Ga naar de hoofdinhoud
Support Neem contact op

ISO 27001 audit: voorbereiding op je certificering

De ISO 27001-certificeringsaudit is geen verrassing als je goed bent voorbereid. BLOKES IT begeleidt MKB en middelgrote organisaties richting de externe audit: documentatie op orde, processen die werken in de praktijk en duidelijkheid over wat de auditor wil zien. Zelf zijn we ook ISO 27001-gecertificeerd, dus we kennen het traject uit eerstehandservaring. Of je nu 30 of 300 gebruikers hebt.

  • Voorbereiding op de externe ISO 27001-audit, Stage 1 en Stage 2
  • Documentatie en processen die in de praktijk werken, niet alleen op papier
  • Zelf ISO 27001-gecertificeerd, eigen Private Cage in een Tier 3-datacenter in Nederland
  • BLOKES IT is ISO 27001 gecertificeerd
ISO 27001 audit voorbereiding door BLOKES IT, certificeringsbegeleiding voor MKB en middelgrote organisaties

ISO 27001 wordt soms uitgelegd als 'beleid maken en certificeren'. In de praktijk is het andersom. De auditor toetst niet alleen of beleid bestaat, maar of het beleid wordt uitgevoerd en hoe je dat kunt aantonen. Een keurig handboek zonder bijbehorende bewijsvoering haalt de Stage 2-audit niet.

BLOKES IT bereidt je voor op precies dat: niet alleen op papier kloppen, maar in de praktijk werken.

Rolverdeling rond ISO 27001-traject, BLOKES IT als IT-partner naast certificerende instantie

ISO 27001: hoe het auditproces werkt

ISO 27001 is de internationale standaard voor informatiebeveiliging. Certificering betekent dat een geaccrediteerde, onafhankelijke certificerende instantie toetst of je organisatie aantoonbaar voldoet aan de standaard. Dat gebeurt in twee stappen.

In de Stage 1-audit beoordeelt de auditor of de documentatie volledig is: de scope (Statement of Applicability), het beleid, de risicoanalyse en de bijbehorende procedures. Vindt de auditor grote gaten, dan kan Stage 2 worden uitgesteld.

In de Stage 2-audit toetst de auditor de werking. Worden de processen daadwerkelijk uitgevoerd? Houden mensen zich aan de afspraken? Is er bewijs (logs, registers, rapportages, notulen)? Pas daarna volgt het certificaat.

Na certificering volgen jaarlijkse surveillance-audits en elke drie jaar een volledige hercertificering. Het is dus geen eenmalig project, maar een ritme dat onderdeel wordt van het beheer.

ISO 27001 voorbereiding door BLOKES IT, mock-interviews en proces-verificatie

Wat BLOKES IT wel én niet doet

Rond een ISO 27001-traject zijn meerdere partijen actief: de interne projectleider, de certificerende instantie, soms een gespecialiseerde ISO-consultant en BLOKES IT als IT-partner. Eerlijk over de rolverdeling zijn helpt voorkomen dat verwachtingen schuiven.

Wat we wel doen:

  • Voorbereiding op de externe Stage 1- en Stage 2-audit
  • Documentatie- en proceswerk: aansluiten op de norm, op orde brengen, bijwerken
  • Mock-interviews en pre-audit-checks met sleutelmedewerkers
  • Coaching tijdens de audit-week zelf, als sparring partner naast de organisatie

Wat we niet doen:

  • De externe certificeringsaudit zelf (die moet worden uitgevoerd door een geaccrediteerde certificerende instantie, niet door je IT-partner)
  • Interne audits als losse dienst (clausule 9.2 vraagt om onafhankelijkheid, dat regel je via een eigen ISMS-coördinator of een gespecialiseerd auditbureau)
  • ISMS van scratch opzetten (we komen in beeld wanneer er al een werkend ISMS draait en de externe certificering in zicht komt)

Voor organisaties die nog helemaal aan het begin staan, kunnen we doorverwijzen naar gespecialiseerde ISO-implementatiepartners.

 

Microsoft Teams en SharePoint documentbeheer – BLOKES IT inrichting en beheer

Voorbereiding op de externe audit

De voorbereiding van BLOKES IT richt zich op drie vragen. Heeft je documentatie de juiste structuur? Werken je processen ook echt in de dagelijkse praktijk? En heb je de bewijsvoering die de auditor verwacht?

Concreet betekent dat:

  • Documentatie-review op de norm: scope, Statement of Applicability, risicoanalyse, beleid, procedures
  • Proces-verificatie: meelopen in de praktijk en checken of het beleid daadwerkelijk wordt gevolgd
  • Bewijslast-overzicht: zijn logs, registers, management reviews en notulen van het juiste niveau aanwezig
  • Mock-interviews met sleutelmedewerkers, zodat ze weten welk type vragen de auditor stelt
  • Tijdlijn richting de geplande audit-datum, met heldere mijlpalen

Voor de meeste organisaties is dit een traject van twee tot drie maanden, gerekend vanaf het moment dat het ISMS staat. Bij meerdere locaties of een complexere omgeving wordt het langer.

ISO 27001 audit-proces, Stage 1 en Stage 2 audits door geaccrediteerde certificerende instantie

Wat een ISO 27001-traject realistisch kost

De vraag 'wat kost ISO 27001' is lastig direct te beantwoorden, omdat er meerdere kostenposten meespelen. Een eerlijk beeld helpt om verkeerde verwachtingen te voorkomen.

