ISO 27001 pre-audit
Een ISO 27001 pre-audit is een proefaudit: een onafhankelijke auditor doorloopt vóór de officiële certificatieaudit uw volledige ISMS alsof het de echte audit is. U ziet exact welke afwijkingen er nog liggen, hoe ernstig ze zijn en wat u moet doen om ze op te lossen — zónder dat het uw certificaat kost. Het is de generale repetitie die verrassingen op de auditdag wegneemt.
Wat is een ISO 27001 pre-audit?
Een ISO 27001 pre-audit — ook wel proefaudit of audit-readiness check genoemd — is een volledige droogoefening van de certificatieaudit. Een onafhankelijke auditor toetst uw informatiebeveiligingsmanagementsysteem (ISMS) tegen de eisen van ISO/IEC 27001: van context en scope, de risicobeoordeling en de Statement of Applicability tot de werking van de beheersmaatregelen, de interne audit en de management review. Het cruciale verschil met de echte audit: aan een pre-audit hangt géén certificaat en géén formele non-conformiteit. U krijgt dezelfde kritische blik, maar in een veilige setting waarin fouten nog gratis zijn. Zo weet u, voordat de certificerende instelling langskomt, of u écht audit-ready bent of dat er nog werk aan de winkel is.
Waarom een pre-audit doen?
De certificatieaudit is duur, formeel en onverbiddelijk: een majeure afwijking kan uw certificaat uitstellen of blokkeren. Een pre-audit haalt dat risico naar voren. Ten eerste voorkomt u verrassingen op de auditdag — u weet vooraf wat de auditor gaat zien en waar het wringt. Ten tweede ruimt u non-conformiteiten vroeg op, op een moment dat correcties nog goedkoop en zonder tijdsdruk zijn, in plaats van in een paniekerige hersteltermijn ná de echte audit. Ten derde levert het een realistische planning op: u baseert uw certificeringsdatum op feiten, niet op hoop. En misschien wel het belangrijkste: een pre-audit traint uw team. Mensen die de auditdag al één keer hebben meegemaakt, presteren rustiger en overtuigender tijdens de echte audit.
Wat u krijgt: rapport, ernst en remediatieplan
Na de pre-audit ontvangt u een helder rapport — geen vinklijst, maar een werkbaar document. Elke bevinding is benoemd, onderbouwd met bewijs of het ontbreken daarvan, en gekoppeld aan de relevante eis uit de norm. Belangrijker nog: elke bevinding krijgt een ernstclassificatie. We onderscheiden majeure afwijkingen (die uw certificaat in gevaar brengen), mineure afwijkingen (die binnen een termijn opgelost moeten worden) en observaties of verbeterkansen. Daarbovenop leveren we een remediatieplan: per bevinding een concrete actie, een verantwoordelijke en een prioriteit, zodat uw team meteen aan de slag kan met wat er echt toe doet. Geen 200 losse opmerkingen, maar een geprioriteerde route naar een schone certificatieaudit.
Pre-audit vs interne audit vs certificatieaudit
Deze drie worden vaak verward, maar dienen elk een eigen doel. De interne audit is een verplichte eis van ISO 27001 (clausule 9.2): u moet uw eigen ISMS periodiek en onafhankelijk toetsen. Het is uw eigen kwaliteitsborging en levert verplicht auditbewijs op. De pre-audit is niet verplicht maar wel verstandig: het bootst de certificatieaudit na om u te laten zien of u klaar bent voor het echte werk — het is een readiness-test, geen formele eis. De certificatieaudit ten slotte wordt uitgevoerd door een geaccrediteerde certificerende instelling (CB) en leidt — bij succes — tot het officiële ISO 27001-certificaat. Kort gezegd: de interne audit is iets wat u móét doen, de pre-audit is iets wat u slim doet om de derde — de certificatieaudit — vlekkeloos door te komen.
Het proces in stappen + voor wie
Een pre-audit bij Secrotec verloopt in vier stappen. 1) Scope en planning — we stemmen af welke onderdelen en locaties in scope zijn en plannen de auditdag(en). 2) Documentreview — we beoordelen vooraf beleid, risicobeoordeling, SoA en records. 3) Audit op locatie of remote — via interviews en steekproeven toetsen we de werkelijke werking, precies zoals de CB dat zou doen. 4) Rapportage en debrief — u krijgt het bevindingenrapport met ernst en remediatieplan, plus een gesprek om de prioriteiten door te nemen. Een pre-audit is bij uitstek geschikt voor organisaties die voor het eerst gaan certificeren, voor teams die kort voor hun stage 2-audit staan, en voor bedrijven die na een gap-analyse en het opbouwen van hun ISMS zekerheid willen vóór de echte audit. Combineer de pre-audit gerust met een onafhankelijke interne audit, of laat hem uitvoeren door onze ISO 27001 Lead Auditor. Meer over het volledige traject leest u op onze pagina over de ISO 27001 audit.
Veelgestelde vragen
Korte, directe antwoorden op de meestgestelde vragen.
Een gap-analyse meet vroeg in het traject het verschil tussen uw huidige situatie en de norm, vaak voordat het ISMS af is. Een pre-audit komt later: het is een complete generale repetitie van de certificatieaudit, uitgevoerd alsof het de echte audit is, inclusief interviews en steekproeven op de werking. De gap-analyse vertelt u wat u moet bouwen; de pre-audit toetst of wat u gebouwd heeft de certificatieaudit doorstaat.
Nee, een pre-audit is niet verplicht. ISO 27001 vereist wél een interne audit (clausule 9.2) en een management review, maar geen pre-audit. Toch kiezen veel organisaties er bewust voor, vooral bij een eerste certificering. Een pre-audit verlaagt het risico op majeure afwijkingen tijdens de echte audit aanzienlijk en geeft een realistische planning — een kleine investering die een mislukte of uitgestelde certificatieaudit voorkomt.
Idealiter enkele weken tot een paar maanden vóór de geplande certificatieaudit (stage 2). Het ISMS moet dan operationeel zijn en al een tijdje draaien, zodat er bewijs van werking is: ingevulde registers, logging, een uitgevoerde interne audit en een management review. Te vroeg en er valt nog weinig te toetsen; te laat en u heeft geen tijd meer om bevindingen weg te werken. Wij helpen u het juiste moment te kiezen.
De kosten hangen af van de scope, het aantal locaties en de omvang van uw organisatie en ISMS. Een gerichte pre-audit voor één scope is beperkter dan een traject voor een grote, multi-site organisatie. Afgezet tegen de kosten en het risico van een uitgestelde of mislukte certificatieaudit is een pre-audit doorgaans een verstandige investering. Vraag een pre-audit aan voor een passende inschatting op maat.
Lees verder
ISO 27001 audit
Het volledige certificeringstraject en auditproces uitgelegd.
ISO 27001 gap-analyse
Zie precies waar u staat ten opzichte van de norm.
Interne audit ISO 27001
Verplichte interne audit, uitbesteed aan een onafhankelijke auditor.
ISO 27001 Lead Auditor inhuren
Onafhankelijke Lead Auditor voor pre-audits en interne audits.
Klaar voor een pre-audit zonder verrassingen?
Plan een ISO 27001 pre-audit en weet vóór de certificatieaudit precies waar u staat, welke afwijkingen u nog moet wegwerken en hoe realistisch uw planning is.
