menu

ISO 27001, 'Tussen de regels’

17 maart, 2026

Auteur: Nico Basten

Het gedachtegoed achter de internationale standaard ISO 27001 bestaat ruim dertig jaar. In 1995 begonnen als British Standard, maar onder de vlag van ISO uitgegroeid tot een volwaardig en populair managementsysteem voor informatiebeveiliging (ISMS).

De populariteit van ISO 27001 heeft een aanzuigende werking gehad op de velen die inmiddels werkzaam zijn in dit vakgebied: consultants, security officers en auditors. Het is daarom ook niet vreemd dat er zoveel interpretaties bestaan over de eisen uit de standaard. Iedereen heeft zijn eigen expertise, mening en voorkeuren. Wat ook niet meehelpt, is dat ISO 27001 wel voorschrijft wat er moet gebeuren, maar niet hoe dat moet worden gedaan. Iedereen wordt geacht hier zelf over na te denken.

Laten we maar door het hoepeltje springen

In de afgelopen jaren heb ik bij diverse kleine en grote organisaties discussies gezien tussen security officers en auditors over de interpretatie van ISO 27001-eisen. Aan de ene kant is dit goed omdat dit leidt tot continue verbetering van het Information Security Management System (ISMS). Maar aan de andere kant wordt het soms een doel op zich: De auditor hanteert een eigen interpretatie van een bepaald onderwerp en rapporteert dit als een afwijking. De reflex van de security officer is dan vaak dat de afwijking wordt gecorrigeerd, zonder overtuigd te zijn van de toegevoegde waarde – Laten we maar door het hoepeltje springen, dan wordt ons certificaat weer verlengd.

Deze vele misverstanden en de ruimte die ISO 27001 laat voor interpretatie en nuance, zijn voor mij redenen geweest een boek te schrijven: ISO 27001 Tussen de regels. Naast een diepgaande uitleg van alle normvereisten, bevat het boek zeer veel anekdotes, praktijksituaties, valkuilen, tips en templates.

Op welke vragen moet de interne audit antwoord geven

Mijn boek is bedoeld voor organisaties die een ISMS wil implementeren, en voor auditors die een ISMS moeten beoordelen. Speciaal voor deze laatste doelgroep ga ik in het boek diepgaand in op alle onderdelen van normvereiste 9.2 (interne audit). In voorliggend artikel belicht ik de doelstellingen van de interne audit. Met andere woorden, op welke vragen moet de interne audit antwoord geven. In de praktijk zie ik dat deze vragen lang niet altijd zuiver en duidelijk worden beantwoord. Met mijn boek – en met dit artikel – hoop ik een bijdrage te leveren aan ons vakgebied.

Auditdoelstellingen bij het beoordelen van een ISMS

Als een auditor een ISMS beoordeelt, is de aanleiding doorgaans:

Een interne audit, zoals bedoeld in ISO 27001-eis 9.2 (Interne audit). Deze audits moeten plaatsvinden met geplande tussenpozen en volgens een vastgesteld intern auditprogramma.
Een ISO 27001-certificering. Een auditor van een certificerende instantie komt volgens een overeengekomen certificeringscyclus bij de organisatie langs om het ISMS te beoordelen.

De verschillen tussen beide audits zijn minimaal. Het grootste verschil is dat de interne audit onderdeel is van het ISMS, de certificeringsaudit is dat niet. Verder is de interne audit meer gericht op continue verbetering van het ISMS, terwijl de certificeringsaudit is gericht op het verkrijgen of continueren van een certificaat. Tot slot is tijdens de interne audit meestal iets meer ruimte voor de ‘natuurlijke adviesfunctie’ van de auditor, dan tijdens de certificeringsaudit.

Beide typen audits hebben in essentie dezelfde doelstelling, namelijk het beoordelen van de mate waarin het ISMS:

voldoet aan de eisen van de organisatie
voldoet aan de ISO 27001-eisen
doeltreffend is geïmplementeerd
doeltreffend wordt onderhouden.

Deze gelaagde – viervoudige – doelstelling wordt hierna toegelicht.

