatie in een hoogrisico- of streng gereguleerde sector (zoals de gezondheidszorg), dan is er meer audittijd nodig.
* **Aantal locaties:** Hoeveel fysieke vestigingen of kantoren vallen er binnen de audit-scope?
* **IT-omgeving:** Bestaat de IT uit één overzichtelijke technologiestack, of is het een complexe omgeving met meerdere integraties?
* **Outsourcing:** Hoeveel diensten of processen zijn uitbesteed aan externe leveranciers?
* **Wet- en regelgeving:** Zijn er specifieke wettelijke vereisten waaraan getoetst moet worden?
Hoewel de berekening van het *aantal auditdagen* streng genormeerd is, kunnen de totale kosten desondanks toch sterk kunnen afhangen van de gekozen instantie. Dit heeft te maken met de volgende variabelen:
* **Dagtarieven en reputatie:** Hoewel de auditdagen gelijk zijn, stelt elke certificeringsinstantie haar eigen commerciële dagtarieven vast. Deze prijzen variëren onder andere op basis van hun reputatie en marktpositie.
* **Berekeningswijze en inbegrepen tijd:** In de certificatieovereenkomst wordt vastgelegd hoe de vergoedingen precies worden berekend. Het kan per instantie verschillen wat er wel of niet exact onder de gefactureerde 'audittijd' valt en hoe extra werkzaamheden in rekening worden gebracht.
* **Reis- en verblijfkosten (logistiek):** Alle kosten rondom de uitvoering van de audit moeten door de te auditen organisatie worden betaald. Een certificeringsinstantie die auditors lokaal of dichtbij beschikbaar heeft, zal aanzienlijk goedkoper uitvallen dan een instantie die auditors van ver moet laten invliegen of hoge verblijfkosten rekent.
* **Mogelijkheid tot gecombineerde audits:** Sommige instanties kunnen de audit combineren met andere normen (zoals ISO 9001 of lokale kaders). Het uitvoeren van zo'n gecombineerde audit kan de organisatie over het algemeen tijd en geld besparen.
* **Inschatting van complexiteit:** Hoewel de basis voor het minimum aantal auditdagen in tabellen is vastgelegd, moet de instantie dit aantal verhogen of verlagen op basis van specifieke factoren, zoals de complexiteit van de technologie, het aantal fysieke locaties, wettelijke eisen en de mate van outsourcing. Hoe de instelling deze weging en de complexiteit van de organisatie precies inschat, is maatwerk en beïnvloedt de uiteindelijke prijs.
**Bijkomende kosten**
De auditfee is niet je totale kostenplaatje. Vaak komen daar nog **consultancy, implementatietijd, tooling, documentatie en interne uren** bij, waardoor de totale eerstejaarskosten veel hoger kunnen uitvallen dan alleen de audit. Sommige recente overzichten noemen totalen van ongeveer **€10.000 tot €50.000** voor kleine tot middelgrote organisaties als je alles meerekent.[5][7][1]
**Tip voor het aanvragen van offertes:** Bij het beoordelen van wat de audit gaat kosten, is het essentieel om niet alleen naar het totale bedrag onderaan de streep te kijken. Controleer ook goed in de overeenkomst wat het dagtarief is, wat er wel en niet wordt meegerekend, en hoe de auditdagen precies zijn verdeeld over de planning, Stage 1, Stage 2 en de rapportage.
### Jaarlijkse kosten
Na de eerste certificering komen er meestal **surveillance audits** bij, die vaak goedkoper zijn dan de initiële audit. In de bronnen zie je hiervoor vaak bedragen van ongeveer **30% tot 50% van de initiële auditkosten**, of ruwe bandbreedtes van **€2.000€5.000 per jaar** voor kleinere organisaties. Om de drie jaar volgt dan een hercertificeringsaudit die weer dichter bij de initiële audit kan liggen.[6][1]
Sources
[1] Hoeveel kost een ISO 27001-certificering in 2026? - ISOPlanner https://isoplanner.app/nl/hoeveel-kost-een-iso-27001-certificering-in-2026/
[2] ISO 27001 Certification Costs FAQ - High Table https://hightable.io/iso-27001-certification-costs-faq/
[3] ISO 27001 Certification Cost [2026 update] - High Table https://hightable.io/iso-27001-certification-cost/
[4] ISO 27001 Cost: What Businesses Need to Know - GRC Solutions https://grcsolutions.io/iso27001-certification-costs/
[5] How Much Does ISO 27001 Certification Cost? - Steerlab https://www.steerlab.ai/blog/iso-27001-certification-cost
[6] How much does ISO 27001 certification cost? | Blog - OneTrust https://www.onetrust.com/blog/iso-27001-certification/
[7] How Much Does ISO 27001 Certification Cost in 2026? - StrongDM https://www.strongdm.com/blog/iso-27001-certification-cost
[8] What does ISO 27001 certification cost? - Fendix https://www.fendix.nl/en/resources/wat-kost-een-iso-27001-certificering
[9] ISO27001 Cost - Reddit https://www.reddit.com/r/ISO27001/comments/1lh3lwx/iso27001_cost/
[10] ISO 27001 certification costs - Dekra https://www.dekra.nl/en/iso-27001-certification-costs/
## Hoe vraag je een audit aan?
Je vraagt een audit voor **ISO 27001-certificering** aan bij een geaccrediteerde certificeringsinstantie, niet bij een normale consultant of een interne auditor. De route is meestal: eerst intern voorbereiden en eventueel een pre-audit/readiness check doen, daarna de formele certificeringsaudit aanvragen bij een certificatiebureau.[1][2][3]
### Bij wie vraag je het aan
Je vraagt het aan bij een **certification body / certificeringsinstantie** die geaccrediteerd is voor ISO 27001. Voorbeelden die in Nederlandse overzichten genoemd worden zijn onder andere Kiwa, DNV, BSI en DigiTrust, maar je moet altijd controleren of ze op dit moment echt geaccrediteerd zijn voor ISO 27001. Consultants kunnen je wel helpen met voorbereiding of interne audit, maar zij geven meestal niet zelf de officiële certificering af.[3][4][5][1]
### Hoe je het aanvraagt
Meestal vraag je een **offerte of auditvoorstel** aan via het sales- of contactformulier van de certificeringsinstantie. Ze willen dan meestal weten: hoeveel medewerkers je hebt, welke locaties en systemen in scope zijn, of je al een ISMS hebt, welke bestaande certificeringen je hebt, en wanneer je de audit wilt laten plaatsvinden. Daarna plannen ze doorgaans de Stage 1-audit en Stage 2-audit in.[6][7]
### Waar je op moet letten
Niet elke partij die “ISO 27001 audit” zegt, mag ook de officiële certificering afgeven. Voor de echte certificeringsaudit moet de partij geaccrediteerd zijn; dat is belangrijker dan alleen een mooie website of een snelle prijsopgave. Ook is het verstandig om een partij te kiezen die ervaring heeft met jouw type organisatie, zodat de audit niet onnodig abstract of bureaucratisch wordt.[2][5][7][8][9]
Als je wilt, kan ik hierna ook een korte mailtemplate maken waarmee je direct een offerte voor een ISO 27001-audit aanvraagt.
Sources
[1] Wat is de ISO 27001 audit: Checklist, praktische tips en de ... https://certificeringsadvies.nl/hoe-gaat-een-iso-27001-audit-in-zijn-werk/
[2] Certification Process - ISO 27001 Documentation - GRC Lab https://grclab.com/iso27001-docs/certification-process
[3] A breakdown of the ISO 27001 audit and certification process https://www.thoropass.com/blog/iso-27001-audit-certification-process
[4] Lijst Van Iso 27001-geaccrediteerde Certificeringsinstanties https://www.online-iso.nl/iso-14001/lijst-van-iso-27001-geaccrediteerde-certificeringsinstanties/
[5] Overzicht certificatie instellingen - ISO Register https://isoregister.nl/overzicht-certificatie-instellingen/
[6] ISO 27001 Audit: How to prepare and the critical next steps - UpGuard https://www.upguard.com/blog/iso-27001-audit-next-steps
[7] ISO 27001 Certification Audit 2026: Requirements, Costs & Timeline https://www.icertworks.com/iso-27001-certification-audit-in-2026-requirements-costs-timeline-what-auditors-look-for/
[8] ISO 27001 Certification vs Accreditation - What You Need to Know ... https://www.ocden.com/compliance/iso-accrediation-certification-auditor
[9] Examining Certification Bodies for ISO 27001 Certification - A-LIGN https://www.a-lign.com/articles/blog-examining-certification-bodies-iso-27001
[10] Overzicht ISO 27001 certificering en implementatie bedrijven ... https://obi.nl/iso-27001-certificering/
## De Tweefasen-Audit
Wanneer je besluit voor certificering te gaan door een onafhankelijke externe instantie (een zogenaamde 'third-party audit'), wordt de initiële audit altijd opgesplitst in twee fases [8, 9].
### Stage 1: De Documentatie-audit
Tijdens de Stage 1 audit verifieert de auditor nog niet de effectiviteit van de maatregelen in de praktijk, maar controleert hij of zij het *ontwerp* van het management systeem [9]. De auditor neemt de gedocumenteerde informatie door, zoals het beveiligingsbeleid, de doelstellingen, en kijkt of de interne audit en directiebeoordeling zijn uitgevoerd [9, 10]. Dit neemt meestal zo'n 30% van de totale audittijd in beslag [11].
### De Tussenpauze
Tussen Stage 1 en Stage 2 zit doorgaans een pauze van twee tot vier weken, waarbij een maximum van twaalf weken geldt [12, 13]. Deze pauze geeft jouw organisatie de kans om eventuele zorgpunten uit Stage 1 te verhelpen voordat het echte veldwerk begint [14].
### Stage 2: De Gedetailleerde Implementatie-audit
In Stage 2 duikt de auditor echt in de organisatie (vaak op locatie of remote) om te evalueren of de beveiligingsmaatregelen daadwerkelijk zijn geïmplementeerd en effectief werken [9, 15, 16]. In deze fase worden systemen bekeken en interviews met medewerkers gehouden.
---
## Wat Verwacht de Auditor (en hoe toon je dat aan)?
### Hoe stelt een auditor vragen?
Tijdens Stage 2 wil de auditor achterhalen hoe processen écht werken. Je kunt de volgende technieken verwachten:
* **Open interviews:** Auditors stellen zelden ja/nee vragen om te voorkomen dat ze het antwoord beïnvloeden (geen 'leidende vragen'). Verwacht vragen als: *"Kun je me uitleggen hoe jullie benadering van back-ups werkt?"* [17-19].
* **Systeemspecifieke vragen:** Na een algemene uitleg zal de auditor inzoomen. *"Je hebt zojuist de procedures uitgelegd, kun je me vertellen hoe je dit toepast op systeem X?"* [20].
* **"Laat het me zien" (Technische verificatie):** Mondeling (verbaal) bewijs is de zwakste vorm van auditbewijs [21, 22]. Een auditor zal na een interview vaak om demonstraties vragen. Dit betekent dat hij/zij met je meekijkt in de systeemconfiguraties (bijvoorbeeld firewall-regels of encryptie-instellingen) om het verbale verhaal met de technische realiteit te bevestigen [23-25].
### Wat voor documentatie is vereist?
Hoewel je niet voor alles gigantische boekwerken hoeft te schrijven, kijkt een auditor in vier logische lagen naar je documentatie [26]:
1. **Strategisch (Niveau 1):** Documenten ondertekend door het management, zoals het ISMS-beleid, de scope en de Verklaring van Toepasselijkheid (SoA) [26, 27].
2. **Risicobeheer (Niveau 2):** Het formele proces: hoe voer je risicoanalyses uit en hoe behandel je risico's? [28].
3. **Procedures (Niveau 3):** Hoe specifieke maatregelen worden uitgevoerd (bijv. wachtwoordbeheer, patchmanagement) [29].
4. **Records (Niveau 4):** Het keiharde bewijs. Dit zijn systeemlogs, incidententickets en notulen van vergaderingen die bewijzen dat het proces écht is gevolgd [30-32].
## Wat is het resultaat van de audit? Auditbevindingen en Het Correctieplan
Als een auditor vaststelt dat niet aan een eis van de norm wordt voldaan, resulteert dit in een auditbevinding. Er zijn verschillende classificaties:
* **Observaties / Anomalieën:** Punten voor verbetering of heel kleine incidentele afwijkingen die het management systeem als geheel niet in gevaar brengen [33, 34].
* **Kleine Non-conformiteit (Minor):** Een gedeeltelijk falen van een eis. Dit werpt enige twijfels op, maar het brengt het vermogen van het ISMS om zijn doelen te bereiken niet in gevaar [35, 36].
* **Grote Non-conformiteit (Major):** Een volledig falen van een eis of een onacceptabel risico. Bij een Major non-conformiteit wordt de certificering direct gepauzeerd [37, 38].
### Het opstellen van een Corrective Action Plan (CAP)
Als er non-conformiteiten zijn vastgesteld, moet jouw organisatie een gestructureerd actieplan indienen bij de auditor [39]. Vaak krijg je **10 tot 60 dagen** de tijd om dit in te dienen [40]. Zonder ingediend actieplan volgt er geen certificeringsaanbeveling [40].
Dit plan moet per non-conformiteit het volgende bevatten [39, 41]:
1. **De Root Cause Analyse:** Een analyse van de kernoorzaak (waarom gebeurde dit?).
2. **Correcties:** De pleister op de wond (hoe hebben we de directe tekortkoming nu tijdelijk opgelost?).
3. **Correctieve Acties:** De structurele langetermijnoplossing (hoe zorgen we dat dit nooit meer gebeurt?).
4. **Realistische Tijdslijnen:** Wanneer is dit voltooid?
### Wat als je het oneens bent met de auditor?
Het is de taak van de leidende auditor om eventuele meningsverschillen tijdens de audit of in de afsluitende bijeenkomst uit te praten [42, 43]. Kom je er echt niet uit en weiger je de bevindingen te accepteren? Dan heb je altijd het recht om de conclusies niet te accepteren en een formeel klachten- of beroepsproces (appeal) op te starten bij de certificatie-instelling [44, 45].
---
## De Uitslag en Certificering
### De Aanbeveling
Aan het einde van de Stage 2 audit (vaak tijdens de closing meeting) zal de auditor zijn conclusies met het management bespreken [46]. De auditor kan **vier mogelijke aanbevelingen** doen [47, 48]:
1. **Aanbeveling voor certificering:** Alles is in orde.
2. **Voorwaardelijke aanbeveling zónder extra bezoek:** Je krijgt het certificaat, mits je op afstand een goedgekeurd actieplan voor je (kleine) non-conformiteiten aanlevert.
3. **Voorwaardelijke aanbeveling mét extra bezoek:** Er is een follow-up audit op locatie nodig om de herstelwerkzaamheden fysiek te bewijzen (vaak bij een *Major*).
4. **Onvoldoende / Onze aanbeveling:** De audit is niet behaald.
### Wie beslist en wanneer ben ik gecertificeerd?
Het is essentieel om te begrijpen dat de auditor alléén een aanbeveling doet [49, 50]. De definitieve beslissing ligt bij de certificatie-instelling (de Certification Body) die het volledige auditrapport onafhankelijk beoordeelt [50, 51].
Zodra de certificatie-instelling akkoord is, word je officieel gecertificeerd. Als er correctieplannen nodig waren, krijg je je certificaat pas nadat deze plannen zijn ingediend en goedgekeurd [47, 52].
### Geldigheid van het ISO 27001 certificaat
Je behaalde certificaat is **drie jaar geldig** [51, 53]. Dat betekent echter niet dat je daarna drie jaar achterover kunt leunen. Het succes van ISO 27001 is continue verbetering. Daarom komt de auditor ieder jaar terug voor een kleinere *surveillance audit* om te controleren of het management systeem nog steeds effectief wordt onderhouden [51, 54]. In het derde jaar vindt de grotere hercertificeringsaudit plaats [53, 55].

