Voor veel organisaties voelt de eerste ISO 27001 audit als een spannend moment. Er is maanden gewerkt aan beleid, risicoanalyses, procedures en bewustwording. Nu komt het moment waarop een onafhankelijke auditor gaat beoordelen of het managementsysteem daadwerkelijk voldoet aan de eisen van de norm. Dat klinkt soms groter dan het is.
Want een goede audit draait niet om strenge controles, lastige vragen of het zoeken naar fouten. Een audit is vooral een manier om vast te stellen of informatiebeveiliging binnen jouw organisatie daadwerkelijk werkt zoals bedoeld. En als je goed voorbereid bent, voelt een audit vaak veel meer als een inhoudelijk gesprek dan als een examen.
Wat beoordeelt een auditor eigenlijk?
Een veelvoorkomende misvatting is dat een ISO 27001 audit vooral draait om documenten.
Natuurlijk kijkt een auditor naar beleid, procedures en registraties. Maar uiteindelijk draait het om iets anders. De centrale vraag is altijd: werkt het managementsysteem in de praktijk?
Met andere woorden: worden risico’s daadwerkelijk beoordeeld? Worden incidenten opgevolgd? Weten medewerkers wat er van hen verwacht wordt? En is informatiebeveiliging zichtbaar onderdeel van de dagelijkse bedrijfsvoering? Een auditor kijkt daarom niet alleen naar wat er op papier staat, maar vooral naar hoe de organisatie werkt.
De audit begint met fase 1
De eerste stap binnen een initiële certificering is de fase 1 audit. Tijdens deze audit beoordeelt de auditor of de basis van het Information Security Management System (ISMS) voldoende staat om door te gaan naar fase 2. Daarbij wordt onder andere gekeken naar de scope van het managementsysteem, de risicoanalyse, de gekozen beheersmaatregelen, interne audits en de management review.
Het doel van fase 1 is niet om een perfecte organisatie aan te treffen.
Het doel is om vast te stellen of het fundament stevig genoeg is om de werking van het systeem te kunnen beoordelen. Wanneer belangrijke onderdelen ontbreken of nog onvoldoende zijn uitgewerkt, wordt dat tijdens fase 1 zichtbaar.
Fase 2 draait om de praktijk
Waar fase 1 vooral kijkt naar de opzet van het managementsysteem, draait fase 2 om de dagelijkse werkelijkheid. Nu wil de auditor zien of processen daadwerkelijk worden uitgevoerd zoals beschreven. Zijn risico’s daadwerkelijk beoordeeld? Worden wijzigingen gecontroleerd? Worden medewerkers bewust gemaakt van informatiebeveiliging? En wordt er gehandeld wanneer zich incidenten voordoen? Dat onderzoekt een auditor door interviews te voeren, registraties te beoordelen en steekproeven uit te voeren. Juist daarom is fase 2 vaak het meest waardevolle onderdeel van het certificeringstraject. Hier wordt zichtbaar of informatiebeveiliging onderdeel is geworden van de organisatie of dat het vooral een papieren exercitie is gebleven.
Welke vragen kun je verwachten?
Veel mensen zijn bang voor lastige auditvragen. In werkelijkheid zijn de meeste vragen verrassend logisch. Een auditor probeert te begrijpen hoe jouw organisatie werkt.
Vragen gaan daarom vaak over dagelijkse processen en verantwoordelijkheden.
Wie beoordeelt risico’s? Wat gebeurt er wanneer zich een beveiligingsincident voordoet? Hoe worden nieuwe medewerkers geïnformeerd over informatiebeveiliging? Hoe wordt gecontroleerd of leveranciers voldoen aan gemaakte afspraken? Een auditor verwacht daarbij niet dat iedere medewerker de volledige ISO 27001 norm uit het hoofd kent.
Wel moet duidelijk zijn dat medewerkers begrijpen welke rol zij hebben binnen het managementsysteem.
Wat als de auditor afwijkingen vindt?
Veel organisaties hopen op een audit zonder bevindingen. Toch is dat niet altijd realistisch en ook niet noodzakelijk. Vrijwel iedere organisatie ontvangt tijdens een audit aandachtspunten of verbeterpunten. Dat hoort bij het proces. Een afwijking betekent niet automatisch dat certificering onmogelijk wordt. Vaak gaat het om onderwerpen die verduidelijkt, verbeterd of beter aantoonbaar gemaakt moeten worden. Juist daarom levert een audit vaak waardevolle inzichten op. Een goede auditor kijkt niet alleen naar wat ontbreekt, maar helpt ook zichtbaar te maken waar risico’s ontstaan en waar processen sterker kunnen worden ingericht.
Waar organisaties zich vaak op verkijken
De meeste problemen ontstaan niet doordat organisaties onvoldoende beleid hebben geschreven. Sterker nog: vaak is er juist meer documentatie aanwezig dan nodig.
De grootste uitdaging zit meestal in de uitvoering. Processen zijn ingericht, maar worden niet consequent gevolgd. Rollen zijn benoemd, maar verantwoordelijkheden blijken in de praktijk niet helemaal duidelijk. Of registraties worden wel bijgehouden, maar niet structureel gecontroleerd.
Daarom is een praktisch werkend managementsysteem bijna altijd sterker dan een uitgebreid systeem dat vooral op papier bestaat.
Een audit is geen examen
Misschien wel het belangrijkste om te onthouden: een ISO 27001 audit is geen examen waarbij iemand probeert fouten te vinden. Een audit is een onafhankelijk toetsmoment.
Het doel is om vast te stellen of jouw organisatie grip heeft op informatiebeveiliging en of risico’s op een gestructureerde manier worden beheerst. Organisaties die een audit op die manier benaderen, ervaren het traject vaak als veel minder spannend dan vooraf gedacht.
Goed voorbereid de audit in?
Twijfel je of jouw organisatie klaar is voor een ISO 27001 audit? Of wil je vooraf inzicht krijgen in mogelijke aandachtspunten? Wij kijken graag met je mee. Praktisch, onafhankelijk en zonder onnodig ingewikkelde compliance-taal. Zo weet je vooraf waar je staat en ga je met vertrouwen de audit tegemoet.