Het ISO 27001-certificeringsproces verloopt in twee afzonderlijke auditstages, elk met een eigen focus. Een Stage 1-audit controleert de documentatie en de gereedheid van je informatiebeveiligingsmanagementsysteem, terwijl een Stage 2-audit de daadwerkelijke implementatie en effectiviteit van beveiligingsmaatregelen beoordeelt. Deze tweefasige aanpak zorgt voor een grondige beoordeling voordat certificering wordt toegekend.
Wat houdt een Stage 1-audit precies in?
Een Stage 1-audit is een documentatiebeoordeling waarbij de auditor controleert of je organisatie gereed is voor de volledige certificeringsaudit. De auditor beoordeelt of alle vereiste documenten aanwezig en volledig zijn en voldoen aan de ISO 27001-standaard.
Tijdens deze eerste auditfase controleert de auditor:
- Het informatiebeveiligingsbeleid en de scope van je ISMS
- Risicoanalysedocumenten en behandelplannen
- De verklaring van toepasselijkheid met geselecteerde beheersmaatregelen
- Procedures en werkinstructies voor informatiebeveiliging
- Managementbeoordelingen en interne auditrapportages
De Stage 1-audit vindt meestal plaats op locatie of online en duurt één tot twee dagen, afhankelijk van de grootte van de organisatie. Het doel is niet om non-conformiteiten te vinden, maar om vast te stellen of de documentatie voldoende is voor een succesvolle Stage 2-audit. De auditor geeft feedback over eventuele lacunes die vóór de volgende fase moeten worden aangepakt.
Hoe verschilt een Stage 2-audit van de eerste auditfase?
Een Stage 2-audit is een implementatie-audit waarbij de auditor controleert of beveiligingsmaatregelen daadwerkelijk worden uitgevoerd zoals beschreven in de documentatie. Deze audit gaat veel dieper dan alleen het beoordelen van documenten.
Tijdens de Stage 2-audit voert de auditor het volgende uit:
- Interviews met medewerkers over beveiligingsprocedures
- Controle van technische beveiligingsmaatregelen, zoals firewalls en toegangscontroles
- Verificatie van fysieke beveiliging en clean-deskbeleid
- Beoordeling van incidentresponsprocedures en managementbeoordelingen
- Steekproeven van beveiligingsregistraties en logbestanden
Deze tweede auditfase duurt meestal twee tot vijf dagen en vindt doorgaans plaats op locatie. De auditor zoekt naar bewijs dat procedures daadwerkelijk worden gevolgd en effectief zijn. Eventuele non-conformiteiten worden geregistreerd en moeten binnen een bepaalde termijn worden opgelost voordat certificering wordt verleend.
Waarom zijn er twee verschillende auditstages bij ISO 27001?
Het tweefasige auditsysteem zorgt voor een systematische en grondige beoordeling die zowel organisaties als auditors ten goede komt. Deze aanpak voorkomt dat organisaties onvoorbereid een volledige audit ondergaan.
De logica achter twee auditstages:
- Stage 1 geeft organisaties tijd om documentatielacunes aan te pakken
- Auditors kunnen zich beter voorbereiden op de implementatie-audit
- Het risico op falen tijdens de kostbare Stage 2-audit wordt verminderd
- Organisaties krijgen waardevolle feedback vóór de definitieve beoordeling
Dit systeem draagt bij aan effectievere ISO 27001-begeleiding omdat problemen vroeg in het proces worden geïdentificeerd. Het voorkomt ook dat auditors tijd verspillen aan het beoordelen van organisaties die nog niet gereed zijn voor certificering.
Wat gebeurt er als je faalt in Stage 1 of Stage 2?
Falen in een auditfase betekent niet het einde van je certificeringsproces, maar wel dat correctieve maatregelen nodig zijn voordat je kunt doorgaan. Elke stage heeft verschillende mogelijke uitkomsten.
Bij Stage 1 falen kan betekenen:
- Onvolledige documentatie die moet worden aangevuld
- Ontbrekende procedures die ontwikkeld moeten worden
- Een inadequate risicoanalyse die herzien moet worden
- Uitstel van de Stage 2-audit totdat lacunes zijn opgelost
Bij Stage 2 falen resulteert in:
- Non-conformiteiten die binnen 90 dagen opgelost moeten worden
- Een vervolgaudit om correctieve maatregelen te verifiëren
- Mogelijke herhaling van delen van de Stage 2-audit
- Uitstel van certificering totdat alle problemen zijn opgelost
De meeste organisaties slagen uiteindelijk voor beide stages, vooral wanneer ze professionele begeleiding hebben gehad tijdens de voorbereidingsfase. Het is belangrijk om voldoende tijd in te plannen voor eventuele correctieve maatregelen.
Hoe IT Aanspreekpunt helpt met ISO 27001-auditvoorbereiding
Wij begeleiden MKB-organisaties door het volledige certificeringsproces, van de eerste risicoanalyse tot de succesvolle afronding van beide auditstages. Onze aanpak zorgt ervoor dat bedrijven goed voorbereid en zelfverzekerd beide auditstages doorlopen.
Onze ISO 27001-begeleiding omvat:
- Een gratis quickscan om je huidige situatie te beoordelen
- Complete documentatie die voldoet aan de eisen van auditors
- Praktische procedures die daadwerkelijk werkbaar zijn
- Voorbereiding op zowel Stage 1- als Stage 2-audits
- Ondersteuning tijdens het volledige auditproces
- Begeleiding bij eventuele correctieve maatregelen
Als ISO 27001-gecertificeerde organisatie kennen we het auditproces van binnenuit. We zorgen ervoor dat je documentatie en implementatie vanaf het begin audit-ready zijn, wat de kans op succes in beide stages aanzienlijk vergroot. Neem contact op voor een gratis quickscan en persoonlijk advies over je certificeringstraject.