richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/marketing/publications/eBook-Audit/Alles wat je wilt weten over de ISO 27001 audit.md

22 KiB
Raw Blame History

Alles wat je wilt weten over de ISO 27001 audit

#iso27DIY/marketing/content

Dit boekje is een gids om je door het volledige audit- en certificeringsproces te loodsen, van het leggen van het fundament tot de uiteindelijke uitreiking van het certificaat.

Waarom een ISO 27001 audit?

ISO 27001 is de internationale standaard voor informatiebeveiliging. Het behalen van deze certificering bewijst dat jouw organisatie informatiebeveiliging serieus neemt en structureel beheert via een Information Security Management System (ISMS).

Wanneer ben ik klaar voor de audit?

Een organisatie is klaar voor de initiële certificeringsaudit wanneer het fundament van het Information Security Management System (ISMS) niet alleen is geïmplementeerd, maar ook door de organisatie zelf is getoetst op de effectieve werking ervan [1].

Concreet betekent dit dat de volgende stappen minimaal moeten zijn afgerond voordat de externe auditor langskomt voor de eerste fase van de audit (de Stage 1 documentatie-audit):

  • Volledige implementatie van het ISMS: De fundamentele processen uit de norm (hoofdstuk 4 tot en met 10) moeten operationeel zijn [1, 2]. Dit houdt in dat de scope is afgebakend, het informatiebeveiligingsbeleid is ondertekend en een volledige risicoanalyse is uitgevoerd en vertaald naar een risicobehandelplan [3].
  • Een afgeronde Interne Audit: Voordat de externe audit begint, vereist de norm dat je het systeem zelf hebt geëvalueerd. Je moet op zijn minst één interne audit hebben uitgevoerd en hier een auditrapport van hebben opgeleverd [1, 4]. Het is hierbij best practice dat deze eerste interne audit direct de volledige scope van jouw ISMS beslaat [4]. Ook moeten eventuele afwijkingen die tijdens de interne audit zijn gevonden, correct zijn gedocumenteerd in actieplannen (follow-up) [4].
  • Uitgevoerde Directiebeoordeling (Management Review): Na de interne audit moet het topmanagement (de directie) formeel de prestaties en de effectiviteit van het ISMS hebben beoordeeld [1, 5]. Dit is cruciaal om managementbetrokkenheid aan te tonen, wat een harde eis is voor het fundament [3].
  • De Verplichte Documentatie is Beschikbaar: Zoals we eerder bespraken in de context van de vier documentatieniveaus, moeten de belangrijkste documenten zoals je Verklaring van Toepasselijkheid (Statement of Applicability), procedures en de registraties (records) van de hierboven genoemde audits en management reviews aanwezig zijn en goed worden beheerd [6, 7].

Kort samengevat: Zodra je het managementsysteem hebt geïmplementeerd én je de zogenaamde 'Plan-Do-Check-Act' cyclus minimaal één keer zelf hebt rondgemaakt door het uitvoeren van een interne audit en management review, is de organisatie klaar om een onafhankelijke certificatie-instelling (certification body) te selecteren en de externe audit aan te vragen [1].

Waarom het fundament eerst moet

Een ISMS bestaat uit twee hoofddelen: een procesmatig fundament (clausules 4 tot en met 10 van de norm) en een lijst met 93 mogelijke beveiligingsmaatregelen (de Annex A controls). Het is een vereiste om de fundamentele processen eerst volledig te hebben geïmplementeerd [1]. Deze processen dwingen je namelijk om een risicoanalyse uit te voeren, zodat je weet wát je moet beveiligen [2]. Je bent niet verplicht om alle 93 Annex A maatregelen blindelings te implementeren; je kiest ze uit op basis van jouw specifieke risico's en documenteert deze in de Verklaring van Toepasselijkheid (Statement of Applicability of SoA) [3, 4].

Zorg ook dat de scope van je ISMS en wat precies gecertificeerd moet worden helder in het Scope Statement staat.

