Laptopscherm met beveiligingsiconen als symbool voor een audit informatiebeveiliging
Kennis

Audit informatiebeveiliging: welke audits zijn er en hoe bereid je je voor

Een audit informatiebeveiliging is een systematische controle op hoe goed een organisatie haar informatie beschermt. Het klinkt misschien als iets dat alleen bij grote bedrijven speelt, maar steeds meer mkb-organisaties krijgen ermee te maken. Klanten vragen erom, wetgeving verplicht het en verzekeraars stellen het als voorwaarde.

In dit artikel leggen we uit welke soorten audits er zijn, hoe een ISO 27001-audit werkt en wat je moet doen om je erop voor te bereiden.

Welke audits informatiebeveiliging bestaan er

Er zijn meerdere frameworks en standaarden waarop geaudit kan worden. Welke relevant is, hangt af van je sector, je klanten en de wetgeving die op je van toepassing is.

ISO 27001

De internationale standaard voor informatiebeveiliging en veruit de meest gebruikte. Een ISO 27001-certificering toont aan dat je een Information Security Management System (ISMS) hebt ingericht dat voldoet aan de eisen van de norm. Minder dan 0,5% van alle Nederlandse bedrijven heeft dit certificaat. Benieuwd hoe security awareness training hierbij past? Lees meer over ISO 27001 en security awareness, maar het groeit snel: de afgelopen acht jaar steeg het aantal gecertificeerde organisaties in Nederland van 76 naar ruim 900.

SOC 2

Ontwikkeld door de Amerikaanse AICPA en vooral relevant voor IT-dienstverleners en SaaS-bedrijven met internationale klanten. SOC 2 toetst op vijf Trust Services Criteria: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Er is zo’n 80% overlap met ISO 27001, waardoor organisaties die het ene hebben het andere relatief makkelijk kunnen halen.

NIS2 en de Cyberbeveiligingswet

De Nederlandse implementatie van de Europese NIS2-richtlijn. De Cyberbeveiligingswet treedt naar verwachting in het tweede kwartaal van 2026 in werking en raakt 8.000 tot 10.000 organisaties direct en zo’n 50.000 mkb-bedrijven indirect via de toeleveringsketen. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

BIO2

De Baseline Informatiebeveiliging Overheid is sinds 23 september 2025 verplicht voor alle Nederlandse overheidsorganisaties. BIO2 is gebaseerd op ISO 27001 en ISO 27002:2022 en bevat 93 maatregelen in vier thema’s. Relevant als je levert aan de overheid.

ISAE 3402

Gericht op interne beheersingsmaatregelen die relevant zijn voor de financiele verslaggeving van klanten. Veel gebruikt door uitbestedingspartijen en shared service centers. Wordt uitgevoerd door RE-geregistreerde IT-auditors bij NOREA.

PCI DSS

Verplicht voor organisaties die betaalkaartgegevens verwerken, opslaan of verzenden. Sinds 31 maart 2025 geldt PCI DSS 4.0. Relevant voor betaaldienstverleners, webshops en de hospitality-sector.

AVG-audit

Een privacyaudit die toetst op naleving van de Algemene Verordening Gegevensbescherming. Controleert onder meer het verwerkingsregister, DPIA’s, datalekkenregister en verwerkersovereenkomsten. Geen verplichte certificering, maar steeds vaker gevraagd door klanten en toezichthouders.

Hoe een ISO 27001-audit werkt

Omdat ISO 27001 de meest gangbare standaard is voor een audit informatiebeveiliging, zoomen we hier verder op in. Het auditproces verloopt in duidelijke fases.

Stage 1: documentatiebeoordeling

De auditor beoordeelt of je ISMS-documentatie compleet is. Denk aan je informatiebeveiligingsbeleid, de risicobeoordeling, het risicobehandelplan en de Verklaring van Toepasselijkheid (Statement of Applicability). Deze fase duurt meestal een tot twee dagen en kan op afstand worden uitgevoerd.

Het doel is vaststellen of je klaar bent voor de echte audit. Zijn er grote hiaten, dan moet je die eerst oplossen voordat je door kunt naar Stage 2.

Stage 2: certificeringsaudit

Dit is de daadwerkelijke audit, op locatie. De auditor interviewt medewerkers op alle niveaus, bekijkt bewijsmateriaal zoals logbestanden, incidentrapportages en toegangscontroles, en verifieert of de maatregelen uit Annex A daadwerkelijk werken. Deze fase duurt twee tot vijf dagen, afhankelijk van de omvang van je organisatie.

Na afloop komt de auditor tot een certificeringsbesluit. Bij voldoende resultaat ontvang je het ISO 27001-certificaat, geldig voor drie jaar.

Jaarlijkse surveillance-audits

Na certificering volgen er jaarlijks surveillance-audits: kortere controles waarbij de certificerende instelling verifieert dat je ISMS nog steeds functioneert en dat je verbeteringen doorvoert. Na drie jaar volgt een volledige hercertificeringsaudit en begint de cyclus opnieuw.

