Organisaties die snel willen certificeren, lopen regelmatig tegen hetzelfde probleem aan: het ISMS is opgezet, de documenten zijn geschreven, de maatregelen zijn ingericht — maar de externe auditor verleent geen certificaat. De reden? Onvoldoende bewijs van daadwerkelijke werking. ISO 27001 vereist niet alleen dat je een systeem heeft, maar dat je kunt aantonen dat het systeem werkt. En daarvoor is tijd nodig.
Waarom is een bewijsperiode verplicht?
ISO 27001 is gebaseerd op het Plan-Do-Check-Act-principe. De “Check”-fase — interne audit en management review — en de “Act”-fase — het doorvoeren van verbeteringen — kunnen pas worden aangetoond nadat het systeem enige tijd in werking is. Een auditor die je ISMS beoordeelt, wil niet alleen de documenten zien, maar ook bewijs dat de procedures daadwerkelijk worden gevolgd en dat je organisatie reageert op bevindingen.
De gangbare richtlijn in de industrie is een bewijsperiode van minimaal drie maanden. Sommige certificerende instellingen hanteren vier of vijf maanden als aanbeveling. In de praktijk betekent dit dat je je externe audit moet inplannen ten minste drie maanden nadat je ISMS operationeel is.
| Activiteit | Minimale bewijsperiode |
|---|---|
| Interne audit | 1 keer uitgevoerd voor de Stage 2-audit |
| Management review | 1 keer uitgevoerd voor de Stage 2-audit |
| Incidentregistratie | Lopend register, bij voorkeur 3+ maanden |
| Trainingsregistraties | Aantoonbaar in de bewijsperiode |
| Toegangsreviewverslagen | Minimaal 1 review voor de audit |
| Leveranciersbeoordeling | Minimaal 1 beoordeling voor de audit |
Wat telt als bewijs?
De term “bewijs” klinkt formeler dan het is. Bewijs is elke vastlegging die aantoont dat een procedure is uitgevoerd. Dat kan zijn:
Logbestanden en systeemregistraties. Automatisch gegenereerde logs van toegangspogingen, patchupdates, back-upresultaten en systeemwijzigingen zijn ideaal bewijsmateriaal. Ze zijn objectief, gedetailleerd en moeilijk te manipuleren achteraf.
Vergaderverslagen en e-mails. Een verslag van de directiebeoordeling, een e-mail waarin een beveiligingsincident wordt gemeld en afgehandeld, of een notulen van een risicobeoordelingssessie: dit zijn allemaal geldige bewijsstukken.
Ingevulde formulieren en checklists. Offboardingchecklists die zijn ingevuld bij vertrek van medewerkers, toegangsaanvraagformulieren, leveranciersbeoordelingsformulieren — ze bewijzen dat je processen in de praktijk worden gevolgd.
Trainingsregistraties. Een exportbestand uit je e-learningplatform met voltooiingsdata per medewerker, een aanwezigheidslijst van een security awareness sessie of een screenshot van voltooide trainingsmodules.
Auditrapportages. Het verslag van je interne audit is een cruciaal bewijsstuk. Het toont aan dat je je systeem onafhankelijk heeft beoordeeld en bevindingen heeft geregistreerd.
Tip: Sla bewijs gestructureerd op in je ISMS-platform of in een vaste mappenstructuur. Label elk document met datum, type bewijs en de bijbehorende ISO 27001-vereiste. Dit maakt de Stage 2-audit aanzienlijk vlotter en geeft de auditor direct inzicht in je systeem.
Wat de auditor daadwerkelijk controleert
Een Stage 2-auditor volgt een gestructureerde aanpak. Hij of zij vraagt naar bewijs voor elk hoofdstuk van de norm (4 t/m 10) én voor de controls uit Bijlage A die je in je Statement of Applicability heeft opgenomen.
De meest kritische bewijspunten waarop auditors focussen:
Risicoanalyse en behandelingsplan. Is de risicoanalyse gedateerd, ondertekend en actueel? Is het behandelingsplan bijgewerkt na de laatste review?
Interne audit. Is er een auditplan, een auditverslag en zijn de bevindingen opgevolgd? De auditor controleert of de interne audit onafhankelijk is uitgevoerd.
Management review. Is er een verslag van de directiebeoordeling dat alle vereiste onderwerpen afdekt (resultaten audits, klanttevredenheid, risicostatus, prestaties)?
Competentie en bewustwording. Zijn medewerkers aantoonbaar getraind? Zijn de trainingsregistraties beschikbaar?
Correctieve maatregelen. Als er bevindingen zijn geweest — intern of extern — zijn die dan geregistreerd en opgevolgd?
De meest gemaakte bewijsfouten
Bewijs achteraf aanmaken. Het verslag van de directiebeoordeling dat is geschreven in de week voor de audit, met een datum van drie maanden eerder: auditors herkennen dit patroon. Zorg dat bewijs op het moment zelf wordt vastgelegd.
Ondertekeningen missen. Beleidsdocumenten en risicoanalyses zonder datum en handtekening of digitale goedkeuring tellen zwakker. Zorg dat elk document duidelijk de auteur, datum en goedkeurder vermeldt.
Te weinig diepgang in de interne audit. Een interne audit die uitsluitend documenten controleert en geen interviews of steekproeven bevat, overtuigt een externe auditor niet. Controleer in je interne audit ook de praktijk: zijn de procedures die zijn opgeschreven ook daadwerkelijk in gebruik?
Gaps in het incidentenregister. Een leeg incidentenregister roept vragen op. Niet omdat je organisatie probleemloos functioneert, maar omdat het suggereert dat incidenten niet worden geregistreerd. Kleine verstoringen en bijna-incidenten horen ook thuis in het register.
FAQ
Kan ik de externe audit inplannen voordat de bewijsperiode van drie maanden volledig is? De Stage 1-audit (documentbeoordeling) kun je eerder inplannen. De Stage 2-audit vindt gewoonlijk vier tot acht weken na Stage 1 plaats. Plan Stage 1 dus zo dat Stage 2 valt na minimaal drie maanden aantoonbare werking van het ISMS.
Telt bewijs van vóór de formele ISMS-startdatum mee? Gedeeltelijk. Als je kunt aantonen dat bepaalde procedures al voor de formele ISMS-implementatie bestonden en consistent werden gevolgd, kan een auditor dit meewegen. Maar de formele ISMS-start — vastgelegd in het informatiebeveiligingsbeleid — is doorgaans het startpunt van de officiële bewijsperiode.
De bewijsperiode is geen bureaucratische hindernis, maar de kern van wat ISO 27001 probeert te bereiken: een beveiligingssysteem dat daadwerkelijk werkt en aantoonbaar wordt onderhouden. Wie van meet af aan bewijs stelselmatig verzamelt, heeft bij de externe audit geen enkel probleem.
Klaar om te starten? Control One begeleidt je door het hele implementatieproces.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.