Het moment dat veel organisaties tegelijkertijd met spanning en trots tegemoetzien: de externe certificeringsaudit voor ISO 27001. Na maanden van voorbereiding, risicoanalyses, beleidsschrijven en interne audits beoordeelt een onafhankelijke certificeringsinstelling of je ISMS voldoet aan de norm. De audit verloopt in twee fasen — Stage 1 en Stage 2 — en elke fase heeft een eigen doel en aanpak.
In dit artikel lees je precies wat je kunt verwachten, hoe je zich voorbereidt en welke valkuilen je kunt vermijden.
Wat is een certificeringsinstelling en hoe kies je er een?
Een certificeringsinstelling (ook wel: notified body of CB — Certification Body) is een geaccrediteerde organisatie die bevoegd is ISO 27001-certificaten uit te geven. In Nederland zijn bekende instellingen onder andere DNV, Bureau Veritas, Lloyd’s Register en SGS.
Kies een instelling die:
- Geaccrediteerd is door de Raad voor Accreditatie (RvA) of een equivalent Europees accreditatieorgaan
- Ervaring heeft in je sector
- Past bij je organisatieomvang (veel grote instellingen zijn ook goed in staat MKB te bedienen)
Vraag offertes op bij meerdere instellingen en vergelijk niet alleen de prijs, maar ook de aanpak, beschikbaarheid en communicatiestijl van de auditors.
Stage 1: de documentatiereview
De Stage 1-audit is een documentatiegerichte beoordeling. De auditor beoordeelt of je ISMS op papier voldoet aan de eisen van ISO 27001 en of je klaar bent voor de Stage 2. Dit gebeurt doorgaans op afstand (remote), soms gecombineerd met een korte locatiebezoek.
Wat de auditor tijdens Stage 1 beoordeelt:
| Document | Wat wordt getoetst |
|---|---|
| ISMS-scope | Is de scope duidelijk en realistisch afgebakend? |
| Informatiebeveiligingsbeleid | Ondertekend door directie, actueel, passend bij organisatie? |
| Risicobeoordelingsmethodologie | Herhaalbaar en gedocumenteerd proces? |
| Risicobeoordeling en risicobehandelplan | Volledig en up-to-date? |
| Statement of Applicability (SoA) | Alle 93 controls beoordeeld, keuzes gemotiveerd? |
| Interne auditrapportage | Is er een interne audit uitgevoerd? |
| Directiebeoordeling | Is de management review gedocumenteerd? |
| Doelstellingen informatiebeveiliging | Meetbaar, gedocumenteerd en gevolgd? |
Na Stage 1 ontvang je een rapport met bevindingen. Eventuele aandachtspunten (observations) of minor nonconformities moet je voor Stage 2 hebben aangepakt. Major nonconformities leiden ertoe dat Stage 2 wordt uitgesteld.
Tip: Zorg dat je Statement of Applicability niet alleen aangeeft welke controls van toepassing zijn, maar ook een heldere motivering bevat waarom bepaalde controls zijn uitgesloten. Een auditor wil begrijpen waarom iets niet relevant is voor je organisatie — niet alleen horen dát het niet relevant is.
Stage 2: de implementatieaudit
De Stage 2-audit is intensiever en vindt altijd op locatie plaats. De auditor beoordeelt nu of wat je op papier heeft beschreven ook daadwerkelijk in de praktijk wordt uitgevoerd. Dit is het echte moment van de waarheid.
Wat kun je verwachten?
Tijdens Stage 2 interviewt de auditor medewerkers op verschillende niveaus — van directie tot operationele medewerkers. De auditor wil bewijzen (evidences) zien dat controls werkelijk worden toegepast:
- Logbestanden die aantonen dat toegangsreviews plaatsvinden
- Trainingsregistraties van bewustwordingsprogramma’s
- Incidentregistraties en afhandeling
- Schermopnames of systeemdemonstraties van technische controls
- Ondertekende beleidsdocumenten
Hoe verloopt een gemiddelde auditdag?
Een typische Stage 2-dag verloopt als volgt:
- Openingsvergadering: introductie auditors, bevestiging scope en agenda
- Documentencheck: aanvullende verificatie van ISMS-documenten
- Interviews: met management, IT, HR en operationele medewerkers
- Observaties: auditor bekijkt systemen, werkplekken, serverruimtes
- Interne bespreking auditors: zonder je aanwezigheid
- Sluitingsvergadering: mondelinge terugkoppeling met bevindingen
Soorten bevindingen en wat ze betekenen
Auditors hanteren een standaard classificatie voor bevindingen:
| Type bevinding | Omschrijving | Consequentie |
|---|---|---|
| Major nonconformity | Serieuze tekortkoming, systeem voldoet fundamenteel niet | Geen certificaat; hercorrectie vereist |
| Minor nonconformity | Beperkte afwijking, geen systeemfalen | Certificaat mogelijk na goedgekeurd actieplan |
| Observation | Aandachtspunt, geen formele nonconformity | Ter verbetering; geen verplichte actie |
| Opportunity for improvement | Suggestie van auditor | Geen verplichting |
Bij een minor nonconformity krijg je doorgaans 30 tot 90 dagen om een corrigerende maatregel te implementeren en te bewijzen. Bij een major nonconformity wordt de audit in een later stadium opnieuw uitgevoerd.
Veelgemaakte fouten voor en tijdens de audit
De meest voorkomende redenen voor nonconformities bij MKB-organisaties:
- Statement of Applicability niet volledig: niet alle 93 controls zijn beoordeeld
- Interne audit te oppervlakkig of te recent: de audit moet voldoende diepgang hebben
- Directiebeoordeling ontbreekt: management review moet gedocumenteerd zijn
- Medewerkers kennen het beleid niet: training is aantoonbaar vereist
- Incidentregistratie is leeg: ook kleine incidenten moeten worden geregistreerd
Na de audit: het certificaat en wat daarna komt
Zijn er geen (of opgeloste) nonconformities, dan geeft de certificeringsinstelling een ISO 27001-certificaat uit met een geldigheidsduur van drie jaar. Gedurende deze drie jaar vinden jaarlijkse surveillance-audits plaats om te controleren of je het systeem blijft onderhouden. Meer hierover lees je in ons artikel over de ISO 27001 surveillance-audit.
Veelgestelde vragen
Hoe lang duurt een Stage 2-audit voor een MKB-bedrijf? Voor organisaties van 10 tot 50 medewerkers rekent je gemiddeld op 1 tot 2 auditdagen. Voor grotere MKB-organisaties (tot 250 medewerkers) kan dit oplopen tot 3 tot 5 dagen, afhankelijk van de complexiteit van je ISMS en het aantal locaties.
Mag ik zelf kiezen welke medewerkers de auditor spreekt? Je kunt suggesties doen, maar de auditor bepaalt uiteindelijk zelf met wie hij of zij spreekt. Zorg daarom dat ál je medewerkers op hoofdlijnen weten wat het informatiebeveiligingsbeleid inhoudt en wat hun rol daarin is.
Wat als ik de audit niet haal? Dat is vervelend maar niet het einde. Afhankelijk van de bevindingen kun je de nonconformities herstellen en een aanvullende audit aanvragen, of in het uiterste geval het hele Stage 2-proces opnieuw doorlopen. De meeste organisaties die zich goed hebben voorbereid, halen de audit op de eerste poging.
Wil je gestructureerd toewerken naar een succesvolle ISO 27001-certificering, zonder dure consultants? Bekijk op onze prijzenpagina hoe Control One je door het hele traject — van voorbereiding tot certificaat — begeleidt.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.