De externe certificeringsaudit zelf wordt berekend door de geaccrediteerde certificerende instantie, op basis van het aantal audit-dagen. Het aantal dagen hangt af van de scope en de omvang van de organisatie: voor een MKB met 30 tot 60 medewerkers zijn dat doorgaans drie tot vijf dagen, voor een grotere organisatie met meerdere locaties kan dat oplopen tot tien dagen of meer. De tarieven per audit-dag verschillen per certificerende instantie.

Voor de voorbereiding door BLOKES IT geldt hetzelfde principe: het werk schaalt mee met de scope en de uitgangssituatie. Een organisatie die al een werkend ISMS heeft maar de bewijslast wil aanscherpen, is sneller klaar dan een organisatie waar de processen op papier en in de praktijk uit elkaar lopen.

Tijdens een adviesgesprek krijg je een realistische inschatting voor jouw situatie, voordat er iets wordt vastgelegd.

BLOKES IT datacenter engineer Peter – beheer van IT-infrastructuur

ISO 27001 als onderdeel van het bredere security-beheer

ISO 27001 staat niet los van andere security-eisen. NIS2 leunt zwaar op dezelfde governance- en risicobeheerprincipes, en klanten en partners stellen ISO 27001 steeds vaker als voorwaarde in contracten. Een ISMS dat alleen voor de certificering wordt onderhouden, is een dure formaliteit. Een ISMS dat verankerd is in het dagelijks beheer, levert daadwerkelijke risicoreductie.

Daar zit de meerwaarde van BLOKES IT als IT-partner. We zijn niet alleen actief tijdens de voorbereiding op de audit, maar beheren ook de IT-omgeving die de basis vormt voor het ISMS. Werkplek, netwerk, datacenter en security in één hand, met audit-bestendige documentatie als onderdeel van het beheer. Datacapaciteit en hosting draaien daarbij in onze eigen Private Cage in een Tier 3-datacenter in Nederland.

Engineers van BLOKES IT komen op locatie in de Drechtsteden, Rijnmond en de bredere regio rond Zwijndrecht. Dat helpt wanneer proces-verificatie of pre-audit-checks fysiek op de werkvloer moeten gebeuren.

Veelgestelde vragen over ISO 27001

Wat is het verschil tussen een interne en externe ISO 27001-audit?

De interne audit (clausule 9.2 van ISO 27001) wordt uitgevoerd door of namens de organisatie zelf, met de eis dat de auditor onafhankelijk is van het onderdeel dat wordt geaudit. Doel: het ISMS van binnenuit verbeteren. De externe audit wordt uitgevoerd door een geaccrediteerde certificerende instantie en leidt tot het certificaat. Beide audits zijn verplicht voor ISO 27001-certificering, maar hebben een ander doel en een andere auditor.

Kunnen jullie de interne audit voor ons doen?

Nee, de interne audit doen we bewust niet. ISO 27001 vraagt om onafhankelijkheid van de interne auditor. Omdat BLOKES IT betrokken is bij het beheer en de voorbereiding, kunnen we niet tegelijk de onafhankelijke interne auditor zijn. We adviseren om de interne audit via een eigen ISMS-coördinator of een gespecialiseerd auditbureau te laten doen. BLOKES IT begeleidt vervolgens de voorbereiding op de externe certificeringsaudit.

Wat kost een ISO 27001-traject globaal?

De totale kosten bestaan uit drie componenten: interne tijdsinvestering van je eigen organisatie, de externe certificerende instantie (aantal audit-dagen vermenigvuldigd met hun dagtarief), en optioneel de voorbereiding door BLOKES IT. We geven geen vaste prijslijst omdat scope en uitgangssituatie sterk verschillen per organisatie. Tijdens een adviesgesprek geven we een realistische inschatting voor jouw situatie.

Hoe lang duurt een traject van start tot certificaat?

Voor een organisatie die al een werkend ISMS heeft en alleen naar de externe audit toe wil werken, zijn voorbereiding en audit gemiddeld in drie tot zes maanden afgerond. Voor een organisatie die nog niet eerder met ISO 27001 heeft gewerkt en eerst het ISMS moet opbouwen, is een traject van twaalf tot achttien maanden realistisch. BLOKES IT komt in beeld wanneer het ISMS al draait en de externe audit in zicht is.

Wat is het verschil tussen ISO 27001 en NIS2?

ISO 27001 is een vrijwillige internationale standaard voor informatiebeveiliging, waarvoor je wordt gecertificeerd door een geaccrediteerde instantie. NIS2 is Europese wetgeving (in Nederland: de Cyberbeveiligingswet) waar bepaalde organisaties verplicht aan moeten voldoen, zonder formele certificering maar wel onder toezicht. Inhoudelijk is er veel overlap. ISO 27001 dekt een belangrijk deel van de NIS2-zorgplichten. Wat NIS2 specifiek extra vraagt: meldplicht binnen 24 uur na waarneming, ketenveiligheid en persoonlijke aansprakelijkheid van bestuurders.

We hebben een ISMS draaien, kunnen jullie ons direct begeleiden naar de externe audit?

Ja, dat is precies de situatie waarin we het meest toevoegen. We starten met een review van de huidige documentatie en processen, brengen in kaart welke bewijslast nog ontbreekt en stellen een tijdlijn op richting de externe audit. Het vraagt geen herontwerp van je ISMS, wel gerichte voorbereiding op wat de auditor in Stage 1 en Stage 2 zal toetsen.

ICT-consultant BLOKES IT voor een vrijblijvende kennismaking over managed IT-dienstverlening

Klaar voor je ISO 27001-audit?

In een ISO 27001-adviesgesprek bekijken we waar je staat, welke voorbereiding nodig is en wat een realistische tijdlijn is richting je externe audit, afgestemd op de scope en omvang van je organisatie.

Plan een ISO 27001-adviesgesprek