{"id":5895,"date":"2026-02-26T09:56:34","date_gmt":"2026-02-26T09:56:34","guid":{"rendered":"https:\/\/cingulum.eu\/?p=5895"},"modified":"2026-03-13T09:53:44","modified_gmt":"2026-03-13T09:53:44","slug":"hoe-bereid-je-je-voor-op-een-iso-27001-of-cyfun-audit","status":"publish","type":"post","link":"https:\/\/cingulum.eu\/nl\/hoe-bereid-je-je-voor-op-een-iso-27001-of-cyfun-audit\/","title":{"rendered":"Hoe bereid je je voor op een ISO 27001 of CyFun audit?"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5895\" class=\"elementor elementor-5895\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-bf7e8e7 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"bf7e8e7\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-2c8067e\" data-id=\"2c8067e\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-184f573 elementor-widget elementor-widget-text-editor\" data-id=\"184f573\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;ekit_we_effect_on&quot;:&quot;none&quot;}\" data-widget_type=\"text-editor.default\">\n\t\t\t\t\t\t\t\t\t<h4>Wat auditors \u00e9cht verwachten<\/h4><p>Een ISO 27001- of CyFun-audit wordt vaak gezien als een spannend controlemoment. Toch draait een audit niet om foutloos papierwerk, maar om \u00e9\u00e9n centrale vraag: heeft je organisatie haar informatiebeveiliging onder controle, en kan ze dat ook aantonen?<\/p><p>Een goede voorbereiding gaat daarom niet alleen over \u2018slagen voor de audit\u2019, maar over het opbouwen van structuur, inzicht en duidelijke verantwoordelijkheden. Dat helpt niet alleen tijdens de audit, maar versterkt ook je organisatie op lange termijn.<\/p><p>In deze blog duiken we dieper in wat auditors effectief verwachten, en hoe je je organisatie daar realistisch op voorbereidt, zonder de theorie te laten primeren op de praktijk.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-e046fcd elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"e046fcd\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-7181eb6\" data-id=\"7181eb6\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-54730cb elementor-widget elementor-widget-text-editor\" data-id=\"54730cb\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;ekit_we_effect_on&quot;:&quot;none&quot;}\" data-widget_type=\"text-editor.default\">\n\t\t\t\t\t\t\t\t\t<h2>ISO 27001 en CyFun: andere aanpak, hetzelfde uitgangspunt<\/h2>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-c1c4436 elementor-widget elementor-widget-html\" data-id=\"c1c4436\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;ekit_we_effect_on&quot;:&quot;none&quot;}\" data-widget_type=\"html.default\">\n\t\t\t\t\t<div style=\"position:relative;padding-top:56.25%;\"><iframe src=\"https:\/\/player.mediadelivery.net\/embed\/584933\/cfca0bba-9b63-4e46-83bf-46f75bee72e2?autoplay=false&loop=false&muted=false&preload=true&responsive=true\" loading=\"lazy\" style=\"border:0;position:absolute;top:0;height:100%;width:100%;\" allow=\"accelerometer;gyroscope;autoplay;encrypted-media;picture-in-picture;\" allowfullscreen=\"true\"><\/iframe><\/div>\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-ba6dbd0 elementor-widget elementor-widget-text-editor\" data-id=\"ba6dbd0\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;ekit_we_effect_on&quot;:&quot;none&quot;}\" data-widget_type=\"text-editor.default\">\n\t\t\t\t\t\t\t\t\t<p>ISO 27001 en het CyberFundamentals Framework vertrekken vanuit hetzelfde uitgangspunt: bedrijfsrisico\u2019s begrijpen en beheersen. Het verschil zit hem vooral in de vorm.<\/p><p>ISO 27001 vraagt een formeel opgezet managementsysteem (een ISMS), met duidelijke rollen, beleid, opvolging en verbetering. CyFun legt meer nadruk op concrete beveiligingsmaatregelen en het maturiteitsniveau van je organisatie.<\/p><p>In beide gevallen geldt: wie zijn basis op orde heeft, staat al ver. De voorbereiding volgt dan ook grotendeels dezelfde lijnen.