Informatiebeveiliging

Voorbereiding op een externe audit: zo gaan jij en je collega's er ontspannen in

Voorbereiding op een externe audit: zo gaan jij en je collega's er ontspannen in
Een externe audit voelt voor veel organisaties als een spannende dag. Of er nu een audit ISO 27001, een audit NEN 7510 of een audit ISO 9001 aanstaande is: de kern is hetzelfde. De auditor wil zien dat jij grip hebt op je processen, je risico’s begrijpt en je organisatie echt doet wat er op papier staat. Met een goede voorbereiding hoeft zo’n externe audit geen stressmoment te zijn. Het kan juist een bevestiging worden dat je werkende systemen hebt. Daarnaast is het een mooi moment om een kritische, onafhankelijke blik op je systeem te krijgen. Grijp het dus vooral ook als kans om verbeterpunten te krijgen. Hieronder lees je hoe jij je organisatie rustig en gestructureerd richting de audit brengt.
Dit artikel is voor het laatst bijgewerkt op
26/11/2025

Neem de interne audit als generale repetitie

Een (ISO) interne audit is niet alleen een verplicht onderdeel van ISO 27001 of NEN 7510. Het is het ideale moment om te kijken of je systeem klopt en werkt. Zie het als de volledige generale repetitie voor de dag waarop de ISO 27001 auditor of een andere auditor bij je binnenstapt.

 

Zijn er verbeterpunten gevonden? Registreer ze en plan ze in. Je hoeft niet alles opgelost te hebben om je ISO certificering te behalen. Wat telt, is dat je laat zien dat je bewust bezig bent met (continu) verbeteren en "in control" bent. De auditor moet er namelijk op kunnen vertrouwen dat verbeterpunten worden opgepakt binnen een gangbaar tijdsbestek.

 

Zorg dat je directiebeoordeling actueel is

Voor normen zoals ISO 27001, NEN 7510 en ISO 9001 is de directiebeoordeling verplicht. Hier bespreek je de belangrijkste risico’s, doelstellingen, prestaties en incidenten. Ook veranderingen in interne/externe factoren en feedback van belanghebbenden moeten aan bod komen. De auditor verwacht een verslag dat klopt bij hoe jouw organisatie draait.

 

Wanneer je de directiebeoordeling jaarlijks uitvoert en de notulen goed bijhoudt (en ondertekent indien nodig), laat je zien dat het topmanagement betrokken is. Dat geeft vertrouwen en voorkomt lastige vragen tijdens de audit.

 

Maak medewerkers audit-proof

Je medewerkers spelen een grote rol bij een externe audit. Een auditor spreekt meestal een aantal mensen van verschillende afdelingen. Daarom helpt het om proefinterviews te houden. Niet om medewerkers te drillen, maar om te zorgen dat ze weten wat ze kunnen verwachten.

 

Zorg er ook voor dat trainingen en campagnes zijn uitgevoerd. Medewerkers moeten op de hoogte zijn van jullie beleid, basisprincipes van informatiebeveiliging en bijvoorbeeld de uitgangspunten van ISO 27001. Denk ook aan awarenesszaken zoals het clean desk en clear screen principe. Dit is niet alleen nodig voor een audit – het is van groot belang voor een veilige organisatie.

 

Definieer je scope helder en zorg dat alles klopt

Een auditor kijkt altijd naar de scope. Welke processen vallen binnen het managementsysteem? Welke locaties? Welke systemen? De scope moet een-op-een overeenkomen met wat de auditor in de praktijk aantreft. Een onduidelijke of te brede scope leidt al snel tot extra vragen, bijvoorbeeld tijdens een IT audit (ISO 27001).

 

Controleer je checks en verzamel bewijslast op tijd

In het geval van een audit voor informatiebeveiliging geldt: de auditor wil zien dat je maatregelen hebt geïmplementeerd én dat je kunt aantonen dat ze werken. Loop daarom alle checks door en kijk of je de bijbehorende bewijslast hebt. Het is van belang dat je de PDCA-cyclus hebt doorlopen. Mis je iets? Plan dan in wanneer je dit verzamelt. Iets goed inplannen werkt uiteraard beter dan last-minute afraffelen.

 

Dit geldt ook voor afwijkingen uit de interne audit. Opgelost is mooi, maar ingepland is ook oké als je het restrisico accepteert voor een bepaalde termijn. Zolang je maar laat zien dat je het proces onder controle hebt.

 

Bereid het topmanagement inhoudelijk voor

Een auditor wil meestal ook met het topmanagement spreken. Zorg daarom dat zij vooraf een korte briefing krijgen. Ze moeten in ieder geval weten:

 

  • wat de belangrijkste risico’s zijn
  • hoe jullie doelstellingen ervoor staan
  • welke incidenten hebben gespeeld
  • welke verantwoordelijkheden zij dragen
  • hoe het beleid is gecommuniceerd (wanneer, naar wie etc.)

 

Dat klinkt logisch, maar in de praktijk blijkt dit vaak een onderschat onderdeel van een externe audit (zoals bij de ISO 27001 of een andere norm).

 

Update je documentatie

Zorg dat alles wat je laat zien actueel is. Geen oude versienummers, geen verouderde formats, geen documenten die al een jaar in concept staan. Dit geldt voor beleid, procedures, risicoanalyses en notulen. Een auditor ziet verouderde documenten als een signaal dat je systeem niet volledig wordt bijgehouden.

 

Leg de planning tijdig vast en stem af met je CI

De planning van de externe audit moet duidelijk en haalbaar zijn. Leg deze van tevoren vast met de certificerende instelling en de betrokken medewerkers binnen jouw organisatie. Wacht niet te lang op bevestiging. Een directe mail naar je CI is heel normaal wanneer de planning op zich laat wachten. Een goede voorbereiding begint namelijk met duidelijkheid.

 

Een goede auditvoorbereiding draait om structuur en rust

Een audit hoeft geen stress te zijn. Door tijdig te starten, medewerkers te betrekken, je bewijsvoering op orde te hebben en een duidelijke scope te hanteren, geef je de auditor precies wat nodig is: het vertrouwen dat je in control bent.

 

Wil je hulp bij een audit, zoals voor de ISO 27001 of een andere norm? Of zoek je een adviseur op het gebied van informatiebeveiliging of security officer die jouw organisatie begeleidt richting de externe audit? Dan denken we graag met je mee.

 

Klaar voor de volgende stap?

Plan een kosteloos en vrijblijvend adviesgesprek van 45 minuten. Of bekijk onze nieuws & insights pagina voor meer verdieping over audits, ISO 27001 en NIS2.

Kilian Houthuijzen
Commercieel manager & partner
085 773 6005
Naar nieuwsoverzicht

Gerelateerde artikelen

Nieuws
Fendix gaat van start met NIS2 Quality Mark implementaties
lees meer
Nieuws
Nieuwe samenwerking vanwege de NIS2: Fendix x Samen Digitaal Veilig
lees meer
KAM Certificeringen is nu Fendix

Wij zijn partner van

SGS
BSI
TUV
DEKRA
KIWA
Brand Compliance
LRQA
DNV
Digitrust