ISO 27001 Interne Audit

De ISO 27001 interne audit is voor veel organisaties het meest onderschatte onderdeel van het certificeringstraject. Men focust zich op de implementatie van het ISMS, op de externe audit die het certificaat oplevert, maar de interne audit — het verplichte eigenonderzoek dat tussen die twee in zit — krijgt vaak pas aandacht als de externe auditor al voor de deur staat. Dat is een vergissing die jaarlijks honderden Nederlandse organisaties een her-audit en extra kosten oplevert.

Clausule 9.2 van ISO 27001:2022 schrijft voor dat organisaties op geplande tijdstippen interne audits uitvoeren om vast te stellen of het Information Security Management System voldoet aan de eigen eisen van de organisatie én aan de eisen van de norm zelf. Dat klinkt als een formaliteit, maar het is in werkelijkheid het centrale kwaliteitscontrolemechanisme van je gehele beveiligingssysteem. Zonder interne audit — of met een interne audit die te oppervlakkig is uitgevoerd — loop je het risico dat de externe auditor bevindingen doet die jij zelf had moeten vinden. En dat kost je een her-audit van circa EUR 1.500 extra, plus de tijdinvestering om de bevindingen alsnog op te lossen.

Wat is een ISO 27001 interne audit precies?

Een interne audit in de context van ISO 27001 is een systematisch, onafhankelijk en gedocumenteerd onderzoek naar de werking van je ISMS. De auditor controleert niet alleen of de documentatie op orde is — hij of zij onderzoekt ook of de processen in de praktijk functioneren zoals ze op papier zijn beschreven. Dat is een cruciaal onderscheid. Veel organisaties hebben uitstekende beleidsdocumenten en procedures, maar in de dagelijkse praktijk wijkt de werkelijkheid daar aanzienlijk van af.

De interne audit verschilt op een fundamenteel punt van de externe audit: de interne auditor mag verbetersuggesties doen en adviezen geven. De externe auditor van een certificerende instelling mag dat uitdrukkelijk niet — die oordeelt alleen of je voldoet of niet voldoet. Dit maakt de interne audit tot een leermoment, een kans om je organisatie te versterken voordat de externe beoordelaar arriveert.

Wie mag de interne audit uitvoeren? De norm stelt twee eisen: objectiviteit en competentie. Objectiviteit betekent dat de auditor zijn of haar eigen werk niet mag beoordelen. In grotere organisaties is dat intern op te lossen door collega's elkaars processen te laten auditen. In kleinere organisaties — zeg, een MKB-bedrijf met tien tot vijftig medewerkers — is objectiviteit intern vrijwel onmogelijk te garanderen, simpelweg omdat iedereen betrokken is bij de implementatie. Dan is uitbesteden de logische keuze.

Het auditproces stap voor stap

Een goed uitgevoerde interne audit volgt een gestructureerde aanpak die begint weken voor de daadwerkelijke uitvoering. De eerste stap is het opstellen van een auditprogramma: een planning die aangeeft welke onderdelen van het ISMS wanneer worden geaudit. Dit programma is zelf een norm-eis (clausule 9.2 vraagt expliciet om een gepland en gedocumenteerd programma) en de externe auditor zal ernaar vragen.

Vervolgens worden de scope en doelstellingen van de specifieke audit bepaald. Ga je conformiteit toetsen, effectiviteit beoordelen, of beide? Daarna volgt de voorbereiding van een auditchecklist per clausule en per control, bij voorkeur gebaseerd op de Statement of Applicability (SoA) die aangeeft welke Annex A controls van toepassing zijn op jouw organisatie.

De documentreview is het eerste deel van de daadwerkelijke audit: beoordeel beleid, procedures en registraties op actualiteit, volledigheid en consistentie. Ontbreekt er een recente versie van het risicoverwerkingsplan? Is de SoA na de laatste organisatiewijziging bijgewerkt? Dit soort vragen horen hier beantwoord te worden.

Daarna volgen interviews en observaties — en dit is waar veel interne audits tekortschieten. Praat met medewerkers op verschillende niveaus in de organisatie, niet alleen met de ISMS-eigenaar of de IT-manager. Vraag open vragen. Stel door. Observeer of procedures in de praktijk worden gevolgd. Een medewerker die netjes vertelt dat hij zijn scherm vergrendelt als hij opstaat, maar wiens scherm tijdens het gesprek al tien minuten onvergrendeld op zijn bureau staat, levert waardevoller inzicht op dan vijf pagina's beleidsdocumentatie.

