Interne audit ISO 27001: wat wordt er écht getoetst?

Interne audit ISO 27001: wat wordt er écht getoetst?

Veel organisaties zien de interne audit ISO 27001 als een verplicht onderdeel van certificering. Maar in de praktijk is het veel meer dan dat. Het is hét moment waarop duidelijk wordt: werkt je ISMS echt — of klopt het alleen op papier? En juist daar gaat het vaak mis.

Wat is een interne audit ISO 27001 precies?

Een interne audit wordt uitgevoerd vóór de certificeringsaudit en is bedoeld om te beoordelen of je organisatie klaar is voor toetsing door een externe partij. De audit wordt uitgevoerd door een interne auditor of een externe partij die namens de organisatie optreedt — maar altijd als onderdeel van het eigen ISMS. Het doel: issues vinden vóórdat de certificerende instelling dat doet.

 Wat is het doel van een interne audit ISO 27001?

De interne audit is bedoeld om te beoordelen of jouw ISMS:

• voldoet aan de eisen van ISO 27001
• correct is geïmplementeerd
• en daadwerkelijk effectief werkt in de praktijk

Het is dus geen vinklijst, maar een reality check.

Wat auditors écht doen

Tijdens een interne audit wordt niet alleen naar documentatie gekeken. De focus ligt op praktijk en bewijs.

1.  Interviews

Auditors spreken met medewerkers en proceseigenaren. Niet om theorie te horen, maar om te toetsen: weten mensen wat er van hen verwacht wordt?

2. Steekproeven

Er wordt gekeken naar concrete situaties, zoals:

• user access
• changes
• incidenten

Klopt wat er gebeurt met wat er beschreven staat?

3. Bewijs controleren

Beleid alleen is niet genoeg. Tijdens de interne audit wordt actief gezocht naar aantoonbaar bewijs, zodat je vóór de externe audit weet waar je staat.

• logs
• tickets
• rapportages
• screenshots

Zonder bewijs = niet compliant

Wat vaak misgaat

Dit zien we in vrijwel elke audit terug:

• processen zijn beschreven, maar niet aantoonbaar
• verantwoordelijkheden zijn onduidelijk
• bewijs ontbreekt of is lastig terug te vinden
• interne audit wordt te laat ingepland

Gevolg: stress, herstelwerk en vertraging richting certificering

 Hoe bereid je je goed voor?

Een goede voorbereiding maakt het verschil.

Zorg dat:

• processen niet alleen bestaan, maar ook werken
• bewijs eenvoudig beschikbaar is
• medewerkers weten wat er speelt
• je op tijd start met de interne audit

Wacht je te lang, dan wordt het een inhaalrace. Wil je zeker weten dat je goed voorbereid bent op je interne audit? Kom even sparren of neem contact met ons op.