Wat auditors controleren

Een ISO 27001-auditor kijkt niet alleen of je beleid op papier staat. De audit gaat over de praktijk. De belangrijkste aandachtspunten:

  • Risicobeoordeling heb je risico’s systematisch geidentificeerd, geanalyseerd en behandeld?
  • Verklaring van Toepasselijkheid zijn alle 93 Annex A-maatregelen beoordeeld en is de keuze voor opnemen of uitsluiten onderbouwd?
  • Operationele maatregelen werken je toegangscontroles, back-ups, incidentprocedures en logging in de praktijk?
  • Interne audits heb je het afgelopen jaar minimaal een interne audit uitgevoerd?
  • Managementbetrokkenheid is er een recente managementreview die laat zien dat de directie betrokken is?
  • Continue verbetering los je bevindingen op en leer je van incidenten?

De rol van security awareness bij ISO 27001

Een van de onderdelen waar auditors structureel naar kijken is Annex A 6.3: bewustzijn, opleiding en training op het gebied van informatiebeveiliging. De norm vereist dat alle medewerkers passende training ontvangen en regelmatig worden bijgepraat over beleid en procedures.

Dat gaat verder dan een eenmalige presentatie bij het onboarden. Auditors willen bewijs zien van een doorlopend programma: trainingsregistraties, toetsresultaten, actuele content die inspeelt op nieuwe dreigingen. De training moet bovendien afgestemd zijn op verschillende rollen binnen de organisatie.

Platformen zoals Guardey bieden security awareness training specifiek gericht op ISO 27001. Dat soort tooling maakt het eenvoudiger om te voldoen aan de eisen van Annex A 6.3 en de bijbehorende bewijslast richting de auditor te organiseren.

Veelvoorkomende tekortkomingen bij ISO 27001-audits

Uit analyses van certificerende instellingen blijkt dat dezelfde problemen steeds terugkomen:

  • Geen duidelijke risicomethodiek de manier waarop risico’s worden beoordeeld is niet gedocumenteerd of inconsistent.
  • Zwak risicobehandelplan vage maatregelen zonder concrete acties, deadlines of verantwoordelijken.
  • Ontbrekende interne audits geen bewijs van een interne audit in de afgelopen twaalf maanden.
  • Onvolledige Verklaring van Toepasselijkheid maatregelen niet of slecht onderbouwd, of niet meer actueel.
  • Gebrekkige toegangscontroles te ruime rechten, geen periodieke reviews, inconsistente autorisatie.
  • Geen leveranciersbeheer ontbrekende beveiligingsafspraken met leveranciers en geen offboarding-proces.
  • Onvoldoende bewustwordingsprogramma inconsistente trainingen, verouderde content of geen meetbare effectiviteit.

Wat kost een ISO 27001-audit

De kosten hangen sterk af van de omvang van je organisatie. Een indicatie voor Nederlandse bedrijven:

Klein (tot 25 fte) Midden (25-100 fte)
Stage 1 + Stage 2 4.500 – 11.500 euro 9.000 – 15.000 euro
Surveillance per jaar 1.200 – 3.000 euro 2.500 – 5.000 euro
Implementatiebegeleiding 5.000 – 15.000 euro 15.000 – 25.000 euro
Interne tijdsbesteding 200 – 400 uur 400 – 800 uur

Een vuistregel: reken op 60% van het totaalbudget in het eerste jaar (implementatie plus initieel audit) en 40% verspreid over jaar twee en drie (surveillance-audits en onderhoud). Het traject van start tot certificaat duurt voor mkb-bedrijven gemiddeld drie tot negen maanden.

Waarom steeds meer organisaties een audit laten uitvoeren

De redenen lopen uiteen, maar een paar factoren komen steeds terug.

Wetgeving dwingt het af. De Cyberbeveiligingswet (NIS2) brengt voor duizenden organisaties een zorgplicht en meldplicht mee, met boetes die kunnen oplopen tot 10 miljoen euro. De AVG vereist passende technische en organisatorische maatregelen, en toezichthouders controleren steeds actiever.

Klanten en opdrachtgevers vragen erom. Grote bedrijven eisen steeds vaker ISO 27001 of SOC 2 van hun leveranciers. Overheidsaanbestedingen stellen BIO2-compliance of ISO 27001-certificering als eis. Wie het niet heeft, valt af bij de selectie.

Cyberverzekeraars stellen voorwaarden. Verzekeringsmaatschappijen voor cyberrisico’s vragen steeds vaker om aantoonbare beveiligingsmaatregelen. Een ISO 27001-certificaat vereenvoudigt de aanvraag en kan de premie verlagen.

En er is het concurrentievoordeel. Met minder dan 0,5% gecertificeerde bedrijven in Nederland is ISO 27001 een onderscheidend kenmerk. Het laat zien dat je beveiliging serieus neemt, niet alleen op papier maar in de dagelijkse praktijk.

Een audit informatiebeveiliging is geen eindpunt maar een startpunt. Het dwingt je om structureel naar je beveiliging te kijken, risico’s te beheersen en je organisatie weerbaar te houden. De investering is reeel, maar de kosten van niets doen zijn hoger.

Vorig artikel Een hacker inhuren, wanneer het mag en wanneer absoluut niet