<\/p><p><span style=\"color: #f76c40;\"><strong>Twijfel je nog tussen ISO 27001 en CyFun? Lees er dan meer over in <a style=\"color: #f76c40;\" href=\"https:\/\/cingulum.eu\/iso27001-vs-cyberfundamentals\/\">deze blog.<\/a><\/strong><\/span><\/p><p>Weet je al welke audit je wilt doorlopen? Dan zijn onderstaande vijf aandachtspunten cruciaal om goed voorbereid aan de audit te starten.<\/p><ol><li>Scoping &amp; doel<\/li><li>Actuele risico-analyse<\/li><li>Begrijpelijk en werkbaar<\/li><li>Betrek medewerkers &amp; management actief<\/li><li>Voer een interne audit uit<\/li><\/ol>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-d327bc2 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"d327bc2\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-6652e13\" data-id=\"6652e13\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-db5eb3c elementor-widget elementor-widget-text-editor\" data-id=\"db5eb3c\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;ekit_we_effect_on&quot;:&quot;none&quot;}\" data-widget_type=\"text-editor.default\">\n\t\t\t\t\t\t\t\t\t<h3>1.\u00a0\u00a0 Scope &amp; doel van de audit: Bepaal vooraf wat je laat beoordelen<\/h3><p>Een audit verloopt alleen vlot als vooraf duidelijk is wat precies wordt beoordeeld. Daarom is het bepalen van de scope \u00e9\u00e9n van de belangrijkste stappen in je voorbereiding.<\/p><p>De scope beschrijft welke processen, systemen, activiteiten, medewerkers en locaties onder de audit vallen. Dat lijkt eenvoudig, maar wordt snel complex in organisaties met meerdere vestigingen, cloudomgevingen of veel externe leveranciers.<\/p><p>Een goed afgebakende scope is:<\/p><ul><li>afgestemd op je kernactiviteiten<\/li><li>duidelijk voor alle betrokkenen<\/li><li>logisch en verdedigbaar tegenover de auditor<\/li><\/ul><p>Een vage of slecht onderbouwde scope leidt bijna altijd tot extra vragen en onnodige discussies tijdens de audit.<\/p><p>Bij ISO 27001 valt het volledige Information Security Management System (ISMS) binnen de scope. Dat omvat onder andere beleid, risicobeheer, beveiligingsmaatregelen en continue verbetering. Bij CyFun ligt de focus meer op concrete maatregelen en het maturiteitsniveau van je organisatie.<\/p><p>Welk framework je ook kiest: leg duidelijk vast wat binnen en buiten scope valt. Dat voorkomt verrassingen en geeft rust tijdens de audit.<\/p><h3>2.\u00a0\u00a0 Risicoanalyse: Toon aan dat je risico\u2019s begrijpt en opvolgt<\/h3><p>Audits voor ISO 27001 en CyFun steunen sterk op risicodenken. De auditor verwacht geen theoretisch model, maar een realistisch beeld van wat er mis kan gaan binnen je organisatie en hoe je daar dan mee omgaat.<\/p><p>Concreet betekent dat, dat je organisatie moet kunnen uitleggen welke risico\u2019s relevant zijn voor haar werking, waarom sommige risico\u2019s prioriteit krijgen en hoe de gekozen maatregelen bijdragen aan risicobeperking.<\/p><p>Een risicoanalyse die leeft in de organisatie, mee evolueert met veranderingen en gebruikt wordt als stuurinstrument, weegt veel zwaarder dan een eenmalige oefening. Een louter theoretische oefening, opgezet enkel voor de audit, wordt snel doorprikt.<\/p><h3>3.\u00a0\u00a0 Maak documentatie werkbaar en begrijpbaar<\/h3><p>Beleid en procedures zijn nodig, maar ze zijn geen doel op zich. Tijdens een audit wordt vooral gekeken of de afspraken begrijpelijk zijn, en ook effectief toegepast worden. Met andere woorden: sluiten ze aan bij de dagelijkse realiteit van de medewerkers, en begrijpen zij dit ook? Medewerkers moeten zeker niet elk detail kennen, maar wel in grote lijnen kunnen uitleggen wat er van hen verwacht wordt op het vlak van informatiebeveiliging.<\/p><p>Beleid dat niemand leest of herkent, vergroot het risico in plaats van het te verkleinen. Zowel voor ISO 27001 als voor CyFun zijn er enkele verplichte documenten, maar dat aantal is kleiner dan veel organisaties denken.