Blog · Voorbereiding

Hoe bereid je je voor op een ISO 27001 audit?

Een ISO 27001 audit voorbereiden draait om aantoonbaarheid. Zorg dat scope, risicoanalyse en Statement of Applicability actueel en consistent zijn, dat beleid leeft op de werkvloer, en dat interne audit, management review en verbeteracties zijn uitgevoerd én vastgelegd. Onderstaand stappenplan brengt u stap voor stap naar audit-ready.

Vraag een audit-scan aan

Het stappenplan

Scope vaststellen — wat valt binnen het ISMS?
Risicoanalyse actualiseren — risico's, eigenaren, behandelplan.
Statement of Applicability — koppel risico's aan Annex A-maatregelen.
Beleid & bewustwording — zorg dat medewerkers het kennen en toepassen.
Interne audit — laat deze onafhankelijk uitvoeren.
Management review — directie beoordeelt en stuurt bij.
Verbeteracties — corrigeer afwijkingen en leg bewijs vast.

Het ISO 27001 auditproces in vijf stappen: scope bepalen, documentreview, interviews en steekproeven, bevindingenrapport, verbeterplan en follow-up — Het auditproces in 5 stappen.

Veelgemaakte fouten

SoA die niet aansluit op de risicoanalyse.
Beleid dat niet leeft buiten de map.
Management review die alleen op papier bestaat.
Verbeteracties zonder opvolging.

Een gap-analyse spoort deze hiaten vroeg op.

ISO/IEC 27001 — officiële normpagina (officiële bron).

FAQ

Veelgestelde vragen

Korte, directe antwoorden — geschreven voor mensen én voor AI-zoekfuncties.

Hoe lang duurt de voorbereiding op een ISO 27001 audit?

Voor een organisatie die bij nul begint, duurt het opzetten van een werkend ISMS doorgaans 3 tot 9 maanden. Heeft u al veel maatregelen, dan kan voorbereiding op de audit in enkele weken tot maanden. Een gap-analyse geeft u een realistische planning.

Wat is het belangrijkste voorbereidingsdocument?

De Statement of Applicability (SoA), omdat die uw risico's koppelt aan de beheersmaatregelen en de kern vormt van de audit. Daarnaast zijn de risicobeoordeling, het beleid en de bewijzen van interne audit en management review cruciaal.

Moet ik een interne audit doen vóór de certificatieaudit?

Ja. ISO 27001 vereist minimaal één interne audit en één management review voordat u voor certificering gaat. Deze leveren bovendien het bewijs dat uw verbetercyclus werkt — precies wat de externe auditor wil zien.

Kan ik de voorbereiding uitbesteden?

Ja. U kunt de gap-analyse, interne audit en pre-audit laten uitvoeren door een onafhankelijke partij. De implementatie zelf en de eindverantwoordelijkheid blijven bij uw organisatie.

Gerelateerd