Doorloop moeiteloos de ISO 27001 audit met deze 10 tips

Met een ISO 27001 certificaat toont uw organisatie aan dat u voldoet aan de gestelde normen en eisen rondom informatiebeveiliging. Echter behaalt u dit certificaat niet zo maar. Er zijn een heleboel richtlijnen waar u aan moet voldoen. Met behulp van een audit wordt bepaald of uw organisatie in aanmerking komt voor het ISO 27001 certificaat.

Een audit voor ISO 27001 certificering bestaat uit twee fases. Bij de eerste fase wordt verschillende documentatie beoordeeld, terwijl er bij de tweede fase wordt gekeken naar het ISMS.

Wilt u beide fases van de audit succesvol doorlopen? In dit blogartikel geven wij tips:

  • De twee fases van een audit
  • 10 tips om de ISO 27001 audit succesvol te doorlopen

 

Behaal meer rendement uit uw ISO 27001 implementatie. Krijg toegang tot het on demand webinar vol met praktische tips en tricks over het implementeren van ISO 27001 en NEN 7510.

On demand webinar aanvragen

De twee fases van een audit

Zoals eerder aangegeven bestaat een audit voor het behalen van een ISO 27001 certificering uit twee fases. De eerste fase wordt ook wel de ‘documentation audit’ genoemd. Hierbij draait het om het beoordelen van de status van documentatie binnen de organisatie, het beoordelen van het prestatiesysteem en het beoordelen of de organisatie gereeds is voor een implementaire audit.

audit voor certificering

De tweede fase wordt ook wel de ‘compliance audit’ genoemd. Tijdens deze fase wordt het ISMS (Information Security Management System) beoordeeld:

  • Voldoet het ISMS aan de auditcriteria, ofwel het certificatieschema?
  • Stelt het ISMS de organisatie in staat informatiebeveiliging zo te waarborgen dat zij voldoet aan contractuele verplichtingen?
  • Stelt het ISMS de organisatie in staat informatiebeveiliging zo te waarborgen dat zij voldoet aan de verschillende wet- en regelgevingen?
  • Is het ISMS effectief, zodat redelijkerwijs verwacht kan worden dat de door de organisatie gestelde doelen behaald kunnen worden?
  • Kan het ISMS op specifieke gebieden mogelijk verbeterd worden?

Tips om de ISO 27001 audit succesvol te doorlopen

Wilt u met uw organisatie de twee fases van een ISO 27001 audit succesvol doorlopen? Met de volgende tips wordt het behalen van het certificaat een stuk eenvoudiger:

  1. Zoek een door de Raad van Accreditatie geaccrediteerde auditor. Dit maakt dat uw certificering ook daadwerkelijk waarde heeft.

  2. Zoek binnen de organisatie naar medewerkers die alle vragen rondom informatiebeveiliging kunnen beantwoorden. De juiste kennis kan een flinke impact hebben op het resultaat.

    Denk hierbij aan vragen die beginnen met:

    • Wat doen we wel en wat doen we niet?

    • Hoe doen we dat?

    • Wanneer doen we dat?

    • Waarom doen we dat?

    • Kunnen we dat laten zien?

    • Hoe meten we dat?

  3. Zoek in de norm naar ‘gedocumenteerd’ (of documentatie). De gevonden zaken dienen dus gedocumenteerd te zijn. Al te vaak gebeurd het dat dergelijke zaken niet vast liggen.

  4. Maak voorafgaand aan de audit een overzicht van alle documentatie en bijbehorende normen. Voeg bijvoorbeeld een drietal kolommen toe aan de verklaring van toepasselijkheid:

    • (1) waar is het beleid te vinden?

    • (2) waar is bewijs te vinden van het uitvoeren van de norm?

    • (3) hoe voer je de controle uit op de beheersmaatregel?

  5. Loop een keer door het kantoor en de verschillende ruimtes: stel vragen als ‘Wat zit er in deze kast?’ ‘Wat staat er op deze schijf?’ ‘Wie kan hier bij?’ ‘Wie is daar verantwoordelijk voor?’ ‘Hoe doen we onderhoud?’ en ‘Wat testen we?’

  6. Doe wat u hebt beschreven en maak dit aantoonbaar. Uiteindelijk gaat het erom dat de auditor niet alleen het verhaal krijgt maar dat de praktijk het ook aantoont. Een ticketing systeem helpt om operationele uitvoering van processen en procedures vast te leggen en daarmee aantoonbaar te maken.

  7. De ISO 27001 norm definieert niet hoe u iets moet doen maar wel wat u moet doen. Hoofdstuk 4 t/m 10 zijn daarbij verplicht om als geheel te realiseren. Bijlage A is afhankelijk van de scope van de informatiebeveiliging.

  8. Ga uit van de huidige situatie; probeer niet alle mogelijke verbeteringen direct te realiseren maar implementeer een proces van verbetering. Leg dergelijke verbeteringen vast en plan deze in.

  9. Stel vragen tijdens de audit. Alhoewel de auditor geen advies mag geven, kan deze wel uitleg geven over de norm en hoe deze uit te leggen.

  10. Denk na over beheer na de certificering. Hoe gaat u alle zaken bijhouden en het proces continueren?

Extra tip

Download gratis ons e-book ‘In tien stappen naar ISO 27001’. In dit e-book bespreken wij meer achterliggende informatie rondom de ISO-norm. Daarvoor staan we onder andere stil bij het vaststellen van een beleid en welke maatregelen geïmplementeerd dienen te worden voor de risico’s.

Krijg toegang tot het on demand webinar vol met praktische tips en tricks over het implementeren van ISO 27001 en NEN 7510.

Webinar nu kijken

Recente berichten

Deze blogs vindt u wellicht ook interessant:

documentatie fase audit

Wat is het verschil tussen de NEN 7510 en ISO 27001?

Hoe staat het met de informatiebeveiliging van uw organisatie? Hebt u alle risico’s in kaart gebracht en weet u waar de gevaren zitten? Met behulp van diverse normen rondom informatiebeveiliging kunt u aantonen dat uw organisatie het goed doet. Twee...
documentatie fase audit

Axxemble behaalt ISO 27001 certificering

In de afgelopen maanden heeft Axxemble de ISO 27001 certificering succesvol doorlopen met behulp van haar eigen ISMS software Base27. Axxemble is expert op het gebied van informatiebeveiliging. De certificering werd uitgevoerd door de...