1. Voldoet het ISMS aan de eisen van de organisatie

Tijdens de audit moet worden beoordeeld of het ISMS voldoet aan de eisen van de organisatie. Deze eisen zijn meestal terug te vinden in vastgestelde beleidsdocumenten, procesbeschrijvingen, procedures en werkinstructies. Aan alle eisen die de organisatie zichzelf oplegt, moet worden voldaan – dat klinkt logisch. De auditor moet alle relevante documenten verzamelen, omdat ze nodig zijn als auditcriteria. Idealiter gebeurt dit vooraf, maar in de praktijk vindt het verzamelen vaak plaats tijdens de audituitvoering.

Het komt regelmatig voor dat organisaties voor bepaalde beheersmaatregelen geen eigen eisen (‘opzet’) hebben vastgesteld. Misschien is er wel bewijs van ‘bestaan’ en ‘werking’, maar hoe moet dit worden beoordeeld? De auditor kan niet zijn eigen mening als auditcriterium hanteren. Aan de hand van een voorbeeld wordt dit geïllustreerd: Beheersmaatregel A.7.13 (Onderhoud van apparatuur) is geselecteerd in de Verklaring van Toepasselijkheid (VvT), maar nergens is vastgelegd wat het onderhoud betreft, wie dat moet doen en hoe, waar en wanneer dat moet plaatsvinden.

De auditee kan uitleggen welk onderhoud er plaatsvindt, maar hoe moet de auditor beoordelen of dit ook de juiste manier is? In dat geval kan ISO 27002 soms uitkomst bieden in de discussie met de auditee. Deze standaard is bedoeld als referentie en leidraad bij het implementeren van de maatregelen uit bijlage A van ISO 27001. Misschien staan er in ISO 27002 acties die in de praktijk worden uitgevoerd, maar niet als zodanig zijn vastgelegd als eigen eisen. Let op, als de organisatie de eigen eisen niet heeft vastgelegd, betekent dat waarschijnlijk wél dat de auditor een afwijking zal schrijven.

Een ander voorbeeld: Een organisatie heeft beheersmaatregel A.5.15 (Toegangsbeveiliging) als van toepassing geselecteerd in de VvT. Deze beheersmaatregel stelt dat regels voor toegangsbeveiliging moeten worden vastgesteld. Tijdens de audit blijkt dat de organisatie die regels niet heeft vastgesteld. De auditor rapporteert vervolgens een afwijking op het ontbreken van vastgestelde regels voor toegangsbeveiliging. Hiervoor is immers objectief bewijs.

De organisatie heeft echter ook beheersmaatregel A.5.18 (Toegangsrechten) geselecteerd in haar VvT. Deze maatregel stelt dat toegangsrechten moeten worden verstrekt, beoordeeld, aangepast en verwijderd, overeenkomstig de regels voor toegangsbeveiliging. Maar die regels zijn er dus niet. De auditor heeft geen criteria waartegen de implementatie van beheersmaatregel A.5.18 kan worden beoordeeld.

In deze situatie heeft de auditor grofweg drie mogelijkheden, die met de auditee besproken kunnen worden. In volgorde van voorkeur zijn dat:

Beheersmaatregel A.5.18 wordt niet beoordeeld, de auditor maakt een uitzondering op de reikwijdte van de audit. Beheersmaatregel A.5.18 kan pas worden beoordeeld nadat de afwijking op beheersmaatregel A.5.15 is gecorrigeerd.
De auditor rapporteert een observatie op A.5.18. Een observatie is geen afwijking, maar wordt wel gerapporteerd omdat de auditor het relevant acht voor beheersing of verbetering van het ISMS. De omschrijving is dan bijvoorbeeld als volgt: “De beheersmaatregel vereist dat toegangsrechten worden geïmplementeerd in overeenstemming met de vastgestelde toegangsregels. Tijdens de audit is vastgesteld dat deze toegangsregels niet aanwezig zijn (zie afwijking bij A.5.15). Hierdoor ontbreekt de noodzakelijke referentie om de implementatie van toegangsrechten te kunnen beoordelen.”
De auditor rapporteert een afwijking op A.5.18. Bijvoorbeeld met de omschrijving: “De organisatie kan niet aantonen dat de implementatie van toegangsrechten conform de eigen toegangsregels plaatsvindt, aangezien deze regels ontbreken (zie ook afwijking A.5.15).”