Dit onderscheid tussen het fundament (het managementsysteem) en de specifieke maatregelen zie je terug in de opbouw van de audit:

In Stage 1 kijkt de auditor nog niet naar specifieke beveiligingsmaatregelen, maar uitsluitend naar het ontwerp van het managementsysteem. Hier gaat het om fundamentele vereisten: begrijpt de organisatie de standaard, is de scope duidelijk, is de risicoanalyse uitgevoerd, en zijn de fundamentele processen zoals de interne audit en de directiebeoordeling (management review) afgerond.

Pas in Stage 2 duikt de auditor echt de praktijk in om de effectiviteit en implementatie van het ISMS en de specifieke maatregelen (de controls) te evalueren.

Mag ik certificeren als nog niet alles perfect is?

Ja, met een belangrijke nuance. Een auditor verwacht niet dat vanaf dag één elke beveiligingsmaatregel 100% is doorgevoerd. Zolang het managementfundament (zoals risicoanalyses, interne audits en directiebeoordelingen) draait, accepteert de norm dat je met een risicobehandelplan werkt. Als een bepaalde maatregel pas later wordt geïmplementeerd en de directie accepteert in de tussentijd formeel het restrisico, is dat toegestaan [5, 6]. Zorg er echter voor dat de Verklaring van Toepasselijkheid altijd de realiteit weerspiegelt en je niet claimt dat iets effectief is, terwijl het eigenlijk nog op de roadmap staat [4, 7].

Wat kost een ISO 27001-audit en hoe lang duurt deze?

De prijs wordt meestal bepaald door organisatiegrootte, complexiteit, aantal locaties, bestaande controles en de auditdagen die nodig zijn. Een certificeringsinstantie rekent vaak per auditdag, en day rates liggen in de bronnen grofweg rond €1.200€1.800 in Europa of vergelijkbaar in andere valuta. Als je al een goed ISMS en veel bewijs hebt, valt de audit meestal goedkoper uit dan wanneer alles nog opgezet moet worden.[2][4][5][1]

De totale kosten van een audit hangen sterk af van de gekozen certificeringsinstantie, de complexiteit van je organisatie en het aantal benodigde auditdagen. Voor een initiële ISO 27001-audit kun je grofweg rekenen op €5.000 tot €10.000 voor een kleine organisatie, en vaak €10.000 tot €20.000 voor middelgrote bedrijven. Sommige Nederlandse bronnen noemen voor de EU en Nederland ook totale certificeringsfees van ongeveer €6.000 tot €12.000, afhankelijk van de scope en het gehanteerde dagtarief. Voor micro-businesses en heel kleine teams worden in recente bronnen ook lagere auditfees genoemd, variërend van ongeveer €800 tot €3.000 (omgerekend), al is dit sterk afhankelijk van de specifieke certificatie-instelling. Dat deze kosten kunnen variëren, komt doordat het aantal dagen dat een auditor in rekening brengt niet zomaar wordt verzonnen. Dit wordt strikt gereguleerd door tabellen uit de ISO 27006-norm, waardoor de geoffreerde tijdsbesteding tussen verschillende instellingen vaak redelijk overeenkomt. De basislijn voor het aantal auditdagen Het startpunt voor de berekening van de audittijd is altijd de grootte van de organisatie (het aantal FTE):

  • 1 tot 10 medewerkers: Hiervoor staat een absoluut minimum van 5 auditdagen in totaal.
  • 11 tot 15 medewerkers: De basislijn stijgt naar 6 auditdagen.
  • Grotere organisaties (bijv. 176 tot 275 medewerkers): De basislijn bedraagt in dit geval 14 auditdagen.

Hoe worden deze dagen in de praktijk verdeeld? De auditdagen omvatten meer dan alleen de uren dat de auditor daadwerkelijk bij jou op kantoor is. Voor de minimale audit van 5 dagen (voor het kleinste MKB) ziet de standaard verdeling er doorgaans als volgt uit:

  • Een halve dag: Voorafgaande planning en voorbereiding.
  • 1 volledige dag: De Stage 1 audit (de documentatie-audit).
  • 3 volledige dagen: De Stage 2 audit (de gedetailleerde on-site of remote implementatie-audit).
  • Een halve dag: Het opstellen en schrijven van het uiteindelijke auditrapport.

