De top 5 ISO/IEC 27001 auditbevindingen

Wat zijn de meest voorkomende auditbevindingen bij ISO/IEC 27001 audits? Lead Auditor en trainer Rob Jansen heeft de auditgegevens uit onze benchmarking tool Lumina geanalyseerd en geeft u zijn visie en tips om deze punten te verbeteren.

Over ISO/IEC 27001

ISO/IEC 27001 is primair gericht op het managementsysteem voor informatiebeveiliging, het beschermen van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatieverwerkende systemen binnen een organisatie. In dit artikel leest u de top 5 bevindingen bij ISO/IEC 27001 audits. Deze gegevens zijn gebaseerd op de gegevens van ISO/IEC 27001 audits die in 2022 zijn uitgevoerd door DNV Business Assurance in de Benelux.

1: Interne audits

Volgens Rob zijn de eisen die gesteld worden aan het proces van interne audits, best stevig. Het is daarom niet gek dat het (met name voor kleine organisaties) lastig is om aan deze eisen te voldoen. Volgens de ISO/IEC 27001 moet elke organisatie een meerjarig risicogebaseerd auditprogramma hebben, maar hoe zorgt u ervoor dat het meerjarig auditprogramma risicogebaseerd is? En hoe waarborgt u dat alle criteria worden beoordeeld? “Organisaties vinden het in de praktijk nog wel eens lastig om het meerjarige auditprogramma mee te laten ontwikkