9 interne auditchecklist punten voor ISO 27001 naleving

Een interne audit voor ISO 27001 klinkt misschien als een flinke klus, maar met de juiste voorbereiding hoeft dat niet zo te zijn. Of je nu voor het eerst een audit uitvoert of je bestaande aanpak wilt aanscherpen, een gestructureerde checklist helpt je om niets over het hoofd te zien. Hieronder vind je negen concrete checklistpunten waarmee je jouw Information Security Management System (ISMS) grondig en efficiënt doorlicht.

Zo bereid je een ISO 27001-audit succesvol voor

Een goede interne audit begint ruim vóór de auditdatum zelf. Verzamel relevante documentatie, bepaal wie je interviewt en zorg dat alle betrokkenen weten wat er van hen verwacht wordt. Een gestructureerde aanpak voorkomt verrassingen en maakt je bevindingen direct bruikbaar voor verbetering.

Gebruik de volgende negen punten als leidraad voor je interne auditchecklist. Elk punt vertegenwoordigt een kritisch onderdeel van ISO 27001-naleving en helpt je om de volwassenheid van je ISMS objectief te beoordelen.

1: Controleer de scope van het ISMS

De scope is het fundament van je ISMS. Zonder een duidelijk afgebakende scope weet niemand precies welke systemen, processen en locaties onder de ISO 27001-certificering vallen.

Controleer of de scopedocumentatie actueel is en aansluit bij de huidige bedrijfsactiviteiten. Zijn er nieuwe systemen, afdelingen of vestigingen toegevoegd die nog niet in de scope zijn opgenomen? Zijn er juist onderdelen die niet langer relevant zijn?

Besteed ook aandacht aan de grenzen van de scope: welke externe partijen of cloudoplossingen vallen erbuiten, en hoe worden die risico’s dan beheerst? Een te smalle scope kan leiden tot blinde vlekken; een te brede scope maakt beheer onhaalbaar.

2: Beoordeel het risicobeheerproces

Risicobeheer is het hart van ISO 27001. De norm vereist een systematische aanpak voor het identificeren, analyseren en behandelen van informatiebeveiligingsrisico’s.

Controleer of de risicobeoordelingsmethodologie gedocumenteerd is en consistent wordt toegepast. Zijn risico’s regelmatig herbeoordeeld, zeker na organisatorische veranderingen of nieuwe dreigingen? Kijk ook of risicobehandelingsplannen daadwerkelijk zijn uitgevoerd en of de restrisico’s formeel geaccepteerd zijn door het management.

Een veelvoorkomende tekortkoming is dat risicoregisters wel bestaan, maar niet actueel gehouden worden. Controleer de datums van de laatste updates en vraag door op de onderbouwing van risicoscores.

3: Toets de Verklaring van Toepasselijkheid

De Verklaring van Toepasselijkheid (VvT) is een verplicht document binnen ISO 27001 en vormt de brug tussen je risicoanalyse en de gekozen beheersmaatregelen uit Annex A.

Controleer of alle beheersmaatregelen uit ISO 27001 Annex A zijn beoordeeld, met een duidelijke motivatie voor inclusie of uitsluiting. Zijn de opgenomen maatregelen daadwerkelijk geïmplementeerd, of staan ze alleen op papier?

Vergelijk de VvT met de actuele risicobehandeling: zijn er nieuwe risico’s geïdentificeerd waarvoor nog geen maatregel is opgenomen? De VvT moet een levend document zijn, geen eenmalige exercitie.

4: Controleer beleid en procedures op actualiteit

Verouderd beleid is een van de meest voorkomende bevindingen bij ISO 27001-audits. Beleidsdocumenten die niet meer aansluiten bij de praktijk ondermijnen de geloofwaardigheid van je ISMS.

Loop de volgende documenten na en controleer of ze zijn goedgekeurd, gepubliceerd en daadwerkelijk gevolgd worden:

• Informatiebeveiligingsbeleid
• Acceptabel gebruiksbeleid
• Toegangsbeheerbeleid
• Incidentresponsprocedure
• Classificatiebeleid voor informatie

Controleer ook of er een formeel reviewproces is ingericht, met vaste reviewmomenten en een eigenaar per document. Beleid zonder eigenaar raakt snel verouderd.

5: Evalueer bewustwording en training van medewerkers

Technische maatregelen zijn slechts zo sterk als de mensen die ermee werken. ISO 27001 vereist dat medewerkers zich bewust zijn van hun rol in informatiebeveiliging en de risico’s die daarbij horen.

Controleer of er een bewustwordingsprogramma actief is en of alle medewerkers relevante trainingen hebben gevolgd. Zijn er registraties van wie welke training heeft afgerond? Hoe worden nieuwe medewerkers onboarded op het gebied van informatiebeveiliging?

Vraag ook naar de effectiviteit: worden medewerkers getest via phishingsimulaties of andere oefeningen? Bewustwording is geen eenmalige actie, maar een continu proces dat regelmatig geëvalueerd moet worden.

6: Onderzoek incident- en afwijkingsbeheer

Een volwassen ISMS erkent dat incidenten en afwijkingen onvermijdelijk zijn. De kwaliteit van je incidentbeheer zegt veel over de operationele rijpheid van je informatiebeveiliging.

Controleer of er een gedocumenteerde incidentresponsprocedure is en of deze in de praktijk gevolgd wordt. Zijn recente incidenten geregistreerd, geanalyseerd en afgehandeld? Zijn er verbetermaatregelen getroffen naar aanleiding van eerdere incidenten?

