Interne en externe audit

Vorige maand las je een artikel over hoe Paragin met de ISO 27001-norm omgaat. Deze maand hebben we

Vorige maand las je een artikel over hoe Paragin met de ISO 27001-norm omgaat. Deze maand hebben we een verdiepend artikel voor je: wat gebeurt er precies tijdens een interne en externe audit? En heeft Paragin opnieuw de hercertificering behaald?

Om te controleren of je organisatie voldoet aan de ISO 27001 norm, moeten er onder andere interne en externe audits plaatsvinden. Deze zijn nodig om een volledige controle te hebben of de gestelde normen goed worden nageleefd.

Interne audit

Met behulp van een interne audit kan worden bepaald of de doelstellingen voor het managementsysteem behaald worden en of beleid, procedures en werkinstructies correct worden uitgevoerd. Daarbij wordt de efficiëntie en effectiviteit beoordeeld van het Information Security Management System (ISMS). Het is de basis voor het management om beslissingen te nemen over verbeter- en preventieve acties. Een interne audit is een daarom een erg belangrijk onderdeel van het ISMS.

Een interne auditor (of een intern auditteam) moet beschikken over een aantal competenties. De interne auditor moet kennis hebben over de juiste inrichting en werking van een ISMS. Daarbij moet de interne auditor verstand hebben van de beveiligingsvraagstukken van de organisatie en de maatregelen die zijn genomen.

Voor het geven van aanbevelingen aan het management is het belangrijk dat de interne auditor zich onafhankelijk kan opstellen. Het kan voorkomen dat het auditrapport kritisch is over het ISMS en het management, en dat er kritische aanbevelingen in het rapport staan. Door de onafhankelijke positie van de interne auditor wordt voorkomen dat ongewenste aanbevelingen niet in de rapportage worden opgenomen. Dit geldt ook voor onderdelen zoals de beoordeling van het managementteam.

Als een enkele auditor te weinig is om de gehele organisatie te controleren, kan een auditteam worden samengesteld. Dit helpt ook wanneer er niet één aangewezen persoon is die alle kennis heeft van de ISO 27001-norm en/of het ISMS. Het auditteam kan dan zo opgesteld worden dat alle benodigde kennis aanwezig is. Bij Paragin werken twee van onze medewerkers aan de interne audits.

De criteria

Bij het uitvoeren van een interne audit zijn de auditcriteria van belang. Dit zijn de eisen op basis waarvan wordt vastgesteld of de organisatie op dat onderwerp voldoende scoort. Op basis van het normenkader zijn de onderwerpen bepaald die zijn opgenomen in de auditplanning. Een harde eis uit de normen is bijvoorbeeld dat een risicobeoordeling uitgevoerd moet worden en dat risiconiveaus vastgesteld moeten worden. Onderwerpen die niet zijn opgenomen in de ISO27001 norm kunnen in het beleid van de organisatie zelf worden vastgelegd. Denk bijvoorbeeld aan specifieke taken die aan medewerkers worden gesteld. Tijdens de interne audit kan gecontroleerd worden of voldaan wordt aan deze eis(en).

Alle maatregelen in het ISMS moeten duidelijk vastgesteld zijn en het moet helder zijn wanneer een criterium (on)voldoende wordt nageleefd. Bij het aanmaken van een auditplanning moet dit van tevoren opgezet zijn.

Externe audit

Het doel van de externe audit is in algemene zin hetzelfde als die bij de interne audit: vaststellen of de organisatie voldoet aan de (norm) eisen. Dit wordt vastgesteld door een externe auditor die tijdens de audit bekijkt of er eventueel tekortkomingen zijn in het managementsysteem. Zoals je vorige maand al kon lezen maakt Paragin gebruik van de diensten van Lloyd’s Register.

Bij de bekendere normen, zoals ISO 27001, bestaat een externe audit uit twee fasen, bij het verkrijgen van het certificaat:

  • In de eerste fase vindt het vooronderzoek plaats waarin de documentatie wordt onderzocht. Daarbij wordt tevens bekeken of alle verplichte (beleids)documenten aanwezig zijn en of dit alles in de organisatie is geïmplementeerd. Je kunt hierbij denken aan beleidsdocumenten, fysieke beveiliging, informatie-uitwisseling en de directiebeoordeling vanuit de interne audit. Als geconstateerd wordt dat de organisatie er klaar voor is, wordt er doorgegaan naar de tweede fase.
  • In de tweede fase vindt het certificeringsonderzoek plaats. Daarbij bekijkt een auditor of de vastgestelde acties uit fase één zijn doorgevoerd en hoe alles is aangepakt. Dat onderzoek doet hij o.a. door het afnemen van interviews met medewerkers. Op die manier kan bepaald worden of er gewerkt wordt zoals in beleid, procedures en werkinstructies is vastgelegd.

Indien er wordt voldaan aan eisen uit een certificatieschema, dan wordt er uiteindelijk een certificaat uitgereikt. Met behulp van dat certificaat kun je als organisatie aantonen dat er voldaan wordt aan de eisen vanuit de norm.

Het ISO 27001 certificaat is 3 jaar geldig en gedurende die drie jaar wordt de gehele norm opnieuw tenminste één maal geaudit, tijdens verschillende audit afspraken. Sommige onderdelen staat vaker op de agenda. Een externe audit vindt periodiek -bijvoorbeeld jaarlijks- plaats. Dit is afhankelijk van het aantal medewerkers en de (ICT) complexiteit van de organisatie.

Tijdens de drie jaar moet men aan blijven tonen dat de organisatie aan de normeisen voldoet. Eventuele afwijkingen moeten middels een plan van aanpak snel en duurzaam worden opgelost, om het certificaat te kunnen behouden.

Na een periode van drie jaar zal er gewoonlijk een nieuwe auditor komen, die opnieuw start met het doorlopen van de gehele norm. Bij voldoende resultaat wordt het certificaat hernieuwd en start een nieuwe driejaarlijkse cyclus met verschillende controle audits.


Paragin heeft eind augustus opnieuw een externe audit doorstaan, waardoor ons certificaat met 3 jaar is verlengd vanaf november aanstaande! Ons certificaat kun je op onze website terugvinden op de pagina voor Veiligheid en integriteit.