Check iconAlles op 1 plek
Check iconOverzichtelijk
Check iconEenvoudig
Check iconStructuur

ISO 27001 certificering: hoe werkt een audit?

Heb je als organisatie gekozen voor een ISO 27001 certificering voor informatiebeveiliging? Dan doorloop je verschillende stappen om tot het daadwerkelijke certificaat voor de ISO/IEC 27001 norm te behalen. Je wil als organisatie zorgen dat je alle benodigde informatie op orde hebt, zodat je de ISO 27001 audit en certificering goed kunt doorlopen.  
Wil je jouw organisatie de audit goed voorbereiden, zodat je het certificaat kunt behalen? We nemen je mee in de stappen die je moet doorlopen en geven aan waar het certificeringsproces uit bestaat. Ontdek hoe de PCT jouw organisatie kan ondersteunen in dit proces.

Hoe behaal je een ISO 27001 certificaat?

De certificeringsperiode bedraagt drie jaar, in het eerste jaar wordt de initiële audit uitgevoerd. In het tweede en derde jaar volgt de opvolgaudit en het vierde jaar de hercertificering. Als je de initiële positief afsluit ben je in principe voor 3 jaar gecertificeerd. Bij de hercertificeringsaudit wordt bepaald of je certificaat met 3 jaar wordt verlengd. Hierbij is van belang dat deze audits goed worden voorbereid en dat alle vereiste documentatie aanwezig is.

Checklist ISO 27001 audit

Wil je jouw organisatie goed voorbereiden op de audit voor ISO 27001? Doorloop dan de vijf stappen van de checklist die wij hebben opgesteld. We doorlopen de context van de organisatie, met welke mensen en middelen dit wordt ingevuld, hoe de bedrijfsprocessen zijn ingericht, aan welke risico’s jouw organisatie wordt blootgesteld en hoe de resultaten worden gemeten.

Invoering ISMS volgens ISO 27001

Om te voldoen aan de certificering dien je als eerste het managementsysteem voor informatiebeveiliging in te voeren. De norm voor informatiebeveiliging geeft aan dat de benodigde documentatie in het kader van het Information Security Management System (ISMS) moet worden geïmplementeerd. De PCT is een online software tool die jou ondersteunt in het online vastleggen van jouw ISMS.  

Tip: Wanneer je als organisatie geen kennis hebt van certificering, kun je ervoor kiezen de voorzetteksten in de PCT af te nemen. Dit zijn basisteksten je helpen bij het opzetten van de voor jou benodigde documentatie, als onderdeel van jouw certificering.  

Wanneer het ISMS is ingevoerd, begint de voorbereiding voor het certificeringsproces en de bijbehorende audits. Om deze audits te kunnen uitvoeren dien je een aanvraag voor certificering in te dienen bij een certificatie instelling.  

Interne audit ISO 27001 certificering

Het uitvoeren van een interne audit is een verplicht onderdeel voor het behalen van de certificering. Deze zogenaamde pre-audit kan desgewenst worden uitgevoerd met een externe adviseur. Hier wordt gekeken of het ISMS van jouw organisatie voldoet aan de eisen die ISO 27001 stelt. Tevens wordt een controle uitgevoerd op de verplicht aanwezig documentatie. Uitvoeren van een interne audit kan de kans op non-conformiteiten voorkomen of verkleinen en helpt jouw organisatie om zaken te verduidelijken, zodat je goed voorbereid het daadwerkelijke certificeringsproces kunt aangaan. 

Initiële certificering

De initiële certificering is de eerste en centrale stap in het proces, deze wordt uitgevoerd door een auditor van de geselecteerde certificatie instelling (CI). Deze systeemaudit bestaat uit twee fasen, auditfase I en II. Tussen deze fasen mag maximaal drie maanden liggen. 

Auditfase I

De auditor controleert of het ISMS en de beheersmaatregelen zijn geïmplementeerd. Er wordt tevens gekeken naar (locatie) specifieke omstandigheden die volgen uit het ISMS. Wanneer er non-conformiteiten, ook wel afwijkingen worden geconstateerd, krijg je meestal de mogelijkheid om deze op te lossen voor de fase II audit.