56
marketing/content/eBook-Audit/Angsten over de audit.md Normal file
View file

@ -0,0 +1,56 @@
# Angsten over de audit
Bij mensen en organisaties leven vooral dezelfde drie dingen rond een ISO 27001-audit: **angst om bewijs te missen**, onzekerheid over wat auditors precies verwachten, en onduidelijkheid over de grens tussen “een werkende securitypraktijk” en “auditwaardig bewijs”. In communities rond startups en security komt vooral naar voren dat veel teams wel controles hebben, maar die niet goed genoeg kunnen aantonen of documenteren.[1][2][3]
## Wat mensen bang maakt
De grootste angst is niet altijd “falen op inhoud”, maar falen op **bewijsvoering**: policies, logs, risk assessments, access reviews, vulnerability management en SOA-mapping moeten aantoonbaar op orde zijn. In Reddit-discussies zie je expliciet zorgen over auditfindings door ontbrekende records, inconsistent patchen en controles die wel bestaan maar niet organisatiebreed of aantoonbaar zijn ingevoerd. Bij founders leeft daarnaast de vrees dat een audit veel tijd en geld kost en deals vertraagt, vooral als enterprise-klanten de certificering als harde voorwaarde stellen.[4][5][6][7][8][9][1]
## Waar de onzekerheid zit
Veel onduidelijkheid gaat over **hoe streng auditors zijn** en wat er precies in fase 1 versus fase 2 kan misgaan. In de besproken bronnen wordt vaak benadrukt dat fase 1 al pijn kan doen als de managementsystematiek of documentatie niet klopt, terwijl fase 2 vooral gaat om werking en effectiviteit van de controles. Een terugkerende onzekerheid is ook of “goed genoeg voor security” hetzelfde is als “goed genoeg voor ISO 27001”; de discussies laten zien dat organisaties soms verrast zijn dat de standaard meer vraagt dan losse tools of losse beleidsdocumenten.[2][10][1]
## Veelgemaakte grijze zones
Een ander thema is de **interpretatie van de norm**. Teams twijfelen bijvoorbeeld over vulnerability-managementtermijnen, scope-afbakening, risicoacceptatie, en hoeveel detail auditors willen zien in bewijsstukken en rationale. Ook wordt regelmatig genoemd dat leveranciers, compliance-platforms en consultants veel beloven, maar dat organisaties alsnog zelf de PDCA-cyclus, risicos en justifications moeten dragen. Dat voedt het gevoel dat je pas tijdens de audit ontdekt wat er echt ontbreekt.[3][5][6][7][10]
## Wat in de praktijk terugkomt
De meest genoemde auditproblemen zijn vrij consistent: onvolledige risk assessments, zwakke access controls, ontbrekende of niet-getoetste incident response, onvoldoende training, lacunes in asset-inventarisatie en slechte supplier management-bewijsvoering. Op Reddit duikt ook vaak de zorg op dat een organisatie “de controls heeft”, maar dat de auditor vooral wil zien dat ze structureel, herhaalbaar en gedocumenteerd werken. Dat verklaart waarom mensen zo vaak spreken over “paperwork”, “evidence” en “audit trail” als de echte stressfactoren.[6][1][2][3][4]
## Specifiek voor kleine teams
Voor indie builders en kleine SaaS-teams gaat de angst vaak minder over technische onbekwaamheid en meer over **resource-tekort**: te weinig tijd, te weinig mensen en te weinig volwassen procesdiscipline. Daardoor voelt ISO 27001 soms als iets dat je pas kunt doen zodra je al groter bent, terwijl enterprise-sales juist vraagt om die certificering vóórdat je groot bent. Dat spanningsveld maakt de audit in de praktijk vaak emotioneler en strategischer dan puur technisch.[7][8][11]
Ik kan dit ook omzetten in een compacte lijst met: 1) angsten, 2) onzekerheden, 3) auditvragen, en 4) risicos per doelgroep zoals founders, IT-teams en compliance leads.
Sources
[1] ISO 27001 audit: is the hardest part already done, or can you still fail ... https://www.reddit.com/r/cybersecurity/comments/1q6pcnv/iso_27001_audit_is_the_hardest_part_already_done/
[2] What We Learned from Our ISO 27001 Audit (Automation Isn't Everything) https://www.reddit.com/r/SaaS/comments/1msx6ts/what_we_learned_from_our_iso_27001_audit/
[3] We built a GRC tool after watching SMBs fail ISO audits for ... https://news.ycombinator.com/item?id=47395503
[4] ISO 27001 Common Audit Findings: A Practical Guide (2026) https://www.konfirmity.com/blog/iso-27001-common-audit-findings
[5] Vulnerability management for ISO 27001, how do you keep up? https://www.reddit.com/r/cybersecurity/comments/1kvp3v1/vulnerability_management_for_iso_27001_how_do_you/
[6] 10 most common non-conformities in ISO 27001 audits - Cyberday.ai https://www.cyberday.ai/blog/10-most-common-non-conformities-in-iso-27001-audits
[7] I'm building a tool to make ISO 27001 accessible for ... https://www.reddit.com/r/TheFounders/comments/1rdiudz/im_building_a_tool_to_make_iso_27001_accessible/
[8] Ask HN: Is the ISO 27001 certification worth it? https://news.ycombinator.com/item?id=29094889
[9] the rule with these kinds of certifications is simple: don't do ... https://news.ycombinator.com/item?id=29099232
[10] I'm building a tool to make ISO 27001 accessible for ... https://www.reddit.com/r/ISO27001/comments/1rdibs0/im_building_a_tool_to_make_iso_27001_accessible/
[11] SOC 2 vs ISO 27001: what enterprise customers are ... https://www.reddit.com/r/soc2/comments/1s97onb/soc_2_vs_iso_27001_what_enterprise_customers_are/
[12] 🚀 Building a Pre-Audit Tool for ISO 27001 Readiness https://www.reddit.com/r/cybersecurity/comments/1oe5a3k/building_a_preaudit_tool_for_iso_27001_readiness/
[13] Bad Auditors... Be Warned https://www.reddit.com/r/ISO27001/comments/1l8q38p/bad_auditors_be_warned/
[14] The 100 Most Common ISO 27001 Audit Failures (And ... https://www.gsdcouncil.org/blogs/the-100-most-common-iso-27001-audit-failures-and-how-to-fix-them
[15] ISO 27001 Audit with a Self-Hosted Dashboard Heres the Behind-the-Scenes https://www.reddit.com/r/devops/comments/1ln990i/iso_27001_audit_with_a_selfhosted_dashboard_heres/
[16] For CTOs and Technical Leaders - alphalist.CTO Podcast https://alphalist.podigee.io/feed/mp3
[17] Agreed. As an ISO 27001 auditor I see a growing demand ... https://news.ycombinator.com/item?id=42114838
[18] I'm building a tool to make ISO 27001 accessible for ... https://www.reddit.com/r/founder/comments/1rd6nbs/im_building_a_tool_to_make_iso_27001_accessible/
[19] Well, yes, but that's the point of many contracts, they are ... https://news.ycombinator.com/item?id=47465044
[20] Supabase - $7200/year for SOC2 (making it costly for many startups ... https://www.reddit.com/r/Supabase/comments/1j1isij/supabase_7200year_for_soc2_making_it_costly_for/
[21] Sign up - Indie Apps https://indieapps.space/auth/sign_up
[22] Indie Apps: Explore https://indieapps.space
[23] Login to indieapps.space https://indieapps.space/auth/sign_in
[24] What is Software? Definition, Types, Uses, and Benefits https://www.theknowledgeacademy.com/blog/what-is-software/
[25] Dossier (@dossier@indieapps.space) - Explore - Indie Apps https://indieapps.space/@dossier
[26] Callum M. - Software Engineering Manager at Wing | LinkedIn https://www.linkedin.com/in/callum-may
[27] Android App Analytics Explained by Pros: 5 Lifehacks & Tools https://appfollow.io/blog/android-app-analytics
[28] App icon design tips and best practices - AppTweak https://www.apptweak.com/en/aso-blog/how-to-design-an-app-icon
[29] Games (@games@indieapps.space) - Indie Apps https://indieapps.space/@games