De bevindingen worden vastgelegd in een auditrapport. Klassificeer bevindingen als major non-conformiteit, minor non-conformiteit of observatie. Een major non-conformiteit is een ernstige tekortkoming die de effectiviteit van het ISMS fundamenteel aantast of een directe norm-eis overtreedt. Een minor non-conformiteit is een afwijking die geen onmiddellijk gevaar vormt maar wel gecorrigeerd moet worden. Observaties zijn verbetermogelijkheden zonder directe normafwijking.

Kosten: uitbesteden versus zelf doen

De financiële afweging tussen uitbesteden en zelf doen is voor veel organisaties de voornaamste overweging. En hier is de realiteit verrassender dan verwacht: uitbesteden is voor MKB-organisaties vrijwel altijd goedkoper in totaal, ook al lijkt het instapbedrag hoger.

Bij uitbesteden betaal je een externe specialist een vastgesteld bedrag. Voor kleine MKB-organisaties (minder dan 25 medewerkers) liggen de kosten doorgaans tussen EUR 1.600 en EUR 2.500. Voor middelgrote organisaties (25 tot 100 medewerkers) tussen EUR 2.500 en EUR 4.000. De prijzen zijn transparant, de kwaliteit is gegarandeerd en de specialist brengt ervaring mee die intern lastig te evenaren is.

Bij zelf doen lijkt het goedkoper omdat er geen externe rekening wordt betaald. Maar de interne uren tellen ook mee: een interne audit van een MKB-organisatie kost gemiddeld 20 tot 40 uur. Reken je dat tegen een intern uurtarief van EUR 85, dan kom je op EUR 1.700 tot EUR 3.400 alleen al aan personeelskosten. Voeg daar het risico van een her-audit bij op — circa EUR 1.500 als de externe auditor bevindingen doet die de interne audit had moeten oppakken — en de werkelijke kosten stijgen naar EUR 3.200 tot EUR 4.900. Duurder dan uitbesteden, terwijl je ook nog de risico's loopt van bias en beperkte norm-kennis.

Het hybride model dat veel organisaties hanteren werkt als een groeipad: in het eerste jaar besteedt men volledig uit, in het tweede jaar werkt een interne medewerker samen met de externe specialist (kennisoverdracht), en in het derde jaar voert men intern uit met een externe review van het rapport. Zo bouw je interne competentie op terwijl je de kwaliteit bewaakt.

Wil je intern iemand opleiden tot interne auditor? Een tweedaagse interne auditor training kost EUR 500 tot EUR 1.500. Een Lead Auditor-opleiding over vijf dagen loopt op naar EUR 2.000 tot EUR 4.000. De investering is zinvol als je structureel intern wilt auditeren, maar vergeet de tijdskosten van de opleiding zelf niet mee te rekenen.

Frequentie en slim plannen

ISO 27001 schrijft geen vaste frequentie voor buiten de eis van "geplande tijdstippen", maar de praktijk en de norm-interpretatie zijn eensgezind: de kernclausules (4 tot en met 10) worden jaarlijks geaudit. De 93 Annex A controls hoeven niet allemaal jaarlijks aan bod te komen — de norm vereist dat alle controls in een redelijke periode worden beoordeeld, wat in de praktijk neerkomt op een driejarige cyclus.

Verstandig plannen betekent de 93 controls verdelen over drie jaar. Jaar 1: clausules 4 tot en met 10 plus de organisatorische controls (A.5, 37 controls). Jaar 2: clausules 4 tot en met 10 plus de mensgerichte (A.6, 8 controls) en fysieke controls (A.7, 14 controls). Jaar 3: clausules 4 tot en met 10 plus de technologische controls (A.8, 34 controls). Zo zijn na drie jaar alle controls aan bod geweest.

De timing ten opzichte van de externe audit is cruciaal: plan de interne audit minimaal één maand voor de externe audit. Dat geeft je de tijd om bevindingen op te lossen en corrigerende maatregelen te implementeren, inclusief documentatie van die maatregelen. Een interne audit die twee weken voor de externe audit plaatsvindt, geeft je niet de ruimte om bevindingen serieus aan te pakken — en dat verzwakt je positie bij de externe beoordeling aanzienlijk.

Wat kijkt een auditor écht?