Aanvullende factoren die kosten en tijd beïnvloeden Hoewel het aantal medewerkers de basislijn vormt, kan de certificatie-instelling de uiteindelijke audittijd (en daarmee de prijs) naar boven of beneden bijstellen op basis van specifieke factoren. De instelling beoordeelt onder andere:

  • Sector en complexiteit: Werkt de organisatie in een hoogrisico- of streng gereguleerde sector (zoals de gezondheidszorg), dan is er meer audittijd nodig.
  • Aantal locaties: Hoeveel fysieke vestigingen of kantoren vallen er binnen de audit-scope?
  • IT-omgeving: Bestaat de IT uit één overzichtelijke technologiestack, of is het een complexe omgeving met meerdere integraties?
  • Outsourcing: Hoeveel diensten of processen zijn uitbesteed aan externe leveranciers?
  • Wet- en regelgeving: Zijn er specifieke wettelijke vereisten waaraan getoetst moet worden?

Hoewel de berekening van het aantal auditdagen streng genormeerd is, kunnen de totale kosten desondanks toch sterk kunnen afhangen van de gekozen instantie. Dit heeft te maken met de volgende variabelen:

  • Dagtarieven en reputatie: Hoewel de auditdagen gelijk zijn, stelt elke certificeringsinstantie haar eigen commerciële dagtarieven vast. Deze prijzen variëren onder andere op basis van hun reputatie en marktpositie.
  • Berekeningswijze en inbegrepen tijd: In de certificatieovereenkomst wordt vastgelegd hoe de vergoedingen precies worden berekend. Het kan per instantie verschillen wat er wel of niet exact onder de gefactureerde 'audittijd' valt en hoe extra werkzaamheden in rekening worden gebracht.
  • Reis- en verblijfkosten (logistiek): Alle kosten rondom de uitvoering van de audit moeten door de te auditen organisatie worden betaald. Een certificeringsinstantie die auditors lokaal of dichtbij beschikbaar heeft, zal aanzienlijk goedkoper uitvallen dan een instantie die auditors van ver moet laten invliegen of hoge verblijfkosten rekent.
  • Mogelijkheid tot gecombineerde audits: Sommige instanties kunnen de audit combineren met andere normen (zoals ISO 9001 of lokale kaders). Het uitvoeren van zo'n gecombineerde audit kan de organisatie over het algemeen tijd en geld besparen.
  • Inschatting van complexiteit: Hoewel de basis voor het minimum aantal auditdagen in tabellen is vastgelegd, moet de instantie dit aantal verhogen of verlagen op basis van specifieke factoren, zoals de complexiteit van de technologie, het aantal fysieke locaties, wettelijke eisen en de mate van outsourcing. Hoe de instelling deze weging en de complexiteit van de organisatie precies inschat, is maatwerk en beïnvloedt de uiteindelijke prijs.

Bijkomende kosten De auditfee is niet je totale kostenplaatje. Vaak komen daar nog consultancy, implementatietijd, tooling, documentatie en interne uren bij, waardoor de totale eerstejaarskosten veel hoger kunnen uitvallen dan alleen de audit. Sommige recente overzichten noemen totalen van ongeveer €10.000 tot €50.000 voor kleine tot middelgrote organisaties als je alles meerekent.[5][7][1]

Tip voor het aanvragen van offertes: Bij het beoordelen van wat de audit gaat kosten, is het essentieel om niet alleen naar het totale bedrag onderaan de streep te kijken. Controleer ook goed in de overeenkomst wat het dagtarief is, wat er wel en niet wordt meegerekend, en hoe de auditdagen precies zijn verdeeld over de planning, Stage 1, Stage 2 en de rapportage.