16
marketing/content/eBook-Audit/Hoe bereid je je voor.md Normal file
View file

@ -0,0 +1,16 @@
# Hoe bereid je je voor op de Fase 2 audit?
Rolhouders krijgen ruim de tijd om zich voor te bereiden, doordat de auditor vooraf een auditplan deelt waarin specifieke rollen of expertises op bepaalde tijdstippen worden ingepland. Om goed beslagen ten ijs te komen tijdens het interview, kunnen de betreffende personen zich op de volgende manieren voorbereiden:
- **Begrijp dat het geen functioneringsgesprek is:** Een auditor beoordeelt niet de persoonlijke prestaties van de werknemer, maar wil simpelweg begrijpen hoe de processen in de organisatie werken. Er zijn geen "goede" of "foute" antwoorden, dus rolhouders hoeven niet nerveus te zijn.
- **Wees voorbereid om je rol toe te lichten:** De auditor zal het gesprek vaak beginnen met de vraag om kort je rol en achtergrond te beschrijven, om er zeker van te zijn dat hij of zij de juiste materiedeskundige tegenover zich heeft.
- **Zorg dat je bewijs bij de hand hebt ('Show, don't tell'):** Mondelinge antwoorden worden door auditors beschouwd als de minst betrouwbare vorm van bewijs. Bereid je erop voor dat de auditor je vraagt om je uitleg direct aan te tonen, bijvoorbeeld door het tonen van systeemconfiguraties, logbestanden, of door een proces live te demonstreren (technische verificatie).
- **Geef specifieke antwoorden over de dagelijkse praktijk:** Auditors stellen open vragen zoals "leg uit" of "laat zien". Vertel de auditor niet wat je _zou moeten_ doen in theorie, maar leg heel specifiek uit wat je _daadwerkelijk doet_ in de dagelijkse praktijk met betrekking tot de systemen of processen die binnen de audit-scope vallen.
- **Weet waar documentatie staat:** Zelfs als je een document niet zelf hebt geschreven, wil een auditor toetsen of de communicatie in de organisatie effectief is. De auditor kan bijvoorbeeld vragen of je op de hoogte bent van een nieuw beleid en of je kunt laten zien waar je dit op het bedrijfsintranet kunt vinden.
- **Laat de gids (guide) niet voor je praten:** Als er een gids (begeleider) vanuit de organisatie bij het interview aanwezig is, zal de auditor verwachten dat jij als materiedeskundige zélf antwoord geeft. De gids is er alleen ter facilitering en mag het proces niet beïnvloeden of vragen voor jou beantwoorden.
**Specifieke voorbereiding voor het Topmanagement (de directie):** Wanneer de auditor in gesprek gaat met de directie, hoeven zij zich niet voor te bereiden op technische vragen of jargon. Zij moeten zich voorbereiden op strategische vragen door na te denken over:
- Hoe het Information Security Management System (ISMS) hen helpt om de algemene bedrijfsdoelstellingen te behalen.
- Op welke manier zij als directie betrokken zijn, bijvoorbeeld door het beschikbaar stellen van budget, tijd en middelen.
- Hoe zij zelf de zekerheid (assurance) krijgen dat de juiste processen en beveiligingsmaatregelen effectief werken, bijvoorbeeld via rapportages of management reviews.

15
marketing/content/eBook-Audit/Hoe technisch is de audit.md Normal file
View file

@ -0,0 +1,15 @@
# Hoe 'technisch' is de audit?
*In de PECB training worden vaak technische security experts genoemd, bijv. 'de firewall-engineer'. In hoeverre moet de auditor inhoudelijk technische kennis hebben? Moet hij bijv. een oordeel hebben over de configuratie van de firewall?*
Hoewel je als individuele auditor niet verwacht wordt om elk technisch detail van elk mogelijk systeem of framework te kennen, is inhoudelijke technische kennis wel degelijk vereist om een succesvolle ISO 27001-audit uit te voeren.
Hier is hoe de norm en de praktijk hiermee omgaan:
**1. Collectieve kennis en het gebruik van Technische Experts** De norm eist dat het auditteam _collectief_ (als geheel) over de benodigde kennis van IT-tools, methoden en de implementatie van de Annex A-maatregelen beschikt. Een goede auditor moet de onderliggende technologie begrijpen, anders is het onmogelijk om met redelijke zekerheid vast te stellen of technische maatregelen goed zijn geïmplementeerd. Echter, als jij als auditor de specifieke diepgaande kennis mist (bijvoorbeeld op het gebied van database-configuraties, softwareontwikkeling of complexe netwerken), dan mag (en moet) je een 'technical expert' (technisch expert) aan het auditteam toevoegen om die inhoudelijke beoordeling voor jou te doen.
**2. Beoordeling van de firewall (Technical Verification)** Wat betreft de firewall: **ja, er wordt absoluut verwacht dat je (of jouw ingeschakelde technisch expert) de effectiviteit van de configuratie inhoudelijk kan beoordelen**. Dit valt onder de auditprocedure _technical verification_. Mondelinge bevestiging is immers onvoldoende bewijs. Als de firewall-engineer jou vertelt dat zij specifiek netwerkverkeer aan de rand van het netwerk filteren, dan zul je de configuratie van die firewall (zoals de Access Control Lists of VPN-instellingen) moeten inzien. Je analyseert dan de regelsets om te zoeken naar mogelijke gaten, misconfiguraties of verkeer dat ten onrechte wordt doorgelaten.
**3. De harde grens: Geen "hands-on" acties door de auditor** Er is bij deze technische verificatie één keiharde regel: **een auditor mag nooit zelf 'hands-on' testen of systemen bedienen**. Zelfs als jij zelf een voormalig netwerkengineer bent en exact weet hoe de interface van een specifieke firewall werkt, mag je vanwege aansprakelijkheidsrisico's (liability risks) en onafhankelijkheid nooit zélf de muis overnemen, commando's intypen of zelfstandig kwetsbaarheidsscans (zoals Nessus) draaien op het netwerk van de klant.
De werkwijze is in plaats daarvan altijd dat je de technische beheerder (in dit geval de firewall-engineer) vraagt om in te loggen, de configuraties of rapportages op het scherm te openen en deze aan jou te _demonstreren_ of uit te leggen, terwijl jij meekijkt en het inhoudelijk beoordeelt.

BIN
marketing/content/eBook-Audit/ISO27DIY-ebook.pdf Normal file
View file

Binary file not shown.

