Moet een auditor altijd toegang tot uw ISMS krijgen, en wanneer eindigen de bevindingen?

Bij een ISO 27001-audit vragen organisaties zich vaak af: moet een auditor toegang krijgen tot het Information Security Management System (ISMS), en is dit nodig vóór, tijdens of na de audit? Bovendien, kunnen auditors na de audit met nieuwe bevindingen komen, of moeten alle bevindingen tijdens de afsluiting worden gepresenteerd? Deze vragen raken de kern van informatiebeveiliging en auditintegriteit. Dit artikel onderzoekt of toegang tot het ISMS altijd nodig is en benadrukt dat auditors hun bevindingen volledig moeten presenteren bij de afsluiting van de audit, met onderbouwing uit ISO/IEC 17021, ISO/IEC 27006 en ISO/IEC 19011.


ISO/IEC 27006 en toegang tot informatie

ISO/IEC 27006 specificeert eisen voor certificeringsinstanties die ISMS-audits uitvoeren. Het vereist dat auditors voldoende bewijs verzamelen om de effectiviteit van het ISMS te beoordelen, maar dit hoeft niet altijd directe toegang tot het ISMS te omvatten (ISO/IEC 27006:2015, Clause 7). Voorafgaande toegang kan helpen bij auditvoorbereiding, zoals het reviewen van documentatie, maar is niet verplicht. Tijdens de audit op locatie kunnen bevindingen worden verzameld via steekproeven, interviews of geanonimiseerde rapporten. Toegang na afloop is doorgaans niet nodig, tenzij voor follow-up van non-conformiteiten. Een voordeel van toegang beperken tot de auditperiode is dat gevoelige informatie wordt beschermd conform het classificatiebeleid. Een nadeel is dat auditors voorafgaande toegang kunnen eisen voor efficiëntie, wat discussie kan opleveren als dit botst met uw beleid.


ISO/IEC 17021 en auditafsluiting

ISO/IEC 17021 benadrukt impartialiteit, gestructureerde auditplanning en een duidelijke afronding van de audit (ISO/IEC 17021-1:2015, Clause 9). Auditors kunnen vooraf documentatie opvragen om risico’s en scope te bepalen, maar tijdens de on-site audit moeten zij hun bevindingen verzamelen en presenteren. Clause 9.4.8 vereist dat auditors tijdens de afsluitende vergadering alle bevindingen en conclusies delen met de organisatie. Dit betekent dat nieuwe bevindingen na de audit niet mogen worden geïntroduceerd, wat organisaties zekerheid biedt dat de auditperiode de grens vormt voor beoordelingen. Een voordeel is dat dit duidelijkheid creëert en ongecontroleerde toegang na afloop voorkomt. Een nadeel is dat auditors mogelijk aandringen op extra pre-audit toegang om hun werk te stroomlijnen, wat extra afstemming vereist.


ISO/IEC 19011 en risicogebaseerde aanpak

ISO/IEC 19011 biedt richtlijnen voor audits en benadrukt een risicogebaseerde aanpak (ISO/IEC 19011:2018, Clause 6). Bevindingen worden idealiter tijdens de audit verzameld, met focus op hoog-risico gebieden. Voorafgaande toegang kan de audit efficiënter maken, maar is niet verplicht als tijdens de audit voldoende bewijs wordt geleverd, zoals via live demonstraties of gefilterde data. Toegang na afloop is alleen gerechtvaardigd voor specifieke follow-up, zoals het verifiëren van corrigerende maatregelen. Clause 6.6.1 benadrukt dat auditors tijdens de afsluitende vergadering alle bevindingen moeten communiceren, wat betekent dat nieuwe bevindingen na de audit niet acceptabel zijn. Een voordeel is dat dit organisaties beschermt tegen onverwachte claims; een nadeel is dat auditors mogelijk uitgebreider bewijs eisen tijdens de audit, wat extra voorbereiding vergt.


Afweging: toegang en timing van bevindingen

Toegang vóór de audit kan auditors helpen bij voorbereiding, maar verhoogt het risico op ongecontroleerde blootstelling van gevoelige informatie. Tijdens de on-site audit kunnen bevindingen effectief worden verzameld via gerichte methoden, zoals interviews of geanonimiseerde data, wat de noodzaak van pre- of post-audit toegang minimaliseert. ISO/IEC 17021 en 19011 stellen expliciet dat alle bevindingen tijdens de afsluitende vergadering moeten worden gepresenteerd, waardoor nieuwe bevindingen na de audit niet toegestaan zijn. Dit beschermt organisaties tegen onvoorziene problemen en respecteert het classificatiebeleid. Een nadeel is dat auditors mogelijk extra bewijs eisen binnen de auditperiode, wat vraagt om een zorgvuldige voorbereiding van alternatieve bewijsmiddelen.