<\/p><p>Minder documenten, helder geschreven en gedragen door de organisatie, zorgen voor meer vertrouwen bij de auditor dan een overvolle map die zelden wordt geopend.<\/p><p><strong>Hoe zorg je ervoor dat medewerkers je beleid ook effectief begrijpen?<\/strong><\/p><p>De sleutel ligt in duidelijke communicatie:<\/p><ul><li>Schrijf beleid in mensentaal, zodat het begrijpelijk is voor iedereen binnen de organisatie.<\/li><li>Vermijd onnodig jargon en technische redeneringen. Medewerkers focussen in de eerste plaats op het uitvoeren van hun eigen rol.<\/li><li>Leg de nadruk op wat concreet verwacht wordt: wat moet iemand doen, laten of melden? Leg ook uit waarom, zonder te veel uit te weiden over tecnische aspecten.<\/li><\/ul><p>Hoe eenvoudiger en concreter je beleid, hoe groter de kans dat het ook effectief wordt toegepast. En net dat is waar auditors naar op zoek zijn.<\/p><h3>4.\u00a0\u00a0 Betrek medewerkers en management actief<\/h3><p>Zoals ook in de video wordt aangehaald, is een audit geen IT-feestje. Medewerkers spelen immers een belangrijke rol in informatieveiligheid. Ze moeten weten welke informatie gevoelig is, hoe ze ermee moeten omgaan en wat van hen verwacht wordt bij incidenten of afwijkingen.<\/p><p>Daarnaast speelt het management een sleutelrol. Auditors toetsen expliciet of leidinggevenden hun verantwoordelijkheid opnemen, richting geven en beslissingen nemen op basis van risico\u2019s. Dit hoeft niet te betekenen dat het management alle details vanbuiten en vanbinnen kent, wel dat er aantoonbare betrokkenheid, opvolging en sturing is.<\/p><p>Wanneer informatiebeveiliging zichtbaar deel uitmaakt van overleg, besluitvorming en prioriteiten, toont dat maturiteit. Het geeft auditors vertrouwen dat beveiliging geen eenmalige oefening is, maar een vast onderdeel van de bedrijfsvoering.<\/p><h3>5.\u00a0\u00a0 Voer een interne audit uit en oefen voor het \u00e9cht telt<\/h3><p>Een interne audit of voorbereidende evaluatie is \u00e9\u00e9n van de meest onderschatte, maar tegelijk meest waardevolle stappen in de aanloop naar een externe audit. Het is een moment om zonder externe druk kritisch naar je eigen werking te kijken.<\/p><p>Tijdens een interne audit toets je of afspraken effectief worden nageleefd, of documentatie klopt met de praktijk en of verantwoordelijkheden duidelijk zijn. Dat maakt eventuele risico\u2019s of fouten zichtbaar op een moment waarop je ze nog rustig kan aanpakken.<\/p><p>Belangrijk is dat de resultaten van zo\u2019n oefening niet in een lade verdwijnen. Auditors kijken niet alleen naar de vaststellingen, maar vooral naar wat ermee gebeurt. Worden verbeteracties vastgelegd? Is er opvolging? Wordt er bijgestuurd waar nodig?<\/p><p>Organisaties die kunnen aantonen dat ze zichzelf evalueren en verbeteren, tonen maturiteit. Dat weegt vaak zwaarder door dan een situatie waarin \u2018alles in orde lijkt\u2019, maar nooit werd getest.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-58d7d43 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"58d7d43\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-0fc584e\" data-id=\"0fc584e\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-67e4634 elementor-widget elementor-widget-text-editor\" data-id=\"67e4634\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;ekit_we_effect_on&quot;:&quot;none&quot;}\" data-widget_type=\"text-editor.default\">\n\t\t\t\t\t\t\t\t\t<h2>Een audit als meetpunt, niet als eindstation<\/h2><p>Een ISO 27001- of CyFun-audit vormt niet de finishlijn, maar eerder een momentopname binnen een continu traject naar betere digitale weerbaarheid.<\/p><p>Wie audits benadert als stuurinstrument, haalt er meer uit dan alleen een positief rapport. Het leidt tot betere beslissingen, meer vertrouwen bij klanten en een stevigere basis voor toekomstige verplichtingen, zoals NIS2. Dat positieve rapport is een added bonus.