Een zorgvuldige auditor kijkt verder dan documentatie. Wat hij zoekt is bewijs: bewijs dat het ISMS niet alleen bestaat op papier, maar ook werkt in de dagelijkse praktijk. Daarvoor combineert hij documentreview met interviews, observaties en soms technische tests.

Bij de kernclausules zijn de vragen die de auditor stelt concreet en praktijkgericht. Bij clausule 5 (leiderschap) vraagt hij niet alleen of de directie het informatiebeveiligingsbeleid heeft ondertekend, maar ook wanneer er voor het laatste een management review was, wat er uit die review is gekomen en welke acties sindsdien zijn ondernomen. Bij clausule 8 (uitvoering) vraagt hij naar de risicobehandeling: welke behandelopties zijn gekozen, zijn de maatregelen geïmplementeerd, hoe wordt de effectiviteit gemeten?

Bij de Annex A controls zoekt de auditor naar bewijs van implementatie en werking. Niet een risicoregister dat op de server staat, maar een risicoregister dat regelmatig wordt bijgehouden, besproken in het management en gebruikt als basis voor beslissingen. Niet een leveranciersbeoordeling die drie jaar geleden is uitgevoerd, maar een actueel leveranciersregister met recente beoordelingen.

De meest voorkomende bevindingen bij ISO 27001 interne audits draaien steevast om dezelfde onderwerpen: verouderde of ontbrekende risicoanalyses, inactieve accounts die niet tijdig worden opgeschoond, ontbrekende trainingsregistraties voor medewerkers, incidenten die niet zijn geregistreerd of niet zijn afgehandeld, ontbrekende testresultaten van back-upherstel, en leveranciers die niet zijn beoordeeld op beveiligingsniveau. Dit zijn precies de gebieden waar de externe auditor scherp op let — en dus de gebieden die de interne auditor het grondigst moet onderzoeken.

Veelgemaakte fouten die je duur kunnen komen

De eerste en meest fundamentele fout is de objectiviteitsschending: iemand die zijn eigen werk auditet. Dit klinkt voor de hand liggend om te vermijden, maar in de praktijk gebeurt het regelmatig — met name in kleinere organisaties waar de ISMS-coördinator ook de interne audit uitvoert. Een certificerende instelling kan dit als major non-conformiteit aanmerken, wat de volledige certificeringinspanning in gevaar brengt.

Oppervlakkig auditeren is de tweede grote valkuil. Een checklist afwerken zonder door te vragen levert een rapport op dat de externe auditor tevreden stelt op papier maar dat in werkelijkheid niets zegt over de staat van je ISMS. Goede auditors vragen door: "U zegt dat u maandelijks een back-uptest uitvoert — kunt u de testresultaten van de afgelopen zes maanden laten zien?" Die vraag onderscheidt een interne audit die waarde toevoegt van een die alleen een vinkje oplevert.

Het ontbreken van een auditprogramma is een norm-schending die de externe auditor direct kan opvangen. Clausule 9.2 vereist expliciet een gepland en gedocumenteerd programma, inclusief frequentie, methoden, verantwoordelijkheden en rapportagevereisten. Heb je dat niet, dan is clausule 9.2 niet vervuld — zelfs als je de audit zelf goed hebt uitgevoerd.

Te laat plannen is een fout met praktische consequenties: als je de interne audit twee weken voor de externe audit uitvoert en je vindt een major non-conformiteit, heb je onvoldoende tijd om die te corrigeren. Plan ruim, minimaal vier tot zes weken voor de externe audit.

NIS2 en de groeiende rol van de interne audit

De komst van de Cyberbeveiligingswet — de Nederlandse implementatie van de Europese NIS2-richtlijn, verwacht in Q2 2026 — maakt de interne audit nog relevanter dan hij al was (Bron: NCSC / Digitale Overheid). NIS2 vereist dat organisaties aantoonbaar "in control" zijn over hun cyberbeveiligingsmaatregelen. De interne audit is bij uitstek het instrument om dat aan te tonen.

Concreet betekent dit dat je auditprogramma onderwerpen moet bevatten die specifiek relevant zijn voor NIS2. De meldprocedure bij incidenten moet getest worden: kan je organisatie een significant incident binnen 24 uur melden bij het CSIRT? Wordt die termijn gehaald, en is de procedure gedocumenteerd? Ketenbeveiliging is een ander NIS2-speerpunt: zijn je leveranciers beoordeeld op beveiligingsniveau, en zijn de afspraken vastgelegd in contractuele bepalingen? Business continuity en crisisbeheersing moeten eveneens worden beoordeeld — niet alleen of er een plan is, maar of het werkt en of medewerkers het kennen.

