Wat auditors écht verwachten
Een ISO 27001- of CyFun-audit wordt vaak gezien als een spannend controlemoment. Toch draait een audit niet om foutloos papierwerk, maar om één centrale vraag: heeft je organisatie haar informatiebeveiliging onder controle, en kan ze dat ook aantonen?
Een goede voorbereiding gaat daarom niet alleen over ‘slagen voor de audit’, maar over het opbouwen van structuur, inzicht en duidelijke verantwoordelijkheden. Dat helpt niet alleen tijdens de audit, maar versterkt ook je organisatie op lange termijn.
In deze blog duiken we dieper in wat auditors effectief verwachten, en hoe je je organisatie daar realistisch op voorbereidt, zonder de theorie te laten primeren op de praktijk.
ISO 27001 en CyFun: andere aanpak, hetzelfde uitgangspunt
ISO 27001 en het CyberFundamentals Framework vertrekken vanuit hetzelfde uitgangspunt: bedrijfsrisico’s begrijpen en beheersen. Het verschil zit hem vooral in de vorm.
ISO 27001 vraagt een formeel opgezet managementsysteem (een ISMS), met duidelijke rollen, beleid, opvolging en verbetering. CyFun legt meer nadruk op concrete beveiligingsmaatregelen en het maturiteitsniveau van je organisatie.
In beide gevallen geldt: wie zijn basis op orde heeft, staat al ver. De voorbereiding volgt dan ook grotendeels dezelfde lijnen.
Twijfel je nog tussen ISO 27001 en CyFun? Lees er dan meer over in deze blog.
Weet je al welke audit je wilt doorlopen? Dan zijn onderstaande vijf aandachtspunten cruciaal om goed voorbereid aan de audit te starten.
- Scoping & doel
- Actuele risico-analyse
- Begrijpelijk en werkbaar
- Betrek medewerkers & management actief
- Voer een interne audit uit
1. Scope & doel van de audit: Bepaal vooraf wat je laat beoordelen
Een audit verloopt alleen vlot als vooraf duidelijk is wat precies wordt beoordeeld. Daarom is het bepalen van de scope één van de belangrijkste stappen in je voorbereiding.
De scope beschrijft welke processen, systemen, activiteiten, medewerkers en locaties onder de audit vallen. Dat lijkt eenvoudig, maar wordt snel complex in organisaties met meerdere vestigingen, cloudomgevingen of veel externe leveranciers.
Een goed afgebakende scope is:
- afgestemd op je kernactiviteiten
- duidelijk voor alle betrokkenen
- logisch en verdedigbaar tegenover de auditor
Een vage of slecht onderbouwde scope leidt bijna altijd tot extra vragen en onnodige discussies tijdens de audit.
Bij ISO 27001 valt het volledige Information Security Management System (ISMS) binnen de scope. Dat omvat onder andere beleid, risicobeheer, beveiligingsmaatregelen en continue verbetering. Bij CyFun ligt de focus meer op concrete maatregelen en het maturiteitsniveau van je organisatie.
Welk framework je ook kiest: leg duidelijk vast wat binnen en buiten scope valt. Dat voorkomt verrassingen en geeft rust tijdens de audit.
2. Risicoanalyse: Toon aan dat je risico’s begrijpt en opvolgt
Audits voor ISO 27001 en CyFun steunen sterk op risicodenken. De auditor verwacht geen theoretisch model, maar een realistisch beeld van wat er mis kan gaan binnen je organisatie en hoe je daar dan mee omgaat.
Concreet betekent dat, dat je organisatie moet kunnen uitleggen welke risico’s relevant zijn voor haar werking, waarom sommige risico’s prioriteit krijgen en hoe de gekozen maatregelen bijdragen aan risicobeperking.
Een risicoanalyse die leeft in de organisatie, mee evolueert met veranderingen en gebruikt wordt als stuurinstrument, weegt veel zwaarder dan een eenmalige oefening. Een louter theoretische oefening, opgezet enkel voor de audit, wordt snel doorprikt.
3. Maak documentatie werkbaar en begrijpbaar
Beleid en procedures zijn nodig, maar ze zijn geen doel op zich. Tijdens een audit wordt vooral gekeken of de afspraken begrijpelijk zijn, en ook effectief toegepast worden. Met andere woorden: sluiten ze aan bij de dagelijkse realiteit van de medewerkers, en begrijpen zij dit ook? Medewerkers moeten zeker niet elk detail kennen, maar wel in grote lijnen kunnen uitleggen wat er van hen verwacht wordt op het vlak van informatiebeveiliging.
