ISO 27001 Certificering Readiness Checklist

Wat is ISO 27001-gereedheid?

ISO 27001-gereedheid betekent dat uw informatiebeveiligingsbeheersysteem (ISMS) volledig is geïmplementeerd, gedocumenteerd en voorzien van bewijsmateriaal — niet alleen op papier ontworpen. Certificeringsgereedheid vereist dat uw beleid, risicobehandeling, ISO 27001-beheersmaatregelen en de interne-auditcyclus allemaal operationeel zijn voordat u een externe auditor uitnodigt om ze te beoordelen.

Veel organisaties verwarren ISMS-implementatie met certificeringsgereedheid. Implementatie is het bouwen van het systeem; gereedheid is aantonen dat het werkt. Auditoren controleren bij zowel de Fase 1-audit als de Fase 2-audit op bewijs van werking, niet van intentie. Een beleid dat bestaat maar niet wordt nageleefd, leidt tot een tekortkoming, ongeacht hoe goed het is opgesteld.

Deze controlelijst bestrijkt de acht gebieden die externe auditoren consequent onderzoeken. Werk elk onderdeel door, beoordeel uw huidige status, wijs eigenaren toe aan openstaande punten en consolideer uw bewijsmateriaal vóór uw eerste auditdatum.

Volledige ISO 27001-gereedheidscontrolelijst

Beoordeel elk punt: voltooid, gedeeltelijk of nog niet gestart. Gedeeltelijke en ontbrekende punten vormen uw herstelachterstand.

1 Reikwijdte en context

De ISMS-reikwijdtebeschrijving definieert de organisatorische, geografische en systeemgrenzen
Analyse van interne en externe context (clausule 4.1) is gedocumenteerd
Belanghebbenden en hun relevante eisen (clausule 4.2) zijn geïdentificeerd
Uitsluitingen van de reikwijdte zijn onderbouwd, gedocumenteerd en verdedigbaar tegenover een auditor

2 Leiderschap en governance

Betrokkenheid van het topmanagement is aangetoond — notulen, e-mailautorisaties of beleidsondertekening
Het informatiebeveiligingsbeleid is goedgekeurd, gedateerd en gecommuniceerd aan alle medewerkers
Beveiligingsrollen en -verantwoordelijkheden zijn toegewezen aan benoemde personen, niet alleen aan functietitels
Informatiebeveiligingsdoelstellingen zijn meetbaar en gekoppeld aan de risicocontext van de organisatie

3 Risicobeoordeling

De risicobeoordelingsmethodiek is gedocumenteerd met gedefinieerde criteria voor waarschijnlijkheid, impact en acceptatie
Het risicoregister bestrijkt alle activa, processen of scenario's binnen de ISMS-reikwijdte
Voor elk geïdentificeerd risico is een risico-eigenaar aangewezen
Het risicobehandelplan selecteert opties (behandelen, tolereren, overdragen, beëindigen) voor elk risico boven de acceptatiedrempel
Het risicobehandelplan is beoordeeld en formeel goedgekeurd door het management

4 Verklaring van toepasselijkheid

Alle 93 Bijlage A-beheersmaatregelen zijn beoordeeld — geen enkele overgeslagen zonder gedocumenteerde motivering
Elke van toepassing zijnde beheersmaatregel toont de implementatiestatus: geïmplementeerd, gedeeltelijk geïmplementeerd of gepland
Uitgesloten beheersmaatregelen hebben een auditeerbare motivering die verwijst naar reikwijdte, risico of wettelijke grondslag
De Verklaring van toepasselijkheid is versiebeheerd, gedateerd en ondertekend door bevoegd management
De VvT is afgestemd op het risicobehandelplan — geselecteerde beheersmaatregelen adresseren de geïdentificeerde risico's

5 Bijlage A-beheersmaatregelen

Alle ISO 27001-beheersmaatregelen die in de VvT zijn geselecteerd, zijn geïmplementeerd en worden ondersteund door beleid of procedures
Technische beheersmaatregelen — toegangsbeheer, encryptie, logging, kwetsbaarheidsbeheer — zijn operationeel
Beveiligingseisen voor leveranciers en derde partijen zijn vastgelegd in contracten en worden periodiek beoordeeld
Beveiligingsbewustzijnstraining is afgerond en registraties zijn bewaard
Incidentrespons- en bedrijfscontinuïteitsplannen zijn getest en resultaten zijn gedocumenteerd