BIN
marketing/content/eBook-Audit/assets/ISO27DIY_LOGO_rgb_transparant.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 134 KiB

BIN
marketing/content/eBook-Audit/assets/ISO27DIY_Logo_in_white_circle.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 115 KiB

57
marketing/content/eBook-Audit/build.sh Executable file
View file

@ -0,0 +1,57 @@
#!/bin/bash
# ─────────────────────────────────────────────────────────────
# ISO27DIY eBook build script
# Run from: my-vault/iso27DIY-mkII/marketing/eBook-Audit/
# cd path/to/my-vault/iso27DIY-mkII/marketing/eBook-Audit && bash build.sh
# ─────────────────────────────────────────────────────────────
set -e
# ── CONFIG ────────────────────────────────────────────────────
SOURCE="ebook-iso27001-audit.md" # Your Markdown source file
OUTPUT="ISO27DIY-ebook.pdf" # Output PDF name
TEMPLATE="iso27diy-book.tex" # LaTeX template
# ── COLORS FOR OUTPUT ─────────────────────────────────────────
RED='\033[0;31m'
GREEN='\033[0;32m'
BLUE='\033[0;34m'
NC='\033[0m' # No Color
echo -e "${BLUE}Building ISO27DIY eBook...${NC}"
echo " Source: $SOURCE"
echo " Output: $OUTPUT"
echo ""
# ── CHECK DEPENDENCIES ────────────────────────────────────────
command -v pandoc >/dev/null 2>&1 || {
echo -e "${RED}Error: pandoc not found. Run: brew install pandoc${NC}"
exit 1
}
command -v xelatex >/dev/null 2>&1 || {
echo -e "${RED}Error: xelatex not found. Run: brew install --cask mactex${NC}"
exit 1
}
# ── BUILD ─────────────────────────────────────────────────────
pandoc "$SOURCE" \
--template="$TEMPLATE" \
--pdf-engine=xelatex \
--pdf-engine-opt=-shell-escape \
--toc \
--toc-depth=2 \
--syntax-highlighting=tango \
--from=markdown+smart+footnotes+definition_lists \
-V documentclass=report \
--output="$OUTPUT"
# ── DONE ──────────────────────────────────────────────────────
if [ -f "$OUTPUT" ]; then
SIZE=$(du -sh "$OUTPUT" | cut -f1)
echo -e "${GREEN}Done! → $OUTPUT ($SIZE)${NC}"
# Open the PDF automatically
open "$OUTPUT"
else
echo -e "${RED}Build failed. Check the output above for errors.${NC}"
exit 1
fi

111
marketing/content/eBook-Audit/eBook download triggers.md Normal file
View file

@ -0,0 +1,111 @@
# Triggers
## LinkedIn post (langere variant)
**De meeste ISO 27001-audits mislukken niet op security. Ze mislukken op bewijs.**
Je hebt de controls. Je patcht. Je hebt een beleid voor toegangsbeheer. Je doet aan logging.
Maar als de auditor vraagt: _"Laat eens zien"_ — dan begint het zweten.
Ontbrekende logs. Een risk assessment dat nooit echt is bijgehouden. Een incident response plan dat niemand heeft getest. Een SOA die niet klopt met wat je daadwerkelijk doet.
Dat is het echte probleem met ISO 27001-audits: je ontdekt de gaten pas als het te laat is.
Ik heb een eBook geschreven voor iedereen die een audit in het vizier heeft en wil weten wat er écht bij komt kijken — zonder consultantentaal, zonder gladde beloftes.
**Wat je leert:**
- Wat auditors in fase 1 en fase 2 anders beoordelen
- Welke non-conformities het vaakst opduiken (en waarom)
- Hoe je bewijsvoering organiseert vóórdat je voor verrassingen staat
Gratis te downloaden. Link in de reacties.
## Kortere post (LinkedIn / andere kanalen)
**ISO 27001-audit: het zit hem niet in de controls. Het zit hem in het bewijs.**
Veel teams hebben de security op orde. Wat ze niet hebben: een sluitend audittrail. Gedocumenteerde risk assessments. Aantoonbare access reviews. Een SOA die klopt.
Pas tijdens de audit merk je wat er ontbreekt.
In mijn gratis eBook leg ik uit hoe een audit écht werkt — fase 1, fase 2, wat auditors zoeken, wat het vaakst misgaat. Zonder omwegen.
🔗 [link]
## Ultrakorte versie (X / nieuwsbrief snippet)
**Weet je wat auditors zoeken? Niet of je security werkt. Of je kunt bewijzen dat het werkt.**
Dat onderscheid kost organisaties elk jaar certificeringen.
Gratis eBook: alles wat je wilt weten over de ISO 27001-audit → [link]
## Nieuwsbrief intro (voor bestaande lijst)
Veel mensen die zich voorbereiden op een ISO 27001-audit denken dat ze er klaar voor zijn. Ze hebben beleid, tools, processen.
En dan begint de audit.
De auditor vraagt om een risk assessment. Je hebt er eentje — maar het is 14 maanden oud en nooit bijgewerkt. Hij vraagt om bewijs van een access review. Dat is gedaan, maar niemand heeft het vastgelegd. Hij vraagt naar supplier management. Stilte.
Niet omdat de organisatie slecht bezig was. Maar omdat er een verschil zit tussen _security die werkt_ en _security die aantoonbaar werkt_.
Dat verschil leg ik uit in mijn nieuwe eBook. Gratis, direct beschikbaar na inschrijving.
## Landingspagina voor download
**De ISO 27001 audit: wat je écht moet weten** _Gratis eBook — direct in je inbox_
---
Je audit komt eraan. Of je overweegt hem serieus.
Je hebt een beveiligingsbeleid. Je patcht. Je hebt toegangsbeheer geregeld. En toch zit er ergens een ongemakkelijk gevoel: _ben ik écht klaar?_
Dat gevoel klopt. De meeste organisaties die struikelen bij een ISO 27001-audit, doen dat niet omdat hun security slecht is. Ze struikelen omdat ze niet kunnen aantonen dat het werkt.
Ontbrekende records. Een risicoanalyse die niemand heeft bijgehouden. Een Statement of Applicability die niet meer klopt met de praktijk. Een incident response plan dat ooit is geschreven maar nooit getest.
Dat ontdek je normaal gesproken tijdens de audit. Dit eBook zorgt dat je het daarvoor weet.
---
**Wat je leest:**
- Hoe Stage 1 en Stage 2 van elkaar verschillen — en waarom Stage 1 al pijn kan doen
- Wat auditors zoeken als ze zeggen "laat het me zien"
- Welke non-conformiteiten het vaakst opduiken, en wat ze gemeen hebben
- Hoe je bewijsvoering organiseert vóórdat de auditor binnenkomt
- Wat een Corrective Action Plan moet bevatten — en wanneer je er een nodig hebt
- Wat het certificaat waard is, hoe lang het geldig is, en wat daarna komt
---
_Vul je e-mailadres in. Je ontvangt het eBook direct._
[ e-mailadres ]
**[ Ik wil weten wat auditors zoeken ]**
_Geen spam. Af en toe een mail als er iets de moeite waard is._
---
## Toelichting op de keuzes
**Openingszin** slaat geen alarm, maar benoemt de situatie feitelijk. Iedereen die op deze pagina landt, herkent zich daarin.
**"Dat gevoel klopt"** — bevestigt de angst zonder er in te drammen. Daarna volgt direct de verklaring: het probleem is bewijsvoering, niet security.
**De bulletlijst** is functioneel, geen marketingproza. Elk punt benoemt iets concreets uit het eBook — geen vage beloftes.
**CTA-knoptekst: "Ik wil weten wat auditors zoeken"** — eerste persoon, actief, sluit aan op de kernangst. Alternatieven als je wilt testen:
|Variant|Wanneer|
|---|---|
|Ik wil weten wat auditors zoeken|Voorkeur — sluit aan op de angst|
|Stuur me het eBook|Functioneel, geen wrijving|
|Ik ben klaar voor de audit|Aspirationeel, licht eigenzinnig|

78
marketing/content/eBook-Audit/ebook-design-reference.html Normal file
View file

