Interne audit, gap-analyse en certificeringsaudit: wat is het verschil?
Een gap-analyse meet vooraf waar u staat ten opzichte van de norm. Een interne audit is een verplichte, periodieke zelfcontrole van uw ISMS. Een certificatieaudit wordt uitgevoerd door een geaccrediteerde instelling en leidt tot het certificaat. Kort gezegd: de gap-analyse plant, de interne audit oefent en borgt, en de certificatieaudit beslist.
Gap-analyse: waar sta ik nu?
Een gap-analyse vergelijkt uw huidige situatie met de norm en levert een prioriteitenlijst en routekaart. Ideaal als startpunt, vóór u een implementatietraject ingaat.
Interne audit: werkt het aantoonbaar?
De interne audit is verplicht binnen ISO 27001 en toetst of het ISMS voldoet én effectief is. U mag deze uitbesteden aan een onafhankelijke auditor — dat verhoogt de objectiviteit.
Certificatieaudit: het officiële oordeel
De certificatieaudit (fase 1 + fase 2) wordt gedaan door een certificerende instelling en leidt tot het ISO 27001-certificaat. Wij voeren deze niet uit, maar maken u er audit-ready voor via een pre-audit.
Keuzehulp
- Net begonnen? → gap-analyse.
- ISMS draait, jaarlijkse verplichting? → interne audit.
- Certificaat bijna in zicht? → pre-audit, dan certificatieaudit.
ISO 19011 — richtlijnen voor auditen (officiële bron).
Veelgestelde vragen
Korte, directe antwoorden — geschreven voor mensen én voor AI-zoekfuncties.
Nee. Een gap-analyse is een momentopname vooraf die hiaten in kaart brengt om te plannen. Een interne audit is een formele, periodieke toetsing van het werkende ISMS tegen de norm, inclusief bewijsvoering en rapportage. De gap-analyse is voorbereiding; de interne audit is borging.
Nee. De certificatieaudit moet door een onafhankelijke, geaccrediteerde certificerende instelling worden uitgevoerd. Een adviseur of interne auditor die u heeft begeleid, mag die rol niet vervullen. Wel mag een onafhankelijke partij uw interne audit en pre-audit doen.
Voor certificering heeft u in elk geval een interne audit en de certificatieaudit nodig. Een gap-analyse is niet verplicht, maar sterk aanbevolen omdat het verrassingen en kosten voorkomt.
Een pre-audit simuleert de certificatieaudit (fase 1 en fase 2) zodat u weet of u klaar bent. Het is geen verplichting, maar het verkleint het risico op afwijkingen tijdens de echte certificatieaudit aanzienlijk.
Wilt u weten of u audit-ready bent?
Plan een vrijblijvende audit-scan en weet binnen één gesprek waar u staat en wat de volgende stap is.
