Interne audit voor ISO 27001
Een interne audit is een verplicht onderdeel binnen een ISO 27001 ISMS. Je toetst hiermee of je ISMS voldoet aan de norm, aansluit op je eigen uitgangspunten en in de praktijk werkt zoals bedoeld.
Tegelijk is een interne audit meer dan een verplicht moment. Het geeft je een onafhankelijk beeld van waar je staat, zeker wanneer capaciteit ontbreekt of je beter voorbereid wilt zijn op een certificeringsaudit.
Hoe werkt het
Deze audit is bedoeld voor kleine en middelgrote organisaties en kan op afstand of op locatie worden uitgevoerd.
De belangrijkste stappen zijn:
Scoping call
We stemmen samen de scope van de audit af. We bepalen welke onderdelen worden meegenomen, hoe de audit wordt ingericht en welke informatie vooraf nodig is.
Documentreview
U geeft toegang tot uw ISMS-documentatie. Denk aan beleid, procedures, het risicoregister, het risicobehandelingsplan, de Statement of Applicability en andere relevante onderliggende stukken.
Auditinterviews
Vervolgens vinden gesprekken plaats met betrokkenen binnen uw organisatie, bijvoorbeeld de ISMS-verantwoordelijke en één of twee proceseigenaren. Hiermee wordt getoetst of de vastgelegde werkwijze ook aansluit op de dagelijkse praktijk.
Rapportage
Binnen vijf werkdagen na de interviews ontvangt u het auditrapport en het overzicht van bevindingen.
Voor wie is dit bedoeld
Deze dienst is geschikt voor organisaties die:
▪ een verplichte interne audit moeten uitvoeren in het kader van ISO 27001
▪ onvoldoende interne capaciteit hebben om dit zelf goed en onafhankelijk te doen
▪ behoefte hebben aan een objectieve toets door iemand die niet betrokken is geweest bij de implementatie
▪ vooraf meer inzicht en vertrouwen willen richting een certificeringsaudit
▪ al gecertificeerd zijn en hun periodieke interne audit willen uitvoeren
Wat levert het je op
Intern audit plan
Een uitwerking van de scope, aanpak, planning en auditmethode. Ook wordt hierin vastgelegd hoe objectiviteit en onafhankelijkheid zijn geborgd.
Formeel intern auditrapport
Een gestructureerd rapport met bevindingen per relevant onderdeel van ISO 27001 en een totaalbeeld van de werking van het ISMS.
Dit rapport kan worden gebruikt als input voor de managementreview en als onderbouwing richting uw certificerende instelling.
Overzicht van afwijkingen en aanbevelingen
Een gestructureerd overzicht van bevindingen, inclusief aanbevelingen voor corrigerende maatregelen. Hierbij wordt onderscheid gemaakt tussen de hoofdeisen van de norm en de relevante maatregelen uit Annex A.
Wat een interne audit inhoudt
Een interne audit is een gestructureerde beoordeling van uw ISMS aan de hand van de eisen van ISO 27001.
Daarbij wordt onder andere gekeken naar:
• de opzet en actualiteit van de documentatie
• het risicoregister, risicobehandelingsplan en de Statement of Applicability
• de aansluiting tussen beleid en praktijk
• bewijs dat maatregelen daadwerkelijk functioneren
• managementreview, trainingen en opvolging van verbeteracties
• incidentregistratie en corrigerende maatregelen
De audit kijkt dus niet alleen naar wat op papier staat, maar juist ook naar de vraag of het ISMS in de praktijk werkt zoals bedoeld.
Waarom organisaties dit uitbesteden
ISO 27001 vraagt om een interne audit die objectief en onafhankelijk wordt uitgevoerd.
In de praktijk blijkt dat vaak lastig. Zeker in kleinere organisaties is degene die het ISMS heeft ingericht of begeleid ook inhoudelijk betrokken bij de uitvoering. Dan ontbreekt de afstand die nodig is om kritisch en onbevooroordeeld te toetsen.
Daarnaast spelen vaak ook praktische redenen mee. Er is geen geschikte interne auditor beschikbaar, de tijd ontbreekt of er is behoefte aan extra capaciteit om de audit goed voor te bereiden en uit te voeren.
Een externe en onafhankelijke audit helpt dan om met een frisse blik te kijken naar de samenhang tussen beleid, bewijs en praktijk. Juist die afstand maakt sneller zichtbaar waar nog inconsistenties, open eindes of blinde vlekken zitten.
Geen certificering, wel inzicht
Deze dienst is geen certificeringsaudit en ook geen implementatietraject.
De audit is bedoeld om onafhankelijk te toetsen waar uw organisatie staat, welke afwijkingen of aandachtspunten er nog zijn en waar verbetering nodig is. De uitvoering en opvolging blijven in uw eigen regie.
Tarief
De interne auditdienst voor ISO 27001 wordt aangeboden vanaf €1.250 exclusief btw, voor organisaties tot en met 25 medewerkers.
Voor grotere organisaties wordt de prijs afgestemd op de omvang en complexiteit van de audit.
Er zijn geen verborgen kosten. De prijs omvat de scoping call, documentreview, interviews en het eindrapport.
Veelgestelde vragen
Wat is het doel van een interne audit?
Een interne audit helpt om afwijkingen, zwakke plekken en open eindes in je ISMS tijdig zichtbaar te maken, voordat een externe audit dat doet. De audit toetst of maatregelen zijn ingevoerd zoals bedoeld, of er voldoende bewijs is en of het ISMS in de praktijk functioneert zoals afgesproken. Daarmee geeft de audit management en andere betrokkenen meer zekerheid over de werking van het ISMS.
Hoe lang duurt de audit?
De totale doorlooptijd ligt meestal tussen de twee en drie weken, vanaf de eerste afstemming tot en met de oplevering van het rapport. De interviews vinden plaats in één dag of worden verdeeld over meerdere sessies, afhankelijk van beschikbaarheid en voorkeur.
Hoe vaak moet een interne audit worden uitgevoerd?
In de praktijk wordt een interne audit meestal minimaal één keer per jaar uitgevoerd. Daarnaast is het verstandig om opnieuw te toetsen wanneer er belangrijke wijzigingen zijn in de organisatie, systemen, processen of scope van het ISMS.
Wordt dit geaccepteerd door een certificerende instelling?
Ja. Het auditrapport en het overzicht van bevindingen sluiten aan op de documentatie die in het kader van ISO 27001 van een interne audit wordt verwacht.
Kun je de audit uitvoeren als wij ons ISMS zelf hebben ingericht?
Ja. Juist in die situatie is een onafhankelijke interne audit vaak waardevol, omdat de objectiviteit intern lastiger te borgen is.
Kunnen jullie de audit ook op locatie uitvoeren?
Ja, dat is mogelijk. De audit kan zowel op afstand als op locatie worden uitgevoerd.
Moeten wij eerder met jullie hebben gewerkt?
Nee. Deze dienst staat op zichzelf. Het maakt niet uit hoe uw ISMS is opgebouwd of door wie het is ingericht.