@ -0,0 +1,78 @@
<style>
.wrap { display: flex; flex-direction: column; gap: 24px; padding: 1rem 0; }
.label { font-size: 11px; font-weight: 500; color: var(--color-text-secondary); text-transform: uppercase; letter-spacing: 0.08em; margin-bottom: 8px; }
.spread { display: grid; grid-template-columns: 1fr 1fr; gap: 16px; }
.page { border: 0.5px solid var(--color-border-secondary); border-radius: 4px; overflow: hidden; }
</style>
<div class="wrap">
<div>
<div class="label">Cover — dark navy with red + blue brand</div>
<div class="spread">
<div class="page">
<svg viewBox="0 0 280 360" xmlns="http://www.w3.org/2000/svg">
<rect width="280" height="360" fill="#1a2535"/>
<rect x="0" y="0" width="5" height="360" fill="#b31c1c"/>
<image href="/mnt/user-data/uploads/ISO27DIY_LOGO_rgb_white.jpg" x="20" y="22" width="52" height="52"/>
<text x="24" y="136" font-family="system-ui,sans-serif" font-size="30" fill="white" font-weight="700">ISO 27001</text>
<text x="24" y="166" font-family="system-ui,sans-serif" font-size="30" fill="white" font-weight="700">Certification</text>
<text x="24" y="196" font-family="system-ui,sans-serif" font-size="30" fill="white" font-weight="700">Guide</text>
<rect x="24" y="210" width="56" height="3" fill="#2d8fd4"/>
<text x="24" y="234" font-family="system-ui,sans-serif" font-size="11" fill="#8ba0b8">A practical roadmap for small</text>
<text x="24" y="250" font-family="system-ui,sans-serif" font-size="11" fill="#8ba0b8">and mid-sized companies</text>
<text x="24" y="338" font-family="system-ui,sans-serif" font-size="9" fill="#4a6070">iso27diy.com</text>
</svg>
</div>
<div class="page">
<svg viewBox="0 0 280 360" xmlns="http://www.w3.org/2000/svg">
<rect width="280" height="360" fill="#ffffff"/>
<rect x="0" y="0" width="280" height="36" fill="#1a2535"/>
<text x="16" y="22" font-family="system-ui,sans-serif" font-size="8.5" fill="#8ba0b8">ISO 27001 Certification Guide</text>
<text x="264" y="22" font-family="system-ui,sans-serif" font-size="8.5" fill="#2d8fd4" text-anchor="end">12</text>
<text x="20" y="66" font-family="system-ui,sans-serif" font-size="8" fill="#b31c1c" letter-spacing="1.8" font-weight="700">STEP 3</text>
<text x="16" y="90" font-family="system-ui,sans-serif" font-size="22" fill="#1a2535" font-weight="700">Assign</text>
<text x="16" y="114" font-family="system-ui,sans-serif" font-size="22" fill="#1a2535" font-weight="700">Responsibilities</text>
<rect x="16" y="122" width="248" height="0.5" fill="#dde3ea"/>
<rect x="16" y="138" width="3" height="66" fill="#2d8fd4"/>
<rect x="16" y="138" width="248" height="66" fill="#eef4fb"/>
<text x="26" y="155" font-family="system-ui,sans-serif" font-size="8.5" fill="#185fa5" font-weight="700">Auditor will ask</text>
<text x="26" y="169" font-family="system-ui,sans-serif" font-size="8.5" fill="#1a2535">Document who is responsible for</text>
<text x="26" y="182" font-family="system-ui,sans-serif" font-size="8.5" fill="#1a2535">what. Capture this in a RASCI matrix</text>
<text x="26" y="195" font-family="system-ui,sans-serif" font-size="8.5" fill="#1a2535">before the audit.</text>
<text x="16" y="222" font-family="system-ui,sans-serif" font-size="8.5" fill="#333">A functioning ISMS requires clarity about</text>
<text x="16" y="236" font-family="system-ui,sans-serif" font-size="8.5" fill="#333">who is responsible for what, and who</text>
<text x="16" y="250" font-family="system-ui,sans-serif" font-size="8.5" fill="#333">makes which decisions. ISO 27001 names</text>
<text x="16" y="264" font-family="system-ui,sans-serif" font-size="8.5" fill="#333">three roles explicitly.</text>
<rect x="16" y="278" width="248" height="0.5" fill="#dde3ea"/>
<rect x="16" y="288" width="4" height="4" rx="1" fill="#b31c1c"/>
<text x="26" y="294" font-family="system-ui,sans-serif" font-size="8.5" fill="#1a2535" font-weight="600">Top management</text>
<text x="26" y="306" font-family="system-ui,sans-serif" font-size="8.5" fill="#555">Responsible for policy. Liability cannot be delegated.</text>
<rect x="16" y="316" width="4" height="4" rx="1" fill="#b31c1c"/>
<text x="26" y="322" font-family="system-ui,sans-serif" font-size="8.5" fill="#1a2535" font-weight="600">Risk owners</text>
<text x="26" y="334" font-family="system-ui,sans-serif" font-size="8.5" fill="#555">Business managers whose objectives are at stake.</text>
<text x="140" y="352" font-family="system-ui,sans-serif" font-size="9" fill="#2d8fd4" text-anchor="middle">· · ·</text>
</svg>
</div>
</div>
</div>
<div>
<div class="label">Chapter opener page</div>
<div style="max-width: 50%; padding-right: 8px;">
<div class="page">
<svg viewBox="0 0 280 360" xmlns="http://www.w3.org/2000/svg">
<rect width="280" height="360" fill="#1a2535"/>
<text x="24" y="80" font-family="system-ui,sans-serif" font-size="9" fill="#2d8fd4" letter-spacing="2" font-weight="600">CHAPTER 2</text>
<text x="24" y="120" font-family="system-ui,sans-serif" font-size="26" fill="white" font-weight="700">Risk</text>
<text x="24" y="150" font-family="system-ui,sans-serif" font-size="26" fill="white" font-weight="700">Management</text>
<rect x="24" y="166" width="44" height="3" fill="#b31c1c"/>
<text x="24" y="194" font-family="system-ui,sans-serif" font-size="10" fill="#8ba0b8">Understanding your exposure</text>
<text x="24" y="210" font-family="system-ui,sans-serif" font-size="10" fill="#8ba0b8">before you build controls.</text>
<text x="24" y="344" font-family="system-ui,sans-serif" font-size="8" fill="#4a6070">iso27diy.com</text>
</svg>
</div>
</div>
</div>
</div>

1
marketing/content/eBook-Audit/ebook-design-reference2.html Normal file
View file