Jaarlijkse kosten

Na de eerste certificering komen er meestal surveillance audits bij, die vaak goedkoper zijn dan de initiële audit. In de bronnen zie je hiervoor vaak bedragen van ongeveer 30% tot 50% van de initiële auditkosten, of ruwe bandbreedtes van €2.000€5.000 per jaar voor kleinere organisaties. Om de drie jaar volgt dan een hercertificeringsaudit die weer dichter bij de initiële audit kan liggen.[6][1]

Sources [1] Hoeveel kost een ISO 27001-certificering in 2026? - ISOPlanner https://isoplanner.app/nl/hoeveel-kost-een-iso-27001-certificering-in-2026/ [2] ISO 27001 Certification Costs FAQ - High Table https://hightable.io/iso-27001-certification-costs-faq/ [3] ISO 27001 Certification Cost [2026 update] - High Table https://hightable.io/iso-27001-certification-cost/ [4] ISO 27001 Cost: What Businesses Need to Know - GRC Solutions https://grcsolutions.io/iso27001-certification-costs/ [5] How Much Does ISO 27001 Certification Cost? - Steerlab https://www.steerlab.ai/blog/iso-27001-certification-cost [6] How much does ISO 27001 certification cost? | Blog - OneTrust https://www.onetrust.com/blog/iso-27001-certification/ [7] How Much Does ISO 27001 Certification Cost in 2026? - StrongDM https://www.strongdm.com/blog/iso-27001-certification-cost [8] What does ISO 27001 certification cost? - Fendix https://www.fendix.nl/en/resources/wat-kost-een-iso-27001-certificering [9] ISO27001 Cost - Reddit https://www.reddit.com/r/ISO27001/comments/1lh3lwx/iso27001_cost/ [10] ISO 27001 certification costs - Dekra https://www.dekra.nl/en/iso-27001-certification-costs/

Hoe vraag je een audit aan?

Je vraagt een audit voor ISO 27001-certificering aan bij een geaccrediteerde certificeringsinstantie, niet bij een normale consultant of een interne auditor. De route is meestal: eerst intern voorbereiden en eventueel een pre-audit/readiness check doen, daarna de formele certificeringsaudit aanvragen bij een certificatiebureau.[1][2][3]

Bij wie vraag je het aan

Je vraagt het aan bij een certification body / certificeringsinstantie die geaccrediteerd is voor ISO 27001. Voorbeelden die in Nederlandse overzichten genoemd worden zijn onder andere Kiwa, DNV, BSI en DigiTrust, maar je moet altijd controleren of ze op dit moment echt geaccrediteerd zijn voor ISO 27001. Consultants kunnen je wel helpen met voorbereiding of interne audit, maar zij geven meestal niet zelf de officiële certificering af.[3][4][5][1]

Hoe je het aanvraagt

Meestal vraag je een offerte of auditvoorstel aan via het sales- of contactformulier van de certificeringsinstantie. Ze willen dan meestal weten: hoeveel medewerkers je hebt, welke locaties en systemen in scope zijn, of je al een ISMS hebt, welke bestaande certificeringen je hebt, en wanneer je de audit wilt laten plaatsvinden. Daarna plannen ze doorgaans de Stage 1-audit en Stage 2-audit in.[6][7]

Waar je op moet letten

Niet elke partij die “ISO 27001 audit” zegt, mag ook de officiële certificering afgeven. Voor de echte certificeringsaudit moet de partij geaccrediteerd zijn; dat is belangrijker dan alleen een mooie website of een snelle prijsopgave. Ook is het verstandig om een partij te kiezen die ervaring heeft met jouw type organisatie, zodat de audit niet onnodig abstract of bureaucratisch wordt.[2][5][7][8][9]

Als je wilt, kan ik hierna ook een korte mailtemplate maken waarmee je direct een offerte voor een ISO 27001-audit aanvraagt.