Het kan verleidelijk zijn voor een auditor om zijn eigen interpretatie te hanteren als auditcriterium, zeker als er onduidelijkheid is over de eigen eisen van de organisatie. Een voorbeeld uit mijn praktijk: Tijdens een interne audit maakte ik samen met de security officer een rondgang door het pand. Op de afdeling Sales & Marketing was niemand aanwezig, maar er lag een stapel visitekaartjes op een van de bureaus. De security officer vroeg wat ik daarvan vond. Mijn antwoord was: “Ik kan je vertellen wat mijn mening is maar ik vind het belangrijker wat jij hier van vindt. Hoe hebben jullie visitekaartjes geclassificeerd en wat zijn de bijbehorende behandelinstructies? Als daaruit blijkt dat deze niet onbeheerd op een werkplek achtergelaten mogen worden, is dat een afwijking op jullie eigen eis.”

De beheersmaatregelen uit bijlage A van de standaard zijn geen ISO 27001-eisen, maar kunnen wel eigen eisen van de organisatie worden, indien deze als van toepassing zijn geselecteerd in de VvT. De auditor moet deze maatregelen beoordelen, zoals ze letterlijk in de VvT staan. Stel, een organisatie heeft A.5.26 (Reageren op informatiebeveiligingsincidenten) van toepassing verklaard. Deze maatregel stelt dat op informatiebeveiligingsincidenten moet worden gereageerd volgens gedocumenteerde procedures. Maar wat nu als de organisatie tijdens de audit geen procedure kan laten zien maar wel een beleid? Dan is dat een afwijking op de eigen eis van de organisatie. Een procedure is immers iets anders dan een beleidsdocument, en dient een ander doel.

Ter illustratie nog enkele voorbeelden van afwijkingen op de eisen van de organisatie:

In het informatiebeveiligingsbeleid is vastgelegd dat interne audits twee keer per jaar moeten worden uitgevoerd, maar deze vinden slechts één keer per jaar plaats (afwijking op het informatiebeveiligingsbeleid van de organisatie).
In het vastgestelde ISMS-verbeterproces staat dat op alle afwijkingen binnen twee weken een grondoorzaakanalyse moet worden uitgevoerd. Voor drie van de vijf openstaande afwijkingen heeft dit niet of te laat plaatsgevonden (afwijking op het ISMS-verbeterproces van de organisatie).
In het onderwerpspecifieke beleid voor bekabeling (A.7.12 Beveiligen van bekabeling) staat dat alle server- en firewallkabels aan twee kanten gelabeld moeten zijn. Tijdens een rondgang in het datacenter werd vastgesteld dat de meeste kabels niet of slechts aan één kant waren gelabeld (afwijking op het onderwerpspecifieke beleid voor bekabeling van de organisatie).

2. Voldoet het ISMS aan de ISO 27001-eisen

Voor auditors is deze subdoelstelling eigenlijk de makkelijkste. De auditcriteria worden namelijk op een presenteerblaadje aangeboden, want de ISO 27001-eisen staan in de hoofdstukken vier tot en met tien van de standaard. Niets meer en niets minder. En aan al deze eisen moet worden voldaan – eisen kunnen niet worden uitgesloten.

Ter illustratie, enkele voorbeelden van situaties (afwijkingen) waarbij het ISMS niet voldoet aan ISO 27001-eisen:

Het vastgestelde informatiebeveiligingsbeleid van de organisatie bevat geen verbintenis om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging (afwijking op normvereiste 5.2.c).
De security officer gaf een toelichting op de risicobeoordelingsprocedure maar vertelde erbij dat deze procedure niet beschikbaar was als gedocumenteerde informatie (afwijking op normvereiste 6.1.2).
De organisatie kan geen bewijs leveren dat risico-eigenaren het plan voor de behandeling van informatiebeveiligingsrisico’s hebben goedgekeurd en de resterende informatiebeveiligingsrisico’s hebben geaccepteerd (afwijking op normvereiste 6.1.3.f).
Tijdens een rondgang door het gebouw hebben diverse medewerkers aan de auditor verteld zich niet bewust te zijn van de aanwezigheid van een informatiebeveiligingsbeleid (afwijking op normvereiste 7.3).

