ISO 27001 Audit Voorbereiden: Praktische Checklist - Kennisbank

Samenvatting

Een goede voorbereiding is het halve werk bij een ISO 27001 audit. Dit artikel geeft je een praktische checklist en insider-tips vanuit het perspectief van een lead auditor, zodat je audit een "walk in the park" wordt.

Wat verwacht een auditor?

Een ISO 27001 auditor beoordeelt of je Information Security Management System (ISMS) voldoet aan de eisen van de norm. Belangrijk: de auditor kijkt niet alleen naar papieren documentatie, maar vooral naar hoe je systeem in de praktijk werkt.

Een ervaren auditor kijkt naar drie dingen: zeg wat je doet (beleid en procedures), doe wat je zegt (implementatie en naleving), en bewijs dat je het doet (registraties en bewijs).

De audit checklist

Gebruik deze checklist om je voor te bereiden op je ISO 27001 audit:

1. ISMS Documentatie

☐ ISMS scope document is actueel en goedgekeurd door directie

☐ Informatiebeveiligingsbeleid is ondertekend en gecommuniceerd

☐ Verklaring van Toepasselijkheid (VVT/SoA) is compleet en actueel

☐ Rollen en verantwoordelijkheden zijn gedocumenteerd en toegewezen

2. Risicobeoordeling

☐ Risicobeoordeling is recent uitgevoerd (niet ouder dan 12 maanden)

☐ Risicobehandelplan is opgesteld met concrete maatregelen

☐ Criteria voor risicoacceptatie zijn vastgesteld en goedgekeurd

☐ Geaccepteerde risico's zijn gedocumenteerd met onderbouwing

3. Operationele bewijsvoering

☐ Interne audit is uitgevoerd en bevindingen zijn opgevolgd

☐ Management review is gehouden en gedocumenteerd

☐ Incidenten zijn geregistreerd en afgehandeld

☐ Corrigerende maatregelen zijn gedocumenteerd en geverifieerd

☐ Bewustzijnstraining is aantoonbaar uitgevoerd

4. Directiebetrokkenheid

☐ Directie kan het informatiebeveiligingsbeleid toelichten

☐ Budget en middelen zijn beschikbaar gesteld

☐ Doelstellingen voor informatiebeveiliging zijn vastgesteld

Tips van een lead auditor

Tip 1: Wees eerlijk

Probeer niet om zaken mooier voor te stellen dan ze zijn. Auditors waarderen eerlijkheid en zien snel door een facade heen. Als iets nog niet op orde is, laat zien dat je een plan hebt om het te verbeteren.

Tip 2: Laat zien dat het leeft

Een ISMS dat alleen uit documenten bestaat, overtuigt niet. Laat zien dat medewerkers de procedures kennen, dat risico's actief worden beheerd en dat je managementsysteem echt wordt gebruikt in de dagelijkse praktijk.

Tip 3: Bereid je medewerkers voor

Auditors praten niet alleen met de ISMS-verantwoordelijke. Zorg dat ook andere medewerkers weten wat het informatiebeveiligingsbeleid inhoudt en hoe ze moeten handelen bij incidenten.

Tip 4: Doe een interne audit

Voer voorafgaand aan de externe audit een grondige interne audit uit. Dit helpt je om zwakke plekken te ontdekken en op te lossen voordat de externe auditor ze vindt.

Tip 5: Houd je dashboard up-to-date

Zorg dat je compliance dashboard actueel is. Een tool zoals ComplianceGuard geeft je in een oogopslag inzicht in je status en toont de auditor dat je continu in controle bent.

Veelgemaakte fouten

Te veel documentatie - Liever een compact, werkend systeem dan een overdaad aan beleidsdocumenten die niemand leest
Verouderde risicobeoordeling - Zorg dat je risicobeoordeling niet ouder is dan 12 maanden
Geen bewijs van werking - Log activiteiten, bewaar registraties en zorg voor aantoonbaarheid
Directie niet betrokken - ISO 27001 vereist aantoonbaar commitment van de top
Paniekvoorbereiding - Begin niet pas twee weken voor de audit. Een goed ISMS draai je het hele jaar

Altijd audit-ready met ComplianceGuard

ComplianceGuard houdt je ISMS continu up-to-date met een overzichtelijk dashboard, automatische herinneringen en realtime risico-inzicht. Zo ben je altijd klaar voor de auditor, niet alleen in de weken ervoor.

Vraag een demo aan → Of vraag een interne audit aan →

Je ISO 27001 Audit Voorbereiden