6 Interne audit

Een intern-auditprogramma bestrijkt de volledige ISMS-reikwijdte en alle van toepassing zijnde ISO 27001-beheersmaatregelen
Ten minste één volledige interne-auditcyclus is afgerond vóór de Fase 1-audit
Auditbevindingen en tekortkomingen zijn formeel vastgelegd in een rapport
De audit is uitgevoerd door iemand die onafhankelijk is van het geauditeerde gebied

7 Directiebeoordeling

Een directiebeoordelingsvergadering heeft plaatsgevonden en is formeel genotuleerd
De agenda bestreek interne-auditresultaten, risicostatus, prestaties van beveiligingsdoelstellingen en verbetermogelijkheden
De beoordelingsuitkomsten documenteren besluiten over ISMS-wijzigingen, resourcebehoeften en verbeteracties
Notulen worden bewaard als gedocumenteerde informatie en zijn beschikbaar voor auditorinzage

8 Corrigerende maatregelen

Voor alle tekortkomingen uit interne audits zijn een hoofdoorzaakanalyse en een corrigerende maatregel geregistreerd
Elke corrigerende maatregel heeft een benoemde eigenaar en een streefsluitingsdatum
Voltooide maatregelen worden vóór sluiting gecontroleerd op effectiviteit
Het register van corrigerende maatregelen is actueel en beschikbaar voor auditorinspectie

Veelgemaakte gereedheidsfouten

Dit zijn de hiaten die het vaakst als tekortkomingen worden aangemerkt tijdens de voorbereiding op een ISO 27001-audit.

De Verklaring van toepasselijkheid behandelen als een papieren exercitie

De VvT moet de actuele staat van uw ISO 27001-beheersmaatregelen weerspiegelen. Auditoren kruisverwijzen de VvT met de daadwerkelijke implementaties en zullen een tekortkoming constateren als beheersmaatregelen die als geïmplementeerd zijn aangemerkt, niet kunnen worden onderbouwd met bewijs.

Geen voltooide interne audit of directiebeoordeling vóór Fase 1

Beide zijn verplichte eisen. Arriveren bij de Fase 1-audit zonder voltooide registraties betekent dat de auditor niet kan bevestigen dat uw ISMS operationeel is, waardoor de certificering wordt vertraagd.

Beheersmaatregelen gedocumenteerd in beleid maar niet operationeel in de praktijk

De meest voorkomende bevinding bij de Fase 2-audit. Een beleid dat stelt dat "toegang elk kwartaal wordt beoordeeld" moet worden onderbouwd met gedateerde toegangsbeoordelingsregistraties. Intentie zonder bewijs is een tekortkoming.

Risicobehandelplan niet formeel goedgekeurd door het management

Het uitvoeren van een risicobeoordeling is niet voldoende. ISO 27001 vereist dat het management het restrisico formeel accepteert en het behandelplan goedkeurt. Zonder een ondertekende of genotuleerde acceptatie is clausule 6.1 onvolledig.

Tekortkomingen uit interne audits nog open bij Fase 2

Openstaande corrigerende maatregelen zijn een signaal dat de verbetercyclus van uw ISMS niet functioneert. Auditoren controleren of bevindingen zijn gesloten en geverifieerd, niet alleen geregistreerd.

ISMS-reikwijdte te breed voor het beschikbare bewijsmateriaal

Organisaties definiëren soms een brede reikwijdte om uitgebreid te lijken, maar slagen er vervolgens niet in om consistent bewijsmateriaal over alle gebieden te produceren. Een nauwkeurig gedefinieerde, goed onderbouwde reikwijdte leidt betrouwbaarder tot certificering dan een brede reikwijdte met bewijshiaten.

Voorbereiding Fase 1- versus Fase 2-audit

ISO 27001-certificering maakt gebruik van een tweefasig auditproces. Door te begrijpen wat elke fase toetst, kunt u uw voorbereiding in de juiste volgorde richten.

Fase 1 — Documentatietoetsing

Doorgaans op afstand uitgevoerd, bevestigt de Fase 1-audit dat uw ISMS-documentatie volledig is en dat uw organisatie gereed is om door te gaan naar de effectiviteitscontrole. Fase 1-bevindingen moeten worden opgelost voordat Fase 2 wordt ingepland.