Deze afwijkingen zijn recht-toe-recht-aan en er is geen speld tussen te krijgen, omdat er objectief bewijs is dat de aangetroffen situatie niet aansluit bij de auditcriteria. Het is belangrijk dat auditees afwijkingen goed begrijpen en daar hetzelfde beeld bij hebben als de auditor. Als dat niet het geval is, is de auditee waarschijnlijk niet in staat de juiste correctie op de afwijking toe te passen.

Het komt regelmatig voor dat afwijkingen worden gerapporteerd op subjectieve auditcriteria. De auditor hanteert dan een vrije – zijn eigen – interpretatie van de normvereisten. Dit wordt geïllustreerd aan de hand van twee voorbeelden:

De organisatie heeft het toepassingsgebied van het ISMS vastgesteld, maar heeft dit niet ter afstemming voorgelegd bij alle medewerkers.
In het functieprofiel van de security officer ontbreekt de noodzaak voor het bezitten van een CISSP/CISM-certificering.

Helaas zijn dit waargebeurde situaties, waarbij de auditor zijn eigen interpretatie gaf aan ISO 27001-eisen. De organisatie moest dit vervolgens oplossen. In het eerste voorbeeld heeft de security officer een lijst gemaakt met de namen van alle medewerkers. Na een ingelaste medewerkersbijeenkomst met uitleg over het toepassingsgebied, moest iedereen de lijst aftekenen. De auditor vond deze correctie voldoende waarna de afwijking werd gesloten.

Het komt in de praktijk weleens voor dat er discussie is over de interpretatie van ISO 27001-eisen. In dat geval kan het nuttig zijn om ISO 27003 te raadplegen. Deze standaard biedt guidance op het ISMS. Hierin wordt bijvoorbeeld uitgelegd welke onderwerpen worden verwacht in het plan om informatiebeveiligingsrisico’s te behandelen. Het enige dat hierover in ISO 27001 staat, is dat het plan moet worden geformuleerd en moet worden goedgekeurd door risico-eigenaren.

3. Is het ISMS doeltreffend geïmplementeerd

Dit is zonder twijfel de lastigste en meest tijdrovende auditdoelstelling, maar in mijn ogen wel de meest waardevolle. Hier wordt niet beoordeeld of ‘de dingen goed worden gedaan’ maar of ‘de goede dingen worden gedaan’. We kennen allemaal het voorbeeld van de ‘betonnen zwemvesten’. Deze kunnen kwalitatief uitermate goed worden gefabriceerd, maar wat heeft de organisatie er aan?

Doeltreffendheid zegt iets over de mate waarin het beoordeelde onderwerp het beoogde doel dient. De standaard ISO 27000 – waarin definities van diverse termen staan – definieert doeltreffendheid als de mate waarin geplande activiteiten worden uitgevoerd en geplande resultaten worden bereikt. Er moet een bevredigend antwoord worden gegeven op de waarom-vraag. Met andere woorden, of het ISMS oplevert wat de organisatie ermee wilde bereiken: Worden de risico’s inderdaad verminderd door de getroffen beheersmaatregelen? Leiden acties op gebied van bewustwording tot beter gedrag van medewerkers? Doet de organisatie wat met de klanten is overeengekomen? Et cetera.

Ter illustratie een voorbeeld. In het back-upbeleid van de organisatie staat dat één keer per dag een back-up moet worden gemaakt van klantgegevens en de auditor heeft vastgesteld dat dit inderdaad gebeurt. Er wordt dus voldaan aan de eigen eis van de organisatie. Echter: uit een klantcontract blijkt dat twee keer per dag een back-up moet worden gemaakt. Dit is een afwijking op de doeltreffendheid van de ISMS implementatie (specifiek: het back-upbeleid). De organisatie doet niet wat met de klanten is afgesproken.

