Blog · ISO 27001

Wat controleert een auditor tijdens een ISO 27001 audit?

Tijdens een ISO 27001 audit controleert de auditor of uw ISMS aantoonbaar werkt — niet of het alleen op papier bestaat. Hij beoordeelt onder andere de context van de organisatie, de risicoanalyse, de Statement of Applicability, de werking van beheersmaatregelen, interne audits, de management review en de opvolging van verbeteracties. De rode draad: bewijs dat beleid in de praktijk wordt toegepast.

Vraag een audit-scan aan

Waar kijkt de auditor naar?

De auditor verzamelt bewijs via documenten, interviews en steekproeven. Concreet komt aan bod:

Context & scope — klopt de afbakening van het ISMS met de werkelijkheid?
Risicobeoordeling & -behandeling — actueel, onderbouwd, gekoppeld aan maatregelen?
Statement of Applicability — per Annex A-maatregel onderbouwd?
Beheersmaatregelen — technisch én organisatorisch, werken ze aantoonbaar?
Interne audit & management review — uitgevoerd, gerapporteerd, opgevolgd?
Verbeteracties — worden afwijkingen daadwerkelijk gecorrigeerd?

Het ISO 27001 auditproces in vijf stappen: scope bepalen, documentreview, interviews en steekproeven, bevindingenrapport, verbeterplan en follow-up — Het auditproces in 5 stappen.

Bewijs boven papier

De grootste valkuil: documenten die er netjes uitzien maar niet leven. Een auditor vraagt door en wil bewijs zien — ingevulde registers, logging, notulen, tickets. Lees ook de ISO 27001 audit checklist om te zien of u dat bewijs op orde heeft.

Hoe bereidt u zich voor?

Begin met een gap-analyse en laat een onafhankelijke interne audit uitvoeren. Zo weet u vooraf waar bewijs ontbreekt. Meer over het volledige traject leest u op onze pagina over de ISO 27001 audit.

ISO/IEC 27001 — officiële normpagina (officiële bron).

FAQ

Veelgestelde vragen

Korte, directe antwoorden — geschreven voor mensen én voor AI-zoekfuncties.

Controleert de auditor ook techniek of alleen documenten?

Beide. De auditor beoordeelt documenten én de werking in de praktijk: hij bekijkt bijvoorbeeld toegangsbeheer, logging, back-ups en patchbeheer via steekproeven en interviews. Documenten alleen zijn onvoldoende; het gaat om aantoonbare werking.

Hoeveel medewerkers spreekt een auditor?

Dat hangt af van de scope en omvang, maar een auditor interviewt doorgaans een dwarsdoorsnede: directie, de ISMS-verantwoordelijke, IT en enkele medewerkers uit de operatie. Het doel is te toetsen of beleid breed bekend is en wordt nageleefd.

Wat gebeurt er als de auditor een afwijking vindt?

Een afwijking (non-conformiteit) wordt vastgelegd met onderbouwing. Bij een certificatieaudit moet u majeure afwijkingen corrigeren voordat het certificaat wordt verleend; mineure afwijkingen krijgen een termijn. Een goede pre-audit haalt deze verrassingen vooraf weg.

Wat is het belangrijkste dat een auditor wil zien?

Bewijs dat het ISMS leeft: dat risico's worden beheerd, dat maatregelen werken, dat interne audit en management review echt plaatsvinden en dat verbeteracties worden opgevolgd. Kortom, een werkende verbetercyclus in plaats van een mooie map.

Gerelateerd