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-151c8df elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"151c8df\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-20b6596\" data-id=\"20b6596\" data-element_type=\"column\" data-e-type=\"column\" data-settings=\"{&quot;background_background&quot;:&quot;gradient&quot;}\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-inner-section elementor-element elementor-element-018681e elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"018681e\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-wider\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-inner-column elementor-element elementor-element-19fea6f\" data-id=\"19fea6f\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-6875f34 elementor-widget elementor-widget-heading\" data-id=\"6875f34\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;ekit_we_effect_on&quot;:&quot;none&quot;}\" data-widget_type=\"heading.default\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Ondersteuning nodig bij je voorbereiding?<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-03e932b elementor-widget elementor-widget-text-editor\" data-id=\"03e932b\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;ekit_we_effect_on&quot;:&quot;none&quot;}\" data-widget_type=\"text-editor.default\">\n\t\t\t\t\t\t\t\t\t<p>Elke organisatie is anders. Wat voor de ene werkt, is voor de andere te zwaar of net te licht.<\/p><p>Sta je voor een audit of wil je weten hoe auditklaar je organisatie vandaag is?<br \/>Cingulum ondersteunt organisaties, groot en klein, bij het opbouwen van auditklare informatiebeveiliging, afgestemd op hun realiteit.<\/p><p>Benieuwd hoe wij je kunnen ondersteunen? Neem gerust contact met ons op.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-78c8787 elementor-widget elementor-widget-button\" data-id=\"78c8787\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;ekit_we_effect_on&quot;:&quot;none&quot;}\" data-widget_type=\"button.default\">\n\t\t\t\t\t\t\t\t\t\t<a class=\"elementor-button elementor-button-link elementor-size-sm\" href=\"https:\/\/cingulum.eu\/nl\/contact\/\">\n\t\t\t\t\t\t<span class=\"elementor-button-content-wrapper\">\n\t\t\t\t\t\t\t\t\t<span class=\"elementor-button-text\">Neem contact op<\/span>\n\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Wat auditors \u00e9cht verwachten Een ISO 27001- of CyFun-audit wordt vaak gezien als een spannend controlemoment. Toch draait een audit niet om foutloos papierwerk, maar om \u00e9\u00e9n centrale vraag: heeft je organisatie haar informatiebeveiliging onder controle, en kan ze dat ook aantonen? Een goede voorbereiding gaat daarom niet alleen over \u2018slagen voor de audit\u2019, maar [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":5898,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"content-type":"","footnotes":""},"categories":[],"tags":[42,41],"post_folder":[],"class_list":["post-5895","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","tag-cyfun","tag-iso-27001"],"acf":[],"_links":{"self":[{"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/posts\/5895","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/comments?post=5895"}],"version-history":[{"count":0,"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/posts\/5895\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/media\/5898"}],"wp:attachment":[{"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/media?parent=5895"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/categories?post=5895"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/tags?post=5895"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/cingulum.eu\/nl\/wp-json\/wp\/v2\/post_folder?post=5895"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}