Bij het verzamelen van auditcriteria voor het beoordelen van doeltreffendheid van het ISMS, moet de auditor vaak dieper in de line of sight duiken. Hiermee wordt bedoeld dat binnen het ISMS van boven naar beneden én van beneden naar boven relaties worden gelegd. Als de auditor deze line of sight volgt, wordt het eenvoudiger om auditcriteria af te leiden voor het beoordelen van doeltreffendheid. Deze auditcriteria kunnen namelijk vaak worden afgeleid uit bovenliggende onderdelen in de line of sight. Ik zal dit principe toelichten aan de hand van een voorbeeld:

ISMS context (4.2)

In privacywetgeving is bepaald dat datalekken binnen een voorgeschreven maximale termijn moeten worden gemeld aan betrokkenen en/of de toezichthouder.

ISMS beleid (5.2)

In het informatiebeveiligingsbeleid is het commitment opgenomen om aan wet- en regelgeving te voldoen.

ISMS risicobeoordeling (6.1.2)

Het risico is onderkend dat datalekken niet tijdig worden gemeld, waardoor boetes en reputatieschade ontstaan. Op basis van kans en impact is het risiconiveau als ‘Hoog’ ingeschat.

ISMS risicobehandeling (6.1.3)

A.5.26 (Reageren op informatiebeveiligingsincidenten) is geselecteerd in de VvT met als reden risicobehandeling voor voorgaand risico. In de incidentmanagementprocedure wordt rekening gehouden met de afhandeling en het melden van datalekken bij betrokkenen, klanten en de toezichthouder – afhankelijk van de situatie.

ISMS competentie, bewustzijn en communicatie (7.2, 7.3, 7.4)

De medewerkers van de servicedesk zijn competent om adequaat te reageren bij datalekken. Alle medewerkers van de organisatie zijn bewust gemaakt van het belang om datalekken te melden. De organisatie heeft vastgesteld wie, wanneer, met wie en hoe wordt gecommuniceerd in geval van een datalek.

ISMS uitvoering (8.1)

In de operationele planning is een actie opgenomen om maandelijks alle opgetreden datalekken in de achterliggende maand, inclusief een analyse, te rapporteren aan het topmanagement.

ISMS monitoren en meten (9.1)

Aangezien A.5.26 is aangemerkt als een kritieke beheersmaatregel (key control), vindt tweemaandelijks een controle plaats op de effectieve werking van het incidentmanagementproces.

ISMS management review (9.3)

Op basis van een trendanalyse naar aanleiding van opgetreden datalekken in het afgelopen jaar, bepaalt het topmanagement of afspraken met klanten over de meldtermijn van datalekken kunnen worden aangescherpt.

Ter illustratie twee voorbeelden van afwijkingen op de doeltreffende implementatie van het ISMS:

Beheersmaatregel A.5.8 (Informatiebeveiliging in projectmanagement) is geïmplementeerd en voldoet aan de eigen eisen. Deze beheersmaatregel is echter geselecteerd ter behandeling van een risico op inbraak in het kantoorpand. De organisatie kan de reden hiervan niet uitleggen: vermoedelijk is de beheersmaatregel gekoppeld aan het verkeerde risico (afwijking op de doeltreffendheid van het risicobehandelingsproces van de organisatie).
In het onderwerpspecifieke beleid voor toegangsbeveiliging staat dat logbestanden dertig dagen moeten worden bewaard. Dit is ook zo geïmplementeerd. Met klanten is echter contractueel overeengekomen dat logbestanden zes maanden bewaard moeten blijven (afwijking op de doeltreffendheid van het onderwerpspecifieke beleid voor toegangsbeveiliging van de organisatie).

De auditor mag natuurlijk zijn eigen expertise inbrengen, maar moet wel opletten niet op de stoel van de organisatie te gaan zitten. Stel, dat een organisatie in haar onderwerpspecifieke beleid voor toegangsbeveiliging heeft opgenomen dat een wachtwoord minimaal vier posities moet zijn. Op basis van onderbuikgevoel heeft de auditor dan waarschijnlijk al zijn rode pen in de aanslag om een afwijking te schrijven: een wachtwoord van vier posities lijkt immers niet van deze tijd. Maar wat is dan de afwijking? Dat een wachtwoord minimaal acht posities moet zijn? Of tien? Of twaalf? Op welk auditcriterium wordt er afgeweken? De auditor weet waarschijnlijk nog niet hoe dit beleid tot stand is gekomen.