@ -0,0 +1 @@
ebook-design-reference.html

302
marketing/content/eBook-Audit/ebook-iso27001-audit.md Normal file
View file

@ -0,0 +1,302 @@
---
title: "De ISO 27001 audit"
covertitle: "De ISO 27001 audit"
subtitle: "Wat je écht moet weten Een praktische gids"
author: "Thinking Security Works"
year: "Copyright 2026"
logo: "assets/ISO27DIY_Logo_in_white_circle.png"
toc: true
index: false
documentclass: book
fontsize: 11pt
papersize: a4
lang: nl-NL
pdf-engine: xelatex
template: iso27diy-book.tex
---
```{=latex}
\begin{callout}{Voor wie is dit eBook?}
Dit eBook is geschreven voor iedereen die een ISO 27001-certificering overweegt en wil begrijpen hoe het er in een audit écht aan toe gaat. Je leest waar auditors naar op zoek zijn, wat er vaak misgaat, en waarom de 93 maatregelen minder belangrijk zijn dan je denkt.
\end{callout}
\clearpage
```
## Waarom een ISO 27001-certificering?
ISO 27001 is de internationale standaard voor informatiebeveiliging. Een ISO 27001 certificaat bewijst dat je de beveiliging van informatie structureel managed via een Information Security Management System (ISMS). Dat betekent dat je processen hebt geïmplementeerd waarmee je continu de risico's bewaakt en passende maatregelen treft.
Organisaties kiezen voor ISO 27001 om verschillende redenen. Meestal één van de onderstaande, vaak een combinatie ervan:
**Inkoopvoorwaarden van klanten.** Met name grote klanten stellen ISO 27001 als harde voorwaarde. Aanvankelijk vooral in de publieke sector, financiële dienstverlening en zorg (NEN 7510), maar als gevolg van ketenverantwoordelijkheid in wet- en regelgeving wordt het steeds meer een 'license to sell'.
**Aanbestedingen.** In Europa is ISO 27001 (of gelijkwaardige aantoonbare informatiebeveiliging) een standaardeis in overheidstenders.
**Wet- en regelgeving**. Kaders als de NIS-2, de Cyberbeveiligingswet (Cbw), de Cyber Resilience Act (CRA), DORA en GDPR hebben een grootste gemene deler: robuuste informatiebeveiliging op basis van risicomanagement en een 'all risk approach'. Dit is precies wat je met een ISO 27001 certificering kunt aantonen.
**Vertrouwen richting klanten en partners.** Het certificaat zegt: wij houden ons verantwoordelijk voor de beveiliging van uw informatie, wij nemen dat serieus, en we laten dat onafhankelijk toetsen dat is een sterker signaal dan de belofte je best te doen.
**Operationele volwassenheid.** Het certificeringstraject dwingt je om je eigen huis op orde te brengen: risico's te benoemen, verantwoordelijkheden vast te leggen, en processen herhaalbaar te maken. Je groeit als organisatie van incidentgedreven naar voortdurend verbeterend. Daarnaast zul je onbekende gaten in je beveiligingsproces ontdekken.
Organisaties die de certificering aanvaren als het afvinken van maatregelen en het produceren van overbodige documentatie missen de kern en merken dat tijdens de audit ze komen meestal niet verder dan Fase I.
## Ben ik klaar voor de audit?
Dit is de vraag die begrijpelijker wijs de meeste stress oplevert. We kunnen deze vraag niet beantwoorden met een checklist.
Een organisatie is klaar voor de externe audit als ze het ISMS heeft ingericht, èn getoetst op effectieve werking. Meer concreet betekent het dat de volgende stappen moeten zijn afgerond voordat de auditor langskomt.
### Wat minimaal op orde moet zijn
**Het ISMS is operationeel.** De fundamentele processen uit de norm — hoofdstuk 4 tot en met 10 — draaien aantoonbaar. De scope is afgebakend, het informatiebeveiligingsbeleid is ondertekend, en er is een risicoanalyse uitgevoerd die is vertaald naar een risicobehandelplan.
**Er is een interne audit uitgevoerd.** Voordat de externe auditor komt, vereist de norm dat je het systeem zelf hebt geëvalueerd. Minimaal één interne audit, met een auditrapport als uitkomst. Eventuele afwijkingen zijn gedocumenteerd en worden opgevolgd.
**De directiebeoordeling heeft plaatsgevonden.** Na de interne audit beoordeelt het topmanagement formeel de prestaties en effectiviteit van het ISMS. Dit is geen formaliteit maar het bewijs dat de directie betrokken is.
**De verplichte documentatie is beschikbaar.** Denk aan de Verklaring van Toepasselijkheid (de Statement of Applicability of SoA), procedures, en de registraties van de interne audit en directiebeoordeling. Ze moeten bestaan, vindbaar zijn, en beheerd worden.
Kort samengevat: als je het ISMS hebt ingericht én je de Plan-Do-Check-Act cyclus minimaal één keer zelf hebt doorlopen, ben je klaar om een certificeringsinstantie te benaderen.
### Moet alles perfect zijn?
Nee. Een auditor verwacht niet dat elke maatregel op dag één 100% is doorgevoerd. Zolang het managementfundament draait, accepteert de norm dat je met een risicobehandelplan werkt. Als een maatregel later wordt geïmplementeerd en de directie het restrisico (voorlopig) formeel accepteert, is dat toegestaan.
Wees hier wel transparant over: claim niet dat iets is geïmplementeerd terwijl dat in feite nog (deels) moet gebeuren. Een goede auditor prikt hier snel doorheen en het geeft een slechte indruk voor de betrouwbaarheid van het ISMS.
## Hoe lang duurt een audit — en wat kost het?
Twee vragen die altijd samen worden gesteld, en waarop het antwoord altijd hetzelfde begint: *het hangt ervan af.* Maar we kunnen wel bandbreedtes geven.
### Het aantal dagen is genormeerd
Het aantal auditdagen is niet iets wat een certificeringsinstantie zelf mag verzinnen. Het is gereguleerd door de ISO 27006-norm, op basis van de grootte van de organisatie. Offertes van verschillende instanties zullen daarom vaak op een vergelijkbaar aantal dagen uitkomen.
Ruwe richtlijnen:
| Organisatiegrootte | Totaal auditdagen (basis) |
| --- | --- |
| 110 medewerkers | 5 dagen |
| 1115 medewerkers | 6 dagen |
| 176275 medewerkers | 14 dagen |
Een deel van die dagen zal de auditor bij jou op kantoor of in de fabriek aanwezig zijn.
Voor de minimale audit van 5 dagen ziet de tijdsverdeling er doorgaans zo uit:
- ½ dag: planning en voorbereiding
- 1 dag: Fase 1 (documentatie-audit)
- 3 dagen: Fase 2 (implementatie-audit)
- ½ dag: opstellen auditrapport
De basislijn kan omhoog worden bijgesteld — door complexe IT-omgevingen, meerdere locaties, sterk gereguleerde sectoren of veel uitbestede diensten.
### Kosten van de audit
Voor de auditfee alleen kun je grofweg rekenen op:
- Kleine organisaties (tot ~10 FTE): €5.000€10.000
- Middelgrote organisaties: €10.000€20.000
- Dagtarieven bij certificeringsinstanties liggen doorgaans tussen de €1.200 en €1.800
De totale kosten kunnen om verschillende redenen hoger zijn, bijv. door verschillen in dagtarieven, doorberekening van reis- en verblijfkosten, en inschatting van complexiteit.
Dit is dus exclusief de implementatiekosten: interne uren, tooling en consultancy. Met name die laatste twee kunnen de kosten behoorlijk opjagen.
### Jaarlijkse kosten
Het ISO 27001 certificaat is drie jaar geldig, maar de auditor komt jaarlijks terug voor een surveillance audit (ook wel controle-audit of onderhoudsaudit. Deze is kleiner dan de initiële audit — reken op ongeveer 3050% van de initiële auditkosten, of €2.000€5.000 per jaar voor kleinere organisaties. In het derde jaar volgt een hercertificeringsaudit.
## Waar vraag je een audit aan?
Een ISO 27001-certificeringsaudit vraag je aan bij een zogenaamde *certification body* — niet bij een consultant, en niet bij een interne auditor. Consultants kunnen je ondersteunen bij de voorbereiding, maar zij mogen geen officiële certificering afgeven.
De certification body is een instantie die geaccrediteerd is voor ISO 27001 door de Raad voor Accreditatie (RvA). In Nederland zijn dat onder andere partijen als Kiwa, DNV, BSI en DigiTrust. Controleer altijd of de accreditatie actueel is in het register van de [Raad voor Accreditatie](https://www.rva.nl). Niet-geaccrediteerde instellingen kunnen geen geldig ISO 27001 certificaat afgeven.
Kies een partij met ervaring in jouw type organisatie. Een auditor die gewend is aan grote industriële bedrijven of ziekenhuizen kijkt anders naar het ISMS, dan iemand die regelmatig kleinere dienstverleners of SaaS-aanbieders auditeert. Dat maakt het verschil tussen een audit die daadwerkelijk waarde toevoegt en een audit die voelt als een bureacratische verplichting.
## Hoe verloopt de audit?
De initiële certificeringsaudit bestaat altijd uit twee fasen — dat wordt voorgeschreven door de norm. Deze tweedeling in de audit weerspiegelt de tweedeling in de ISO 27001 zelf: een fundament van processen (clausules 4 tot en met 10) en een bijlage met 93 mogelijk toepasbare beveiligingsmaatregelen (de Annex A controls).
### Fase 1: de documentatie-audit
In Fase 1 kijkt de auditor naar het ontwerp van het managementsysteem. Begrijpt de organisatie de standaard? Hoe ziet het beveiligingsbeleid eruit? Is de scope duidelijk gesteld? Is er een risicoanalyse uitgevoerd? Is er een Statement of Applicability opgesteld? Zijn de interne audit en de directiebeoordeling afgerond? Zijn er plannen voor verbetering? Is dit consistent gedocumenteerd?
Fase 1 neemt meestal zo'n 30% van de totale audittijd in beslag. Het belang van deze fase wordt vaak onderschat, vooral door organisaties die de focus leggen op een checklist met maatregelen. Als de basis van het ISMS onvoldoende op orde is, kan de auditor besluiten dat het op dit moment geen zin heeft om naar Fase 2 te gaan.
De uitkomst van Fase 1 is een rapport met eventuele aandachtspunten. Sommige daarvan moeten zijn opgelost voordat Fase 2 begint. Daarvan zal de auditor bewijs willen zien. Vaak gebeurt dat door het overleggen van gecorrigeerde documentatie of in een externe bespreking (bijv. een Teams-call).
### De tussenpauze
Tussen Fase 1 en Fase 2 zitten doorgaans twee tot vier weken, met een maximum van twaalf. In die tijd kunnen de aandachtspunten uit het Fase 1 rapport worden aangepakt.
### Fase 2: de implementatie-audit
In Fase 2 gaat de auditor de organisatie in — op locatie of remote. Hij wil bewijs zien voor de daadwerkelijke implementatie en effectiviteit van de beveiligingsmaatregelen. Dat gebeurt o.a. door het bekijken van systemen, log- en configuratiebestanden, het interviewen van medewerkers, en een doorloop van het pand voor de fysieke beveiligingsmaatregelen.