Sources [1] Wat is de ISO 27001 audit: Checklist, praktische tips en de ... https://certificeringsadvies.nl/hoe-gaat-een-iso-27001-audit-in-zijn-werk/ [2] Certification Process - ISO 27001 Documentation - GRC Lab https://grclab.com/iso27001-docs/certification-process [3] A breakdown of the ISO 27001 audit and certification process https://www.thoropass.com/blog/iso-27001-audit-certification-process [4] Lijst Van Iso 27001-geaccrediteerde Certificeringsinstanties https://www.online-iso.nl/iso-14001/lijst-van-iso-27001-geaccrediteerde-certificeringsinstanties/ [5] Overzicht certificatie instellingen - ISO Register https://isoregister.nl/overzicht-certificatie-instellingen/ [6] ISO 27001 Audit: How to prepare and the critical next steps - UpGuard https://www.upguard.com/blog/iso-27001-audit-next-steps [7] ISO 27001 Certification Audit 2026: Requirements, Costs & Timeline https://www.icertworks.com/iso-27001-certification-audit-in-2026-requirements-costs-timeline-what-auditors-look-for/ [8] ISO 27001 Certification vs Accreditation - What You Need to Know ... https://www.ocden.com/compliance/iso-accrediation-certification-auditor [9] Examining Certification Bodies for ISO 27001 Certification - A-LIGN https://www.a-lign.com/articles/blog-examining-certification-bodies-iso-27001 [10] Overzicht ISO 27001 certificering en implementatie bedrijven ... https://obi.nl/iso-27001-certificering/

De Tweefasen-Audit

Wanneer je besluit voor certificering te gaan door een onafhankelijke externe instantie (een zogenaamde 'third-party audit'), wordt de initiële audit altijd opgesplitst in twee fases [8, 9].

Stage 1: De Documentatie-audit

Tijdens de Stage 1 audit verifieert de auditor nog niet de effectiviteit van de maatregelen in de praktijk, maar controleert hij of zij het ontwerp van het management systeem [9]. De auditor neemt de gedocumenteerde informatie door, zoals het beveiligingsbeleid, de doelstellingen, en kijkt of de interne audit en directiebeoordeling zijn uitgevoerd [9, 10]. Dit neemt meestal zo'n 30% van de totale audittijd in beslag [11].

De Tussenpauze

Tussen Stage 1 en Stage 2 zit doorgaans een pauze van twee tot vier weken, waarbij een maximum van twaalf weken geldt [12, 13]. Deze pauze geeft jouw organisatie de kans om eventuele zorgpunten uit Stage 1 te verhelpen voordat het echte veldwerk begint [14].

Stage 2: De Gedetailleerde Implementatie-audit

In Stage 2 duikt de auditor echt in de organisatie (vaak op locatie of remote) om te evalueren of de beveiligingsmaatregelen daadwerkelijk zijn geïmplementeerd en effectief werken [9, 15, 16]. In deze fase worden systemen bekeken en interviews met medewerkers gehouden.

Wat Verwacht de Auditor (en hoe toon je dat aan)?

Hoe stelt een auditor vragen?

Tijdens Stage 2 wil de auditor achterhalen hoe processen écht werken. Je kunt de volgende technieken verwachten:

  • Open interviews: Auditors stellen zelden ja/nee vragen om te voorkomen dat ze het antwoord beïnvloeden (geen 'leidende vragen'). Verwacht vragen als: "Kun je me uitleggen hoe jullie benadering van back-ups werkt?" [17-19].
  • Systeemspecifieke vragen: Na een algemene uitleg zal de auditor inzoomen. "Je hebt zojuist de procedures uitgelegd, kun je me vertellen hoe je dit toepast op systeem X?" [20].
  • "Laat het me zien" (Technische verificatie): Mondeling (verbaal) bewijs is de zwakste vorm van auditbewijs [21, 22]. Een auditor zal na een interview vaak om demonstraties vragen. Dit betekent dat hij/zij met je meekijkt in de systeemconfiguraties (bijvoorbeeld firewall-regels of encryptie-instellingen) om het verbale verhaal met de technische realiteit te bevestigen [23-25].

Wat voor documentatie is vereist?

Hoewel je niet voor alles gigantische boekwerken hoeft te schrijven, kijkt een auditor in vier logische lagen naar je documentatie [26]:

  1. Strategisch (Niveau 1): Documenten ondertekend door het management, zoals het ISMS-beleid, de scope en de Verklaring van Toepasselijkheid (SoA) [26, 27].
  2. Risicobeheer (Niveau 2): Het formele proces: hoe voer je risicoanalyses uit en hoe behandel je risico's? [28].
  3. Procedures (Niveau 3): Hoe specifieke maatregelen worden uitgevoerd (bijv. wachtwoordbeheer, patchmanagement) [29].
  4. Records (Niveau 4): Het keiharde bewijs. Dit zijn systeemlogs, incidententickets en notulen van vergaderingen die bewijzen dat het proces écht is gevolgd [30-32].