Kijk ook naar afwijkingsbeheer: worden non-conformiteiten vastgelegd en opgevolgd met corrigerende maatregelen? ISO 27001 vereist dat je niet alleen reageert op problemen, maar ook de grondoorzaak aanpakt om herhaling te voorkomen.

7: Audit toegangsbeheer en identiteitsbeheer

Ongeautoriseerde toegang is een van de meest voorkomende oorzaken van beveiligingsincidenten. Strak toegangsbeheer is daarom een kernvereiste binnen ISO 27001.

Controleer of toegangsrechten zijn gebaseerd op het principe van minimale bevoegdheid. Worden rechten tijdig ingetrokken bij uitdiensttreding of functiewijziging? Is er een formeel proces voor het aanvragen, goedkeuren en reviewen van toegangsrechten?

Besteed ook aandacht aan geprivilegieerde accounts: zijn beheerdersrechten beperkt tot wie ze echt nodig heeft? Worden inlogpogingen gemonitord en gelogd? strategisch toegangsbeheer vraagt om zowel technische als organisatorische maatregelen die samen een sluitend geheel vormen.

8: Controleer leveranciers- en ketenbeveiliging

Organisaties zijn steeds afhankelijker van externe leveranciers, en daarmee neemt ook het risico via de keten toe. ISO 27001 vereist dat je ook de informatiebeveiliging van je leveranciers beheert.

Controleer of er een leveranciersbeleid is en of kritieke leveranciers zijn geïdentificeerd en beoordeeld. Zijn er contractuele afspraken over informatiebeveiliging, zoals verwerkersovereenkomsten of beveiligingsvereisten? Worden leveranciers periodiek geëvalueerd op hun naleving?

Denk ook aan cloudleveranciers en softwareontwikkelaars: ook zij kunnen een toegangspoort vormen voor aanvallers. Een overzicht van alle externe partijen met toegang tot je systemen of data is een goed startpunt voor deze audit.

9: Beoordeel continuïteits- en herstelplannen

Wat gebeurt er als het misgaat? ISO 27001 vereist dat organisaties plannen hebben om de beschikbaarheid van informatie en systemen te waarborgen, ook bij verstoringen.

Controleer of er een bedrijfscontinuïteitsplan (BCP) en een disaster recovery plan (DRP) aanwezig zijn. Zijn deze plannen getest via oefeningen of simulaties? Zijn de hersteltijden (RTO) en herstelpunten (RPO) gedefinieerd en realistisch?

Kijk ook of back-upprocessen regelmatig worden getest en of de resultaten worden gedocumenteerd. Een plan dat nooit getest is, geeft een vals gevoel van veiligheid. Zorg dat je kunt aantonen dat herstel daadwerkelijk werkt.

Van auditbevindingen naar aantoonbare ISO 27001-naleving

Een interne audit levert alleen waarde op als de bevindingen ook daadwerkelijk leiden tot verbetering. Gebruik de uitkomsten van je checklist als input voor een gestructureerd verbeterplan. Prioriteer bevindingen op basis van risico en impact, wijs eigenaren aan en stel concrete deadlines.

Documenteer je auditproces zorgvuldig: wie heeft wat geauditeerd, welke bewijsstukken zijn beoordeeld en wat zijn de conclusies? Dit is niet alleen nuttig voor interne sturing, maar ook essentieel voor externe certificeringsaudits. Auditoren willen zien dat je ISMS niet alleen op papier bestaat, maar ook in de praktijk werkt.

Een goede interne auditcyclus, uitgevoerd met de juiste expertise, legt de basis voor duurzame tijdelijke CISO-ondersteuning en aantoonbare naleving van ISO 27001. Hoe beter je interne audit, hoe minder verrassingen je tegenkomt bij een externe beoordeling.

Hoe Hofsecure helpt met ISO 27001-naleving

ISO 27001-audits voorbereiden en uitvoeren vraagt om specifieke kennis, ervaring en capaciteit die niet elke organisatie intern beschikbaar heeft. Wij ondersteunen organisaties in gereguleerde sectoren bij het opzetten, uitvoeren en verbeteren van hun interne auditproces.

Wat wij voor je kunnen betekenen:

1. Interne auditbegeleiding op basis van de negen checklistpunten, afgestemd op jouw sector en volwassenheidsniveau
2. Gap-analyse en verbeterplan zodat bevindingen direct vertaald worden naar concrete, prioritaire acties
3. CISO as a Service voor organisaties die behoefte hebben aan structurele, strategische ondersteuning bij ISO 27001-naleving
4. Security monitoring via ons SOC voor continue bewaking van dreigingen, ook buiten kantooruren

Onze aanpak combineert defensie-grade expertise met een pragmatische, bedrijfsgerichte blik. We werken nauw samen met jouw team en leveren ondersteuning die aansluit bij jouw specifieke context, of je nu in de energie-, zorg-, transport- of maakindustrie actief bent.

Wil je weten hoe je jouw ISO 27001-auditproces kunt versterken? Neem contact op en we kijken samen wat het beste past bij jouw organisatie.

Gerelateerde artikelen

• Wat zijn drie indicatoren van phishing?
• Hoe train je personeel in abro gebruik?
• Wat is de impact van Microsoft soevereiniteit op bedrijfsprocessen?
• Hoe implementeer je cybersecurity stapsgewijs?
• Kan iemand meekijken op een iPhone?