Conclusie

Auditors hebben niet altijd toegang tot uw ISMS nodig, noch vóór, noch na de audit. ISO/IEC 27006, 17021 en 19011 bieden ruimte om bevindingen primair tijdens de on-site audit te verzamelen, zolang voldoende bewijs wordt geleverd, bijvoorbeeld via geanonimiseerde data. Bovendien vereisen ISO/IEC 17021 en 19011 dat auditors alle bevindingen presenteren tijdens de afsluitende vergadering, waardoor nieuwe bevindingen na de audit niet toegestaan zijn. Door proactief alternatieve bewijsmethoden aan te bieden, kunt u uw classificatiebeleid handhaven, voldoen aan auditvereisten en zorgen voor een transparante afronding van de audit.

Bronnen: ISO/IEC 27006:2015, ISO/IEC 17021-1:2015, ISO/IEC 19011:2018



Auteur van dit blog: Robert Bals 

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010


Implementatie van ISO14001 (de ISO norm voor milieubescherming)

ISO14001: een goed begin, halveert het werk!

door Eildert Karstens 14 juli 2025
Door een Business Impact Analyse (BIA) uit te voeren op de processen, belangrijkste bedrijfsmiddelen en leveranciers, kan snel en efficiënt een focus worden verkregen op de onderwerpen die er echt toe doen bij het opzetten, implementeren (en certificeren!) van ISO14001.
Two men are sitting at a table with a laptop and a clipboard.

Mijn klant vraagt ISAE 3000/3402 van mij. Wat nu?

door Eildert Karstens 28 maart 2025
Mijn klant vraagt ISAE 3000/3402 van mij. Wat nu?
A group of women are sitting at a table looking at a laptop computer.

Kwaliteitsmanagers en NIS2

door Eildert Karstens 27 maart 2025
Door gebruik te maken van hun ervaring kunnen kwaliteitsmanagers helpen de strenge eisen van NIS2 soepel te integreren in de bedrijfsactiviteiten, waardoor de risico’s worden verminderd en de efficiëntie en veerkracht van de organisatie behouden blijven.
De PDCA cyclus is een essentieel model voor continue verbetering binnen organisaties. In de context

Wat is een PDCA cyclus en hoe pas je het toe binnen ISO 27001?

door Eildert Karstens 6 maart 2025
De PDCA cyclus is een essentieel model voor continue verbetering binnen organisaties. In de context van ISO 27001, de internationale norm voor informatiebeveiliging, helpt de PDCA cyclus organisaties bij het structureel beheren en verbeteren van hun informatiebeveiligingsbeleid. In deze blog bespreken we wat de PDCA cyclus is, hoe je deze toepast binnen ISO 27001, en waarom dit model cruciaal is voor een effectief Information Security Management System (ISMS).
De zorgsector krijgt steeds vaker te maken met cyberdreigingen en strengere regelgeving rondom infor

De nieuwe NEN7510: Wat verandert er en wat betekent het voor jouw organisatie?

door Eildert Karstens 6 maart 2025
De zorgsector krijgt steeds vaker te maken met cyberdreigingen en strengere regelgeving rondom informatiebeveiliging. Om patiëntgegevens beter te beschermen, is de NEN7510 norm aangepast. Maar wat verandert er precies en hoe zorg je ervoor dat jouw organisatie aan de nieuwe eisen voldoet? In deze blog nemen we je mee door de belangrijkste wijzigingen en geven we praktische tips om goed voorbereid te zijn.
Steeds vaker krijgen onze klanten vragen van hun klanten over DORA. Dit naar aanleiding van het in w

Mijn klant eist DORA van mij. Wat nu?

door Eildert Karstens 6 maart 2025
Steeds vaker krijgen onze klanten vragen van hun klanten over DORA. Dit naar aanleiding van het in werking treden van de DORA verordening per 17 januari 2025 en de daarmee ontstane druk om “iets” te doen. Het risico ontstaat daarbij dat er, net als bij de andere verordeningen AVG en NIS2, onnodige onrust ontstaat en daarmee onnodig veel tijd en inspanning wordt besteed aan DORA. Hieronder leg ik kort uit hoe om te gaan met de vraag/eis van een klant om te voldoen aan DORA.