ISO 27001: surveillance vs. hercertificering

De ISO 27001-certificering loopt in een driejaarscyclus. Daarbinnen kom je twee soorten audits tegen.

‍

Surveillance-audit (jaar 1 en 2)

Korter en gerichter, maar geen quick scan. De auditor toetst in elk geval je interne audits, directiebeoordeling, opvolging van eerdere bevindingen, klachten en eventuele scope-wijzigingen. De auditor duikt daarnaast dieper in op één onderwerp, omdat niet de hele norm getoetst hoeft te worden. De planning ligt vanaf de initiële audit vast voor 3 jaar. De auditor pakt een sample uit Annex A: wisselend per jaar, niet één keer alle 93. Het doel is: bevestigen dat je ISMS (Information Security Management System) onderhoud krijgt en niet stilstaat.

Hercertificeringsaudit (jaar 3)

Volledige audit, vergelijkbaar met de oorspronkelijke certificering. De auditor toetst je hele scope tegen álle relevante controls uit Annex A, je risicoanalyse, je Verklaring van Toepasselijkheid (SoA), je directiebeoordelingen en je interne audits. Op basis daarvan wordt je certificaat opnieuw afgegeven voor de volgende drie jaar. Er zijn dus geen fase 1- en fase 2-audits, zoals dat bij je eerste audit wel het geval was.

Zo bereid je je ISO 27001-hercertificering of surveillance-audit voor

Stap 1. PDCA blijft altijd doorgaan

Er zou normaliter geen startpunt moeten zijn om je hierop voor te bereiden, want het idee is dat de PDCA-cyclus continu blijft doorgaan en je altijd je ISMS up-to-date houdt. Als je toch een beetje achterloopt, reken dan op een voorbereidingstijd van zes maanden voor de hercertificeringsaudit. Plan de externe audit in en werk daarvandaan terug.

Stap 2. Doe een interne audit (en neem de tijd)

Hoofdstuk 9.2 van de norm verplicht interne audits. Voor een hercertificering geldt: doe een grondige interne audit van je hele scope, niet alleen van wat sinds vorig jaar veranderd is. Een goede interne audit vindt de bevindingen die anders bij de externe auditor terechtkomen.

Stap 3. Voer een complete directiebeoordeling uit

De directiebeoordeling is je managementmoment. Daarin behandel je risico's, prestaties, incidenten, opvolging van eerdere bevindingen en wijzigingen in scope of context. De externe auditor leest de notulen: zorg dat alle hoofdstuk 9.3-onderwerpen zijn besproken en vastgelegd. Template nodig? Die download je hier.

Stap 4. Werk open non-conformiteiten, SoA, assetregister en risk treatment plan bij

Loop alle bevindingen van eerdere audits door. Wat staat nog open? Wat is gesloten, maar zonder verifieerbare actie? Werk je SoA bij met eventuele scope-wijzigingen, controleer of je risicoanalyse en risk treatment plan actueel zijn en kijk je asset-register na. Een SoA van twee jaar terug is een rode vlag voor een hercertificeringsaudit en datzelfde geldt voor een asset-register dat sinds de eerste audit niet meer is aangeraakt.

Wat kost een ISO 27001-hercertificering?

De kosten van hercertificering liggen meestal in dezelfde ordegrootte als de oorspronkelijke audit. Je beïnvloedt ze op drie manieren:

• Goede voorbereiding: des te beter voorbereid, des te efficiënter zijn de dagen. Een strakke interne audit vooraf is je beste investering. Zo kunnen alle medewerkers zo snel mogelijk weer door met hun dagelijkse werkzaamheden. ‍
• Stabiele scope: scope-wijzigingen tijdens de hercertificering geven extra audit-uren.‍
• Onderhoud certificaat: jaarlijks bijhouden van je ISMS scheelt grote sprongen op het laatste moment.

Veelgestelde vragen

Krijg ik een heel nieuw certificaat?

Ja. Het oude certificaat verloopt formeel; het nieuwe wordt afgegeven voor de volgende drie jaar. Je certificaatnummer blijft doorgaans wel hetzelfde: handig voor klantcommunicatie en aanbestedingen.

Wat als ik bevindingen krijg tijdens de hercertificering?

Minor non-conformities los je binnen een afgesproken termijn op. Bij een major non-conformity geeft of verlengt de certificerende instelling het certificaat pas als de corrective action én het effectiviteitsbewijs zijn geaccepteerd: meestal binnen 90 dagen. Vaak komt de auditor dan ook nog een keer langs.

Kan ik switchen van certificerende instelling tijdens hercertificering?

Ja, maar reken op extra werk. Afhankelijk van de dossieroverdracht doet een nieuwe CI een transfer-review of een volledige Stage 1-audit. De IAF-regels schrijven dat voor; "we nemen het over" zonder check bestaat niet.

Moet ik tijdens hercertificering opnieuw door Stage 1 en Stage 2?

Nee. Bij een bestaande gecertificeerde organisatie wordt vaak één integrale hercertificeringsaudit gedaan in plaats van twee stages. Stem dit af met je CI.

Klaar voor je hercertificering?

Hercertificering is geen verlenging-met-vinkje. Het is een volledige toets. Wil je meer weten? 

‍

• Download onze ISO 27001 checklist
• Download onze template voor de directiebeoordeling
• Lees meer over ISO 27001 in onze gids
• Plan een vrijblijvend en kosteloos adviesgesprek in