Wat is het resultaat van de audit? Auditbevindingen en Het Correctieplan

Als een auditor vaststelt dat niet aan een eis van de norm wordt voldaan, resulteert dit in een auditbevinding. Er zijn verschillende classificaties:

  • Observaties / Anomalieën: Punten voor verbetering of heel kleine incidentele afwijkingen die het management systeem als geheel niet in gevaar brengen [33, 34].
  • Kleine Non-conformiteit (Minor): Een gedeeltelijk falen van een eis. Dit werpt enige twijfels op, maar het brengt het vermogen van het ISMS om zijn doelen te bereiken niet in gevaar [35, 36].
  • Grote Non-conformiteit (Major): Een volledig falen van een eis of een onacceptabel risico. Bij een Major non-conformiteit wordt de certificering direct gepauzeerd [37, 38].

Het opstellen van een Corrective Action Plan (CAP)

Als er non-conformiteiten zijn vastgesteld, moet jouw organisatie een gestructureerd actieplan indienen bij de auditor [39]. Vaak krijg je 10 tot 60 dagen de tijd om dit in te dienen [40]. Zonder ingediend actieplan volgt er geen certificeringsaanbeveling [40]. Dit plan moet per non-conformiteit het volgende bevatten [39, 41]:

  1. De Root Cause Analyse: Een analyse van de kernoorzaak (waarom gebeurde dit?).
  2. Correcties: De pleister op de wond (hoe hebben we de directe tekortkoming nu tijdelijk opgelost?).
  3. Correctieve Acties: De structurele langetermijnoplossing (hoe zorgen we dat dit nooit meer gebeurt?).
  4. Realistische Tijdslijnen: Wanneer is dit voltooid?

Wat als je het oneens bent met de auditor?

Het is de taak van de leidende auditor om eventuele meningsverschillen tijdens de audit of in de afsluitende bijeenkomst uit te praten [42, 43]. Kom je er echt niet uit en weiger je de bevindingen te accepteren? Dan heb je altijd het recht om de conclusies niet te accepteren en een formeel klachten- of beroepsproces (appeal) op te starten bij de certificatie-instelling [44, 45].

De Uitslag en Certificering

De Aanbeveling

Aan het einde van de Stage 2 audit (vaak tijdens de closing meeting) zal de auditor zijn conclusies met het management bespreken [46]. De auditor kan vier mogelijke aanbevelingen doen [47, 48]:

  1. Aanbeveling voor certificering: Alles is in orde.
  2. Voorwaardelijke aanbeveling zónder extra bezoek: Je krijgt het certificaat, mits je op afstand een goedgekeurd actieplan voor je (kleine) non-conformiteiten aanlevert.
  3. Voorwaardelijke aanbeveling mét extra bezoek: Er is een follow-up audit op locatie nodig om de herstelwerkzaamheden fysiek te bewijzen (vaak bij een Major).
  4. Onvoldoende / Onze aanbeveling: De audit is niet behaald.

Wie beslist en wanneer ben ik gecertificeerd?

Het is essentieel om te begrijpen dat de auditor alléén een aanbeveling doet [49, 50]. De definitieve beslissing ligt bij de certificatie-instelling (de Certification Body) die het volledige auditrapport onafhankelijk beoordeelt [50, 51].

Zodra de certificatie-instelling akkoord is, word je officieel gecertificeerd. Als er correctieplannen nodig waren, krijg je je certificaat pas nadat deze plannen zijn ingediend en goedgekeurd [47, 52].

Geldigheid van het ISO 27001 certificaat

Je behaalde certificaat is drie jaar geldig [51, 53]. Dat betekent echter niet dat je daarna drie jaar achterover kunt leunen. Het succes van ISO 27001 is continue verbetering. Daarom komt de auditor ieder jaar terug voor een kleinere surveillance audit om te controleren of het management systeem nog steeds effectief wordt onderhouden [51, 54]. In het derde jaar vindt de grotere hercertificeringsaudit plaats [53, 55].