Beleid dat niemand leest of herkent, vergroot het risico in plaats van het te verkleinen. Zowel voor ISO 27001 als voor CyFun zijn er enkele verplichte documenten, maar dat aantal is kleiner dan veel organisaties denken.
Minder documenten, helder geschreven en gedragen door de organisatie, zorgen voor meer vertrouwen bij de auditor dan een overvolle map die zelden wordt geopend.
Hoe zorg je ervoor dat medewerkers je beleid ook effectief begrijpen?
De sleutel ligt in duidelijke communicatie:
- Schrijf beleid in mensentaal, zodat het begrijpelijk is voor iedereen binnen de organisatie.
- Vermijd onnodig jargon en technische redeneringen. Medewerkers focussen in de eerste plaats op het uitvoeren van hun eigen rol.
- Leg de nadruk op wat concreet verwacht wordt: wat moet iemand doen, laten of melden? Leg ook uit waarom, zonder te veel uit te weiden over tecnische aspecten.
Hoe eenvoudiger en concreter je beleid, hoe groter de kans dat het ook effectief wordt toegepast. En net dat is waar auditors naar op zoek zijn.
4. Betrek medewerkers en management actief
Zoals ook in de video wordt aangehaald, is een audit geen IT-feestje. Medewerkers spelen immers een belangrijke rol in informatieveiligheid. Ze moeten weten welke informatie gevoelig is, hoe ze ermee moeten omgaan en wat van hen verwacht wordt bij incidenten of afwijkingen.
Daarnaast speelt het management een sleutelrol. Auditors toetsen expliciet of leidinggevenden hun verantwoordelijkheid opnemen, richting geven en beslissingen nemen op basis van risico’s. Dit hoeft niet te betekenen dat het management alle details vanbuiten en vanbinnen kent, wel dat er aantoonbare betrokkenheid, opvolging en sturing is.
Wanneer informatiebeveiliging zichtbaar deel uitmaakt van overleg, besluitvorming en prioriteiten, toont dat maturiteit. Het geeft auditors vertrouwen dat beveiliging geen eenmalige oefening is, maar een vast onderdeel van de bedrijfsvoering.
5. Voer een interne audit uit en oefen voor het écht telt
Een interne audit of voorbereidende evaluatie is één van de meest onderschatte, maar tegelijk meest waardevolle stappen in de aanloop naar een externe audit. Het is een moment om zonder externe druk kritisch naar je eigen werking te kijken.
Tijdens een interne audit toets je of afspraken effectief worden nageleefd, of documentatie klopt met de praktijk en of verantwoordelijkheden duidelijk zijn. Dat maakt eventuele risico’s of fouten zichtbaar op een moment waarop je ze nog rustig kan aanpakken.
Belangrijk is dat de resultaten van zo’n oefening niet in een lade verdwijnen. Auditors kijken niet alleen naar de vaststellingen, maar vooral naar wat ermee gebeurt. Worden verbeteracties vastgelegd? Is er opvolging? Wordt er bijgestuurd waar nodig?
Organisaties die kunnen aantonen dat ze zichzelf evalueren en verbeteren, tonen maturiteit. Dat weegt vaak zwaarder door dan een situatie waarin ‘alles in orde lijkt’, maar nooit werd getest.
Een audit als meetpunt, niet als eindstation
Een ISO 27001- of CyFun-audit vormt niet de finishlijn, maar eerder een momentopname binnen een continu traject naar betere digitale weerbaarheid.
Wie audits benadert als stuurinstrument, haalt er meer uit dan alleen een positief rapport. Het leidt tot betere beslissingen, meer vertrouwen bij klanten en een stevigere basis voor toekomstige verplichtingen, zoals NIS2. Dat positieve rapport is een added bonus.
Ondersteuning nodig bij je voorbereiding?
Elke organisatie is anders. Wat voor de ene werkt, is voor de andere te zwaar of net te licht.
Sta je voor een audit of wil je weten hoe auditklaar je organisatie vandaag is?
Cingulum ondersteunt organisaties, groot en klein, bij het opbouwen van auditklare informatiebeveiliging, afgestemd op hun realiteit.
Benieuwd hoe wij je kunnen ondersteunen? Neem gerust contact met ons op.