Let op dat de audit al informeel begint als de auditor het terrein opkomt en het pand binnengaat: als hij zonder ooit bevraagd of gecontroleerd te worden een afdeling op kan lopen, zal hij willen weten of dat is voorzien in de risicoanalyse.
Aan het einde van Fase 2 — vaak tijdens de **closing meeting** — bespreekt de auditor zijn conclusies met het management.
### Opening en Closing meetings
Aan het begin van zowel Fase 1 als Fase 2 houdt de auditor een **opening meeting** met het management en de relevante betrokkenen. Het doel is de scope en aanpak van de audit bevestigen, de agenda doornemen, en praktische afspraken maken over toegang, begeleiding en communicatie. Dit is voor de organisatie ook het moment om vragen te stellen over het verloop.
Aan het einde van Fase 2 presenteert de auditor zijn bevindingen in de **closing meeting** — opnieuw met het management erbij. Alle non-conformiteiten en observaties worden mondeling toegelicht voordat ze in het rapport verschijnen. Dit is het moment waarop de organisatie kan reageren, verduidelijken, of — als ze het er niet mee eens zijn — bezwaar aantekenen.
De closing meeting is een samenvatting van de audit en zal geen verrassingen bevatten. Een goede auditor communiceert zijn bevindingen doorlopend tijdens de audit.
## Wat verwacht de auditor?
Niet weten wat de auditor gaat vragen, is waar voor organisaties de meeste zorgen zitten. Alle clausules uit hoofdstuk 4 tot en met 10 — de fundamentele processen — moeten geïmplementeerd zijn, dus daar wordt je op bevraagd. Van de maatregelen die je via het SoA van toepassing hebt verklaard, zal hij de implementatie en de effectiviteit willen vaststellen, en van de maatregelen die je niet van toepassing hebt verklaard, wil hij weten wat daarvoor de reden is.
In de meeste audits die ik heb begeleid, loopt de auditor de onderdelen af in de volgorde waarin ze in de norm zijn beschreven. Sommige auditors doen het aan de hand van enkele belangrijke bedrijfsprocessen. Iedere auditor heeft zijn eigen stijl en stokpaardjes. Sommigen leunen zwaarder op formele documentatie dan anderen daarin spelen ook de voorkeuren van de certificerende instantie waarvoor ze werken mee. Ik heb vanuit de klant audits begeleid, waarbij ik vooraf aanraadde de documentatie meer uit te breiden, en de auditor vervolgens aangaf dat het 'best wat minder had gemogen'. En andersom ook. Gelukkig ken ik weinig voorbeelden waarin de auditor zich onredelijk opstelt, zolang de basisprocessen op orde zijn en de organisatie oprecht streeft naar voortdurende verbetering. Een goede auditor heeft hier een neus voor.
### Hoe auditors vragen stellen
Auditors geven de voorkeur aan open vragen en stellen zelden ja/nee-vragen. Zo krijgen ze meer informatie en is het risico op het geven van wenselijke antwoorden kleiner. Ze zullen de beweringen niet als feit aannemen, maar willen weten waaróm je iets zegt en op zoek gaan naar objectief bewijs om de bewering te ondersteunen of, bij redelijke twijfel, eventueel te weerleggen.
Je kunt bijvoorbeeld een reeks vragen verwachten als de volgende:
- Kun je me uitleggen hoe jullie omgaan met back-ups?
- Is dat ergens opgeschreven?
- Geldt het alleen voor dit systeem, of voor alle systemen?
- Hoe is de keuze gemaakt om het op die manier te doen?
- Welke specifieke risico's worden hiermee afgedekt?
- Kun je laten zien dat die back-ups ook volgens die procedure zijn uitgevoerd?
- Hoe gaan jullie om met uitzonderingen en foutmeldingen?
- Doen jullie regelmatig een restore test?
- Zijn daar verslagen van?
De auditor wil weten of wat er gezegd wordt ook klopt met wat er werkelijk gebeurd.
### Vier lagen documentatie
Een auditor kijkt naar documentatie op vier niveaus:
**Niveau 1 — Strategisch.** Documenten ondertekend door het management: het ISMS-beleid, de scope, de SoA. Dit is het bewijs dat de top van de organisatie betrokken is en verantwoordelijkheid neemt.
**Niveau 2 — Risicobeheersing.** Het formele proces: hoe voer je risicoanalyses uit, hoe behandel je risico's, hoe documenteer je risicoacceptatie?
**Niveau 3 — Procedures.** Hoe worden specifieke maatregelen uitgevoerd? Wachtwoordbeheer, patch-management, toegangsreviews — niet als abstracte beschrijving, maar als werkende procedure.
**Niveau 4 — Records.** De harde bewijsvoering: systeemlogs, incident-tickets, verslagen van vergaderingen, resultaten van access reviews. Records bewijzen dat het proces daadwerkelijk is gevolgd — niet dat het bestaat, maar dat het werkt.
Niveau 4 is waar de meeste organisaties tekortko­men. Ze hebben het beleid. Ze hebben de procedure. Maar de registratie — het bewijs dat de procedure werd gevolgd — ontbreekt of is inconsistent.
In de praktijk zien we vaak de volgende non-conformities (punten waarop niet aan de eis wordt voldaan):
- Onvolledige of verouderde risicoanalyses
- Access reviews die wel zijn uitgevoerd, maar niet zijn vastgelegd
- Incident response plannen die nooit zijn getest
- Patch-management zonder vaste procedures of rapportage
- Niet uitgevoerde en ongedocumenteerde leveranciersbeoordelingen
- Een SoA die niet klopt met de daadwerkelijke implementatie
Het gaat dus vaak niet om het ontbreken van maatregelen an sich, maar aan het ontbreken van structuur, herhaalbaarheid, documentatie en goede risicoanalyses.
## Wat is het resultaat van de audit?
Als een auditor vaststelt dat niet aan een eis van de norm wordt voldaan, resulteert dat in een auditbevinding. Er zijn drie classificaties.
**Observatie / afwijking.** Een punt voor verbetering of een kleine incidentele afwijking. Het managementsysteem als geheel loopt geen gevaar.
**Minor non-conformiteit.** Een gedeeltelijk falen van een eis. Het werpt twijfels op, maar bedreigt het ISMS niet in zijn kern. Met een goed actieplan is dit oplosbaar zonder dat de certificering in gevaar komt.
Voorbeelden van minor non-conformities zijn:
- een wel uitgevoerde, maar niet gedocumenteerde access review
- een controle die volgens de procedure halfjaarlijks plaats moet vinden, maar die al zeven maanden niet is uitgevoerd
- het ontbreken van een verwerkersovereenkomst met een leverancier.
**Major non-conformiteit.** Een volledig falen van een eis, of een onacceptabel risico.
Voorbeelden van major non-conformities zijn:
- een geïdentificeerd risico dat niet geaccepteerd is, en waarvoor geen behandelplan bestaat
- het ontbreken van controls die essentieel zijn voor het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen jouw specifieke scope (denk aan toegangscontrole op systemen of het ontbreken van een incident response procedure)
- interne audits zijn niet uitgevoerd (de PDCA cyclus is onvolledig)
- de directiebeoordeling heeft niet plaatsgevonden (de directie is onvoldoende betrokken)
- belangrijke bedrijfsactiviteiten zijn buiten de scope van de audit verklaard wat gecertificeerd wordt is niet representatief voor de daadwerkelijke bedrijfsvoering.
Bij een major non-conformiteit wordt de certificering direct stilgelegd. Als de non-conformiteit niet afdoende gecorrigeerd wordt, kan het certificaat niet worden afgegeven.
### Het Corrective Action Plan
Als er non-conformiteiten zijn vastgesteld, moet je een Corrective Action Plan (CAP) indienen. Doorgaans krijg je daar 10 tot 60 dagen de tijd voor.
Een goed CAP bevat per non-conformiteit:
1. **Root cause analyse** — waarom is dit misgegaan?
2. **Correctie** — hoe is de directe tekortkoming tijdelijk opgelost?
3. **Correctieve actie** — hoe zorgen we dat dit structureel niet meer kan gebeuren?
4. **Tijdlijn** — wanneer is dit volledig afgerond?
Wordt het CAP niet geleverd, dan zal de auditor geen positieve certificeringsaanbeveling doen.
### Als je het niet eens bent met de auditor
Meningsverschillen kun je uitpraten tijdens de audit of in de afsluitende bijeenkomst. Kom je er niet uit, dan heb je het recht om bevindingen niet te accepteren en een formeel beroepsproces op te starten bij de certificeringsinstantie. Dat is een serieuze stap, maar het recht daarop is er.
## Uitslag en certificering
### De aanbeveling
Aan het einde van Fase 2 — vaak tijdens de closing meeting — bespreekt de auditor zijn conclusies met het management. Er zijn vier mogelijke uitkomsten:
1. **Aanbeveling voor certificering.** Alles is in orde.
2. **Voorwaardelijke aanbeveling zonder extra bezoek.** Je krijgt het certificaat mits je op afstand een goedgekeurd actieplan voor je minor non-conformiteiten aanlevert.
3. **Voorwaardelijke aanbeveling met extra bezoek.** Een follow-up audit op locatie is nodig om herstelwerkzaamheden fysiek te bewijzen — dit speelt vaak bij een major.
4. **Onvoldoende.** De audit is niet behaald.
### Wie beslist
Het rapport en de aanbeveling van de auditor worden door de certificerende instantie beoordeeld op kwaliteit. Pas als zij vaststellen dat de audit correct is uitgevoerd en zij akkoord gaan met de aanbeveling van de auditor, neemt de certificatie-instelling de officiële certificeringsbeslissing. Zij zijn degenen die uiteindelijk het ISO 27001-certificaat aan jouw organisatie verstrekt.
Als er correctieplannen nodig waren, ontvang je het certificaat nadat die plannen zijn ingediend én goedgekeurd.
### Geldigheid
Het certificaat is drie jaar geldig. Maar achterover leunen is er niet bij. Jaarlijks komt de auditor terug voor een surveillance audit — een kleinere toets of het managementsysteem nog effectief wordt onderhouden. In het derde jaar volgt de hercertificeringsaudit.
ISO 27001 is geen eenmalige exercitie. Het is een cyclus. Wie het managementsysteem na de certificering laat versloffen, betaalt daar bij de eerste surveillance audit de prijs voor.
## Hoe verder?
Een ISO 27001-certificering halen begint niet bij de audit. Het begint bij het bouwen van een managementsysteem dat stevig genoeg is om de audit te doorstaan, en het implementeren van de maatregelen die passen bij jouw organisatie. Dat is waarvoor we **ISO27DIY** hebben gebouwd. Een praktische methode waarmee je — stap voor stap, in een logische volgorde — een audit-waardig ISMS inricht, maatregelen kiest, implementeert en documenteert. Ondersteund door simpele tooling en deskundige mensen. Met alles wat je nodig hebt om je succesvol op de audit voor te bereiden.
```{=latex}
\begin{callout}{Meer weten?}
Ga naar https://iso27diy.com en bekijk hoe je kunt starten.
\end{callout}
```
```{=latex}
\vfill
{\small\color{mutedColor}© ISO27DIY — Delen van dit eBook wordt aangemoedigd, ongewijzigd en met bronvermelding!}
```