Als het goed is, heeft de organisatie dit beleid vastgesteld omdat het van mening was daarmee een risico te kunnen behandelen. De auditor zou hier meer informatie over kunnen achterhalen, in plaats van zelf de risico’s te gaan bedenken voor de organisatie – dat is niet de taak van de auditor. Tijdens een discussie met de security officer kan wellicht de gezamenlijke conclusie worden getrokken dat een wachtwoord van vier posities het risico onvoldoende behandelt. In dat geval is dat een afwijking op de doeltreffendheid van het onderwerpspecifieke beleid voor toegangsbeveiliging. Maar wellicht zit de angel dieper en zegt dit iets over de doeltreffendheid van het risicobehandelingsproces (normelement 6.1.3) en/of de competenties van de risicomanager (normelement 7.2). De auditor doet er verstandig aan dit te achterhalen tijdens de audit en daarmee de vinger op de (juiste) zere plek te leggen.

4. Wordt het ISMS doeltreffend onderhouden

Deze laatste auditdoelstelling is meestal vrij eenvoudig. Doeltreffend onderhoud kan vaak worden afgeleid uit de status van gedocumenteerde informatie. Is deze actueel? Is een periodieke evaluatie opgenomen in de operationele planning? Et cetera.

De auditcriteria voor onderhoudbaarheid van het ISMS zijn meestal algemeen van aard. De auditor kan beoordelen of alle gedocumenteerde ISMS-informatie, inclusief registraties, juist, tijdig en volledig zijn. Goed huisvaderschap dus, om ervoor te zorgen dat het ISMS actueel blijft. Als er afwijkingen zijn op het doeltreffende onderhoud van het ISMS, worden deze vaak gerelateerd aan de normvereisten 8.1 (uitvoering) of 7.5 (gedocumenteerde informatie).

Ter illustratie twee voorbeelden van afwijkingen op de doeltreffendheid van het onderhoud van het ISMS:

Er zijn achterstanden in diverse registraties, in de voortgang van acties en bij de evaluatie van procesdocumentatie (afwijking op het onderhoud van het ISMS, specifiek op de procesbeheersing (normvereiste 8.1)).
De jaarlijkse review van beleidsdocumenten heeft al drie jaar niet meer plaatsgevonden, en in de autorisatiematrix wordt een informatiesysteem vermeld dat al vijf jaar is uitgefaseerd (afwijking op de doeltreffendheid van het onderhoud van het ISMS, specifiek op normvereiste 7.5.2.c).

Tot slot

In dit artikel heb ik een toelichting gegeven op de auditdoelstellingen van een ISMS-audit. In mijn boek wordt dit onderwerp uitgebreider behandeld en worden ook de andere aspecten van normelement 9.2 (interne audit) uitgelegd. Denk aan het intern auditprogramma, de auditvoorbereiding, uitvoering en rapportage, en de begrippen ‘objectiviteit’ en ‘onpartijdigheid’.

Het is voor auditors belangrijk om bewust om te gaan met de viervoudige auditdoelstelling als een ISMS wordt beoordeeld. De audit zou kunnen beginnen met het beoordelen van de ISO 27001-eisen en eigen eisen. Daarna kan een verdieping worden gemaakt naar de doeltreffende implementatie en onderhoud.

Bij het rapporteren van een afwijking moet volstrekt duidelijk worden gemaakt 1) op welk auditcriterium wordt afgeweken, 2) wat de discrepantie is tussen de aangetroffen situatie en het auditcriterium en 3) op basis van welk objectief bewijs dat is aangetoond. Dit vereenvoudigt het gesprek met de auditee en het laat geen misverstanden bestaan over de benodigde correctie.

Nog een laatste gedachte die ik graag wil delen: Bij het beoordelen van een ISMS, zouden auditors nieuwsgierig en open minded moeten zijn, en ruimte laten voor andere, verfrissende inzichten. Om van A naar B te komen heeft de organisatie misschien niet de meest voor de hand liggende weg gekozen, maar wel een doeltreffende weg: hun eigen weg.