ISO 27001 audit voor organisaties die aantoonbaar compliant willen zijn
Een ISO 27001 audit toetst of uw managementsysteem voor informatiebeveiliging (ISMS) aantoonbaar werkt in de praktijk — niet alleen op papier. Een onafhankelijke auditor beoordeelt de context van de organisatie, risicoanalyse, Statement of Applicability, beheersmaatregelen, interne audit, management review en verbeteracties. U krijgt een helder bevindingenrapport met bewijs, risico's en concrete verbeterpunten. Zo gaat u van losse documenten naar een aantoonbaar werkend ISMS dat klaar is voor de certificeringsaudit.
Wat is een ISO 27001 audit?
Bij een ISO 27001 audit beoordeelt een auditor of uw ISMS voldoet aan ISO/IEC 27001:2022 én of het werkt. Dat gebeurt via documentreview, interviews en steekproeven op bewijs. De auditor volgt de principes van ISO 19011: onafhankelijkheid, een bewijsgebaseerde aanpak en een eerlijke rapportage.
Voor wie is dit bedoeld?
Voor organisaties die ISO 27001 willen behalen, hun certificaat willen behouden, of een onafhankelijke interne audit moeten laten uitvoeren. Ook voor bedrijven die door klanten of een aanbesteding worden gevraagd informatiebeveiliging aantoonbaar te beheersen.
Welke problemen lossen we op?
- Beleid en risicoanalyse die niet aansluiten op de praktijk.
- Een Statement of Applicability die niet onderbouwd is.
- Interne audit en management review die ontbreken of formeel zijn.
- Onzekerheid of u de certificeringsaudit gaat halen.
Onze aanpak in 5 stappen
- Scope bepalen — grenzen, doelen en context van het ISMS.
- Documentreview — beleid, risicoanalyse en SoA tegen de norm.
- Interviews & steekproeven — werkt het beleid aantoonbaar?
- Bevindingenrapport — bewijs, risico's en prioriteiten.
- Verbeterplan & follow-up — concrete acties richting certificering.
Bewijs: wat de auditor wil zien
Een auditor zoekt bewijs dat beleid wordt toegepast: ingevulde risicoregisters, uitgevoerde interne audits, notulen van de management review, logging, toegangsbeoordelingen en opgevolgde verbeteracties. Wij helpen u dit bewijs aantoonbaar en vindbaar te maken.
Wat u krijgt (deliverables)
- Bevindingenrapport met non-conformiteiten en observaties.
- Prioritering op risico en impact.
- Praktisch verbeterplan met planning.
- Advies over de route naar combi-audit of certificering.
ISO/IEC 27001 — officiële normpagina (officiële bron).
Veelgestelde vragen
Korte, directe antwoorden — geschreven voor mensen én voor AI-zoekfuncties.
Een ISO 27001 audit is een onafhankelijke toetsing van uw managementsysteem voor informatiebeveiliging (ISMS). De auditor controleert of u voldoet aan de eisen van ISO/IEC 27001 en, belangrijker nog, of het systeem aantoonbaar werkt. Hij beoordeelt onder andere de context, risicoanalyse, Statement of Applicability, beheersmaatregelen, interne audit en management review. Het resultaat is een rapport met bevindingen, risico's en verbeterpunten.
De auditor controleert of beleid niet alleen bestaat, maar ook wordt toegepast. Concreet kijkt hij naar de scope en context, de risicobeoordeling en -behandeling, de Statement of Applicability, de werking van technische en organisatorische beheersmaatregelen, bewustwording bij medewerkers, interne audits, de management review en de opvolging van verbeteracties. Hij verzamelt bewijs via documenten, interviews en steekproeven in de praktijk.
De kosten hangen af van de scope, het aantal vestigingen, het aantal medewerkers en de volwassenheid van uw ISMS. Een gap-analyse of interne audit is doorgaans beperkter dan een volledig certificeringstraject. De certificaatkosten zelf worden bepaald door de certificerende instelling, niet door ons. Plan een vrijblijvende audit-scan voor een passende inschatting op maat van uw situatie.
Begin met een gap-analyse om te zien waar u staat. Zorg dat de scope helder is, de risicoanalyse actueel en gekoppeld aan de Statement of Applicability, en dat beleid en procedures echt worden gebruikt. Voer minimaal één interne audit en één management review uit en leg verbeteracties vast. Een pre-audit simuleert de echte audit en haalt verrassingen vooraf weg.
Een interne audit is onderdeel van uw eigen ISMS en mag worden uitgevoerd door een onafhankelijke ingehuurde auditor, zolang die niet zijn eigen werk beoordeelt. De certificatieaudit wordt uitgevoerd door een geaccrediteerde certificerende instelling en leidt tot het officiële ISO 27001-certificaat. Een goede interne audit en pre-audit maken die certificatieaudit aanzienlijk soepeler.
De Statement of Applicability is een verplicht document dat per beheersmaatregel uit Annex A (93 maatregelen in ISO 27001:2022) aangeeft of die van toepassing is, met onderbouwing en implementatiestatus. De SoA koppelt uw risico's aan concrete maatregelen en is het hart van elke ISO 27001 audit. Een onvolledige of niet-onderbouwde SoA is een veelvoorkomende oorzaak van bevindingen.
Een implementatie- en certificeringstraject duurt doorgaans 3 tot 9 maanden, afhankelijk van de omvang van de organisatie en hoeveel beheersmaatregelen al aanwezig zijn. Een losse gap-analyse of interne audit is meestal binnen één tot twee weken afgerond, inclusief rapportage. Een gap-analyse vooraf geeft u een realistische planning.
Minimaal jaarlijks, en alle onderdelen van het ISMS moeten binnen de certificeringscyclus van drie jaar aan bod komen. Veel organisaties werken met een auditprogramma waarin onderwerpen door het jaar heen worden gepland op basis van risico en eerdere bevindingen. Wij stellen samen met u een passend auditprogramma op.
Plan een onafhankelijke ISO 27001 audit-scan
Binnen één gesprek weet u of uw ISMS audit-ready is en wat de eerstvolgende stap is.