465
marketing/content/eBook-Audit/iso27diy-book.tex Normal file
View file

@ -0,0 +1,465 @@
%% ISO27DIY eBook Template
%% For use with Pandoc + XeLaTeX
%% Usage: pandoc --template=iso27diy.tex --pdf-engine=xelatex
\documentclass[11pt, a4paper, oneside]{book}
%% ─── PACKAGES ────────────────────────────────────────────────────────────────
\usepackage{fontspec}
\usepackage{geometry}
\usepackage{xcolor}
\usepackage{titlesec}
\usepackage{titletoc}
\usepackage{fancyhdr}
\usepackage{fancyvrb}
\usepackage{graphicx}
\usepackage{tikz}
\usepackage{mdframed}
\usepackage{enumitem}
\usepackage{booktabs}
\usepackage{longtable}
\usepackage{array}
\usepackage{calc}
\usepackage{colortbl}
\usepackage{hyperref}
%% FIX: LaTeX Error: No counter 'none' defined (Pandoc 3.1.8+ bug)
\newcounter{none}
\usepackage{footnote}
\usepackage{imakeidx}
\usepackage{microtype}
\usepackage{parskip}
\usepackage{etoolbox}
\usepackage{caption}
\usepackage{eso-pic}
%% ─── PANDOC COMPATIBILITY ────────────────────────────────────────────────────
\providecommand{\tightlist}{%
\setlength{\itemsep}{4pt}\setlength{\parskip}{0pt}}
$if(highlighting-macros)$
$highlighting-macros$
$endif$
%% ─── COLORS ──────────────────────────────────────────────────────────────────
\definecolor{coverBg}{HTML}{ffffff}
\definecolor{navyBg}{HTML}{1a2535}
\definecolor{brandRed}{HTML}{b31c1c}
\definecolor{brandBlue}{HTML}{2d8fd4}
\definecolor{bodyColor}{HTML}{444444}
\definecolor{mutedColor}{HTML}{888888}
\definecolor{ruleColor}{HTML}{dde3ea}
\definecolor{calloutBg}{HTML}{eef4fb}
\definecolor{calloutText}{HTML}{185fa5}
\definecolor{dotColor}{HTML}{dde3ea}
\definecolor{headerBg}{HTML}{f4f4f4}
\definecolor{headerRule}{HTML}{dddddd}
%% Semantic aliases
\colorlet{headingColor}{navyBg}
\colorlet{calloutBorder}{brandBlue}
\colorlet{stepLabelColor}{brandRed}
\colorlet{pageNumColor}{brandBlue}
%% ─── PAGE GEOMETRY ───────────────────────────────────────────────────────────
\geometry{
a4paper,
top=25mm,
bottom=25mm,
inner=28mm,
outer=22mm,
headsep=8mm,
footskip=12mm
}
%% ─── FONTS ───────────────────────────────────────────────────────────────────
\setmainfont{Inter}[
UprightFont = *-Regular,
BoldFont = *-Bold,
ItalicFont = *-Italic,
BoldItalicFont = *-BoldItalic
]
\setsansfont{Inter}[
UprightFont = *-Regular,
BoldFont = *-Bold,
ItalicFont = *-Italic,
BoldItalicFont = *-BoldItalic
]
\setmonofont{Courier New}
%% ─── TEXT COLOR ──────────────────────────────────────────────────────────────
\color{bodyColor}
%% ─── HYPERREF ────────────────────────────────────────────────────────────────
\hypersetup{
colorlinks=true,
linkcolor=brandBlue,
urlcolor=brandBlue,
citecolor=brandBlue,
pdfauthor={$author$},
pdftitle={$title$},
pdfsubject={$subtitle$},
hidelinks
}
%% ─── INDEX ───────────────────────────────────────────────────────────────────
\makeindex[title=Index of Terms, intoc]
%% ─── HEADINGS ────────────────────────────────────────────────────────────────
%% Section numbers as plain arabic (book class default would give "0.1")
\renewcommand{\thesection}{\arabic{section}}
%% H1 — number shown as "1. Title"
\titleformat{\section}
{\color{headingColor}\fontsize{18}{22}\selectfont\bfseries}
{\thesection.}
{0.5em}
{}
[\vspace{4pt}{\color{brandBlue}\rule{44pt}{3pt}}\vspace{6pt}]
%% Show "VOLGENDE VRAAG: <title>" at the bottom of the previous page before
%% breaking to the new section. Skipped for the very first section.
\let\isosection\section
\RenewDocumentCommand{\section}{o m}{%
\ifnum\value{section}>0
\par\vspace{12pt}%
{\color{stepLabelColor}\fontsize{8}{10}\selectfont\bfseries
VOLGENDE VRAAG: #2}%
\par\vspace{4pt}%
\fi
\clearpage
\IfValueTF{#1}{\isosection[#1]{#2}}{\isosection{#2}}%
}
%% H2
\titleformat{\subsection}
{\color{headingColor}\fontsize{14}{18}\selectfont\bfseries}
{}
{0em}
{}
%% H3
\titleformat{\subsubsection}
{\color{headingColor}\fontsize{12}{16}\selectfont\bfseries}
{}
{0em}
{}
\titlespacing{\section}{0pt}{24pt}{8pt}
\titlespacing{\subsection}{0pt}{18pt}{6pt}
\titlespacing{\subsubsection}{0pt}{14pt}{4pt}
%% ─── CHAPTER STYLE ───────────────────────────────────────────────────────────
%% Dot pattern full-page, white fade at bottom, red left bar
\newif\ifchapterbg
\chapterbgtrue
\renewcommand{\contentsname}{Inhoud}
\titleformat{\chapter}[display]
{\normalfont}
{}
{0pt}
{%
\ifchapterbg
%% White base
\AddToShipoutPictureBG*{%
\AtPageLowerLeft{%
\color{white}\rule{\paperwidth}{\paperheight}%
}%
}%
%% Dot pattern
\AddToShipoutPictureBG*{%
\begin{tikzpicture}[remember picture, overlay]
\foreach \x in {0,0.42,...,21} {
\foreach \y in {0,0.42,...,29.7} {
\fill[dotColor] (\x cm, \y cm) circle (0.7pt);
}
}
\end{tikzpicture}%
}%
%% White fade at bottom (covers lower ~35% of page)
\AddToShipoutPictureBG*{%
\AtPageLowerLeft{%
\color{white}\rule{\paperwidth}{104mm}%
}%
}%
%% Red left bar
\AddToShipoutPictureBG*{%
\AtPageLowerLeft{%
\color{brandRed}\rule{8pt}{\paperheight}%
}%
}%
\fi
\vspace*{60mm}%
\begin{minipage}[t]{0.85\textwidth}
\color{brandBlue}\fontsize{9}{11}\selectfont\bfseries
\MakeUppercase{Hoofdstuk \thechapter}\\[8pt]
\color{navyBg}\fontsize{28}{34}\selectfont\bfseries
}
[%
\end{minipage}%
\vspace{8mm}%
{\color{brandRed}\rule{44pt}{3pt}}%
]
\titlespacing{\chapter}{8pt}{0pt}{40pt}
%% Unnumbered chapter style (TOC, index) — plain dark text on white
\titleformat{name=\chapter,numberless}[display]
{\normalfont}
{}
{0pt}
{%
\vspace*{20mm}%
\color{headingColor}\fontsize{28}{34}\selectfont\bfseries
}
[%
\vspace{4mm}%
{\color{brandRed}\rule{44pt}{3pt}}%
]
\titlespacing{name=\chapter,numberless}{0pt}{0pt}{20pt}
%% ─── STEP LABEL ──────────────────────────────────────────────────────────────
\newcommand{\steplabel}[1]{%
\vspace{6pt}%
{\color{stepLabelColor}\fontsize{8}{10}\selectfont\bfseries\MakeUppercase{#1}}%
\vspace{4pt}%
}
%% ─── CALLOUT BOX ─────────────────────────────────────────────────────────────
%% Usage: \begin{callout}{Title} ... \end{callout}
\newmdenv[
topline=false,
bottomline=false,
rightline=false,
leftline=true,
linewidth=3pt,
linecolor=calloutBorder,
backgroundcolor=calloutBg,
innerleftmargin=12pt,
innerrightmargin=12pt,
innertopmargin=10pt,
innerbottommargin=10pt,
skipabove=12pt,
skipbelow=12pt
]{calloutbox}
\newenvironment{callout}[1]{%
\begin{calloutbox}%
{\color{calloutText}\fontsize{8.5}{11}\selectfont\bfseries #1}\\[4pt]%
}{%
\end{calloutbox}%
}
%% ─── LISTS ───────────────────────────────────────────────────────────────────
\setlist[itemize,1]{
leftmargin=16pt,
itemsep=4pt,
parsep=0pt,
label={\color{brandRed}\rule{4pt}{4pt}}
}
\setlist[itemize,2]{
leftmargin=14pt,
itemsep=2pt,
label={\color{ruleColor}\rule{3pt}{3pt}}
}
\setlist[enumerate,1]{
leftmargin=18pt,
itemsep=4pt,
parsep=0pt,
label={\color{brandRed}\bfseries\arabic*.}
}
\setlist[enumerate,2]{
leftmargin=16pt,
itemsep=2pt,
label={\color{brandRed}\bfseries\alph*.}
}
%% ─── TABLES ──────────────────────────────────────────────────────────────────
\setlength{\arrayrulewidth}{0.5pt}
\arrayrulecolor{ruleColor}
\renewcommand{\arraystretch}{1.4}
%% Helpers for styled header rows (use \rowcolor{\tableheadcolor} in preamble)
\newcommand{\tableheadcolor}{\rowcolor{navyBg}}
\newcommand{\tableheadtext}{\color{white}\bfseries}
%% ─── RUNNING HEADERS & FOOTERS ───────────────────────────────────────────────
\pagestyle{fancy}
\fancyhf{}
\renewcommand{\headrulewidth}{0pt}
\renewcommand{\footrulewidth}{0pt}
%% Light grey header bar with red left accent — title left, page number right
\fancyhead[RO]{%
\begin{tikzpicture}[remember picture, overlay]
\fill[headerBg] (current page.north west) rectangle ++(\paperwidth, -10mm);
\fill[headerRule] (current page.north west) rectangle ++(\paperwidth, -0.5pt);
\fill[brandRed] (current page.north west) rectangle ++(3pt, -10mm);
\node[anchor=west, xshift=14pt, yshift=-5mm] at (current page.north west)
{\color{mutedColor}\fontsize{8}{10}\selectfont $title$};
\node[anchor=east, xshift=-16pt, yshift=-5mm] at (current page.north east)
{\color{brandBlue}\fontsize{9}{11}\selectfont\thepage};
\end{tikzpicture}%
}
\fancyfoot[L]{%
\color{mutedColor}\fontsize{8}{10}\selectfont iso27diy.com%
}
%% No header/footer on chapter opener pages
\fancypagestyle{plain}{%
\fancyhf{}%
\renewcommand{\headrulewidth}{0pt}%
\renewcommand{\footrulewidth}{0pt}%
}
%% ─── FOOTNOTES ───────────────────────────────────────────────────────────────
\renewcommand{\footnoterule}{%
\vspace{4pt}%
{\color{ruleColor}\hrule height 0.5pt width 40mm}%
\vspace{4pt}%
}
%% ─── TABLE OF CONTENTS ───────────────────────────────────────────────────────
\setcounter{tocdepth}{2}
\setcounter{secnumdepth}{1}
\titlecontents{chapter}
[0pt]
{\vspace{8pt}\color{headingColor}\bfseries}
{\contentslabel{0pt}}
{}
{\hfill\color{pageNumColor}\contentspage}
\titlecontents{section}
[28pt]
{\vspace{2pt}\color{bodyColor}}
{\contentslabel{28pt}}
{}
{\hfill\color{mutedColor}\contentspage}
\titlecontents{subsection}
[28pt]
{\vspace{1pt}\small\color{mutedColor}}
{}
{}
{\hfill\color{mutedColor}\contentspage}
%% ─── CODE BLOCKS ─────────────────────────────────────────────────────────────
\DefineVerbatimEnvironment{Highlighting}{Verbatim}{
fontsize=\small,
xleftmargin=12pt,
frame=leftline,
framerule=3pt,
rulecolor=\color{brandBlue},
commandchars=\\\{\}
}
%% ─── IMAGES ──────────────────────────────────────────────────────────────────
\captionsetup{
font={small, color=bodyColor},
labelfont={bf, color=headingColor},
labelsep=period
}
\setkeys{Gin}{width=\linewidth, keepaspectratio}
%% ─── COVER PAGE ──────────────────────────────────────────────────────────────
%% Print-friendly: white background with dot pattern, red left bar
\newcommand{\makecover}{%
\begin{titlepage}%
%% White base
\AddToShipoutPictureBG*{%
\AtPageLowerLeft{%
\color{coverBg}\rule{\paperwidth}{\paperheight}%
}%
}%
%% Dot pattern via TikZ
\AddToShipoutPictureBG*{%
\begin{tikzpicture}[remember picture, overlay]
\foreach \x in {0,0.42,...,21} {
\foreach \y in {0,0.42,...,29.7} {
\fill[dotColor] (\x cm, \y cm) circle (0.7pt);
}
}
\end{tikzpicture}%
}%
%% Red left bar
\AddToShipoutPictureBG*{%
\AtPageLowerLeft{%
\color{brandRed}\rule{8pt}{\paperheight}%
}%
}%
\vspace*{10mm}%
\begin{flushleft}%
\hspace*{16pt}%
\begin{minipage}{0.85\textwidth}
\includegraphics[width=48mm]{$logo$}\par%
\vspace{32mm}%
{\hyphenpenalty=10000\exhyphenpenalty=10000\raggedright%
\color{navyBg}\fontsize{48}{56}\selectfont\bfseries%
$if(covertitle)$$covertitle$$else$$title$$endif$\par}%
\vspace{10mm}%
{\color{brandBlue}\rule{104pt}{6pt}\par}%
\vspace{8mm}%
{\color{bodyColor}\fontsize{20}{26}\selectfont $subtitle$\par}%
\end{minipage}%
\end{flushleft}%
\vfill%
\hspace*{16pt}%
\begin{minipage}{0.85\textwidth}
{\color{mutedColor}\fontsize{9}{12}\selectfont iso27diy.com\par}%
\vspace{3mm}%
{\color{mutedColor}\fontsize{8}{11}\selectfont $year$ $author$\par}%
\end{minipage}%
\vspace*{10mm}%
\end{titlepage}%
}
%% ─── DOCUMENT ────────────────────────────────────────────────────────────────
\begin{document}
\makecover
\frontmatter
$if(toc)$
\chapterbgfalse
\tableofcontents
\chapterbgtrue
\clearpage
$endif$
\pagenumbering{arabic}
\setcounter{page}{1}
$body$
$if(index)$
\backmatter
\printindex
$endif$
\end{document}