Auditoren richten zich op

ISMS-reikwijdte is duidelijk gedefinieerd en passend
Verklaring van toepasselijkheid is afgerond en ondertekend
Risicobeoordeling en risicobehandelplan zijn gedocumenteerd
Interne audit en directiebeoordeling zijn voltooid
Alle verplichte ISO 27001-gedocumenteerde informatie is aanwezig

Fase 2 — Effectiviteitscontrole

De Fase 2-audit toetst of ISO 27001-beheersmaatregelen werken zoals bedoeld, via medewerkersgesprekken, proceswalkthroughs en steekproeven van bewijsmateriaal. Dit is waar de certificering wordt verleend of waar ernstige tekortkomingen worden geconstateerd.

Auditoren richten zich op

ISO 27001-beheersmaatregelen werken zoals beschreven in beleid en de VvT
Bewijs is actueel, consistent en herleidbaar naar beheersmaatregelen
Medewerkers tonen bewustzijn van hun ISMS-verantwoordelijkheden
Fase 1-tekortkomingen zijn volledig afgesloten
Het register van corrigerende maatregelen toont een effectieve verbetercyclus

Veelgestelde vragen

Wat is een informatiebeveiligingsbeheersysteem (ISMS)?

Een informatiebeveiligingsbeheersysteem is het geheel van beleidsregels, procedures en beheersmaatregelen waarmee een organisatie informatiebeveiligingsrisico's systematisch beheert. ISO 27001 is de internationale norm die de eisen definieert voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van een ISMS. Certificering toont klanten en toezichthouders aan dat uw informatiebeveiligingsbeheersysteem aan die norm voldoet.

Hoe lang duurt de implementatie van een ISMS?

De meeste ISMS-implementatietrajecten duren 8 tot 20 weken van de aftrap tot gereedheid voor de Fase 1-audit, afhankelijk van de complexiteit van de reikwijdte, de volwassenheid van bestaande documentatie en de beschikbaarheid van toegewijde resources. Plan vervolgens vier tot acht weken in tussen Fase 1 en Fase 2 voor consolidatie van bewijsmateriaal en herstel van Fase 1-bevindingen.

Wat is de Verklaring van toepasselijkheid en waarom is die belangrijk?

De Verklaring van toepasselijkheid is het document dat alle 93 Bijlage A-beheersmaatregelen koppelt aan uw organisatie, waarbij wordt vastgelegd welke van toepassing en geïmplementeerd zijn, en waarom eventuele maatregelen zijn uitgesloten. Het is een van de eerste documenten die bij de Fase 1-audit worden opgevraagd, omdat het de auditor inzicht geeft in het landschap van uw ISO 27001-beheersmaatregelen. Het moet versiebeheerd, actueel en ondertekend door het management zijn.

Hebben we alle 93 Bijlage A-beheersmaatregelen nodig?

Nee, maar u moet alle 93 ISO 27001-beheersmaatregelen beoordelen en een motivering documenteren voor elke maatregel die u uitsluit. Beheersmaatregelen worden geselecteerd op basis van de risico's in uw beoordeling, uw wettelijke en contractuele verplichtingen en uw operationele context. Niet-onderbouwde uitsluitingen zijn een veelvoorkomende Fase 1-auditbevinding.

Wat gebeurt er als we de Fase 1-audit niet halen?

Een niet-geslaagde Fase 1-audit betekent dat de auditor bevindingen heeft geconstateerd die moeten worden opgelost voordat Fase 2 kan worden voortgezet. Bevindingen kunnen kleine observaties, verbetermogelijkheden of ernstige tekortkomingen zijn. Kleine issues worden afgesloten in de periode tussen Fase 1 en Fase 2; ernstige tekortkomingen kunnen een volledige heraudit van het betreffende gebied vereisen en zullen uw certificeringstijdlijn vertragen.

Kan ISMS-implementatie voor ISO 27001 ook DORA-naleving ondersteunen?

Ja. Beleidsgovernance, risicobehandeling, leverancierstoezicht en incidentbeheerbewijsmateriaal dat tijdens ISMS-implementatie is opgebouwd, kan DORA-verplichtingen direct ondersteunen. De frameworks zijn complementair: ISO 27001 legt de basisbeheersmaatregelen voor informatiebeveiliging vast, terwijl DORA aanvullende eisen stelt aan digitale operationele veerkracht, ICT-incidentrapportage en derde-partijtoezicht specifiek voor financiële entiteiten. Bekijk ook onze DORA-registergids.

ISO 27001 Gereedheidscontrolelijst