Tijdens deze fase, ook wel vooronderzoek, wordt gekeken naar de volgende zaken: 

  • Is de verplichte aanwezige en gedocumenteerde informatie die wordt gesteld door de ISO IEC 27001-norm beschikbaar en volledig?
  • Heeft jouw organisatie de volledige Plan Do Check Act (PDCA) cyclus doorlopen?

Auditfase II

Na fase krijg je als organisatie de ruimte om zaken aan te passen. Als de auditor vaststelt dat het ISMS gereed is voor de tweede audit, wordt opnieuw de doeltreffendheid gecontroleerd van het systeem. De nadruk ligt hier op de conformiteit met de eisen die de norm stelt en de implementatie van het managementsysteem. De auditor stelt na afloop van deze fase een auditrapport op. Wanneer er geen afwijkingen worden geconstateerd, wordt het ISO 27001 certificaat toegekend. Dit certificaat is drie jaar geldig.

Deze tweede fase richt zich op de implementatie: 

  • De werking en de implementatie van de ISO 27002 controls worden getoetst. 
  • De interne processen worden onder de loep genomen.  
  • Weet iedere medewerker van het bestaand van processen of werkwijzen? 
  • Is de organisatie op de hoogte van de van toepassing zijnde wet- en regelgeving? 

Afwijkingen vastgesteld

Wanneer er non-conformiteiten (afwijkingen of tekortkomingen) zijn vastgesteld krijg je als organisatie de mogelijkheid om deze te verhelpen. Afhankelijk van de grootte van de afwijking dient deze binnen 3 maanden opgelost te zijn of heb je daar de tijd voor tot aan de volgende audit. In beide gevallen dien je wel een non-conformiteiten rapportage op te stellen. Je dient de oorzaken hiervan te analyseren en passende en corrigerende maatregelen te nemen op deze afwijkingen.

Een afwijking betekent dus niet dat je het certificaat ingetrokken wordt. 

Opvolgaudit: deelgebieden managementsysteem 

In het tweede en derde jaar na het behalen van het certificaat volgt de zogenaamde opvolgaudit. Tijdens deze audit worden deelgebieden van het ISO 27001 managementsysteem onderzocht. Deze audits geven je de mogelijkheid om certificering echt onderdeel van jouw bedrijfsprocessen te maken en te zorgen dat je gemakkelijker de hercertificering kunt doorlopen. 

Hercertificering 

De audit voor hercertificering vindt plaats drie jaar na de initiële audit. Dit is een audit waar intensief wordt getoetst op de norm en het ISMS.  
Hierna doorloop je als organisatie steeds dezelfde cyclus van drie jaar om te zorgen dat je als organisatie gecertificeerd kunt blijven. 

Wat kost ISO 27001? 

Wat een ISO 27001 certificaat kost, hangt van veel verschillende factoren af. Daarom is hier niet een concreet antwoord op te geven. Denk hierbij aan; de grootte van jouw organisatie; het aantal locaties en medewerkers, de complexiteit van de organisatie, of er wel of geen softwareontwikkeling plaats vindt, wordt er gebruik gemaakt van externe expertise en of er andere ISO certificeringen zijn behaald. 

De voordelen van de PCT voor de ISO 27001 audit 

  • Online en overal direct toegang tot jouw ISMS.
  • Bespaar tijd tijdens de audit, doordat je niet hoeft te zoeken door losse bestanden. 
  • Verleen de auditor eenvoudig toegang tot het ISMS. 
  • Auditor kan zich inlezen, waardoor hij tijdens de audit gerichte vragen kan stellen. 

De ISO 27001 audit in de PCT? 

Neem contact met ons op en we plannen graag een demo voor je in. Zodat je als organisatie de gemakken van deze ISMS software tool kan ervaren op de weg naar ISO 27001 certificering en tijdens de audit.

Ervaar het gemak en de gebruiksvriendelijkheid
van de Proactive Compliance Tool

Demo aanvragen