Voor organisaties die ISO 27001-gecertificeerd zijn of streven naar certificering, biedt de interne audit een efficiënte manier om ook de NIS2-compliance aantoonbaar te maken. Het overlap tussen de ISO 27001-norm en NIS2-vereisten is substantieel — een goed opgezet auditprogramma kan beide gelijktijdig bedienen. Meer over de overlap tussen NIS2 en informatiebeveiligingsnormen vind je bij NIS2 compliance begeleiding en ISO 27001 implementatiebegeleiding.

Verschil met verwante beoordelingen

De interne audit wordt in de praktijk regelmatig verward met andere vormen van beoordeling, met name de gap-analyse en de management review. Het is nuttig om die te onderscheiden.

De gap-analyse vindt plaats vóór de implementatie van ISO 27001: je meet het verschil tussen je huidige situatie en de norm-eisen. Dat is een eenmalige exercitie die je vertelt wat je nog moet doen. De interne audit vindt plaatsnà de implementatie en beoordeelt of die implementatie werkt. Het zijn fundamenteel andere vragen die worden gesteld.

De management review is de strategische evaluatie door de directie (clausule 9.3): past het ISMS nog bij de doelstelling van de organisatie, zijn de beveiligingsdoelstellingen realistisch, zijn er voldoende middelen? De interne audit levert input voor de management review, maar het zijn verschillende processen met verschillende uitvoerders en doelstellingen. Waar de auditor kijkt naar conformiteit en effectiviteit van het ISMS, bepaalt de directie in de management review de strategische koers.

De interne audit staat ook los van de externe audit die door een geaccrediteerde certificerende instelling wordt uitgevoerd. Die externe audit kost voor een MKB-organisatie doorgaans EUR 5.000 tot EUR 15.000 en heeft als enige doel het afgeven of verlengen van een certificaat. De externe auditor mag geen advies geven — hij oordeelt alleen. Dat maakt de interne audit des te waardevoller: het is jouw eigen kans om verbeteringen door te voeren voordat de externe beoordelaar arriveert. Meer over de externe audit lees je bij ISO 27001 externe audit.

Verbinding met andere beveiligingsdiensten

Een interne audit staat nooit op zichzelf. Het is onderdeel van een breder ISMS-ecosysteem dat draait op continue verbetering. De bevindingen uit een interne audit leiden tot corrigerende maatregelen, die op hun beurt input leveren voor de volgende risicobeoordeling, die weer bepaalt welke maatregelen in de volgende auditcyclus prioriteit krijgen.

In dit ecosysteem spelen verwante diensten een aanvullende rol. Een cybersecurity risicoanalyse is de basis voor je ISMS en bepaalt welke Annex A controls van toepassing zijn. Een security audit en assessment kan diepgaandere technische inzichten opleveren die de interne audit aanvullen. En voor organisaties die ook endpoint security willen versterken, biedt endpoint detection and response aanvullende monitoring die de auditbevindingen in context plaatst.

Volgende stappen

De keuze voor een aanpak — uitbesteden, zelf doen of hybride — begint met een eerlijke inschatting van je interne capaciteit. Heb je een medewerker met aantoonbare kennis van ISO 27001:2022, voldoende tijd en geen directe betrokkenheid bij de te auditen processen? Dan is intern uitvoeren een optie. Zo niet, dan is uitbesteden — of in elk geval een externe review van je interne audit — de verstandigste keuze.

Stel altijd een auditprogramma op, ook als je dit jaar voor het eerst een interne audit uitvoert. Documenteer welke clausules en controls je dit jaar auditet, wanneer, door wie en met welke methode. Plan de audit minimaal vier tot zes weken voor de externe audit. En zorg dat bevindingen worden opgevolgd: wijs eigenaren aan voor corrigerende maatregelen, stel deadlines en documenteer de opvolging. Een interne audit zonder follow-up is geen audit — het is een dure oefening in papier produceren.

Voor organisaties die de interne audit willen uitbesteden, biedt het IBgids-platform een overzicht van gespecialiseerde aanbieders die gematcht worden op basis van jouw sector, certificeringsfase en budget. Ga naar IBgids word gematcht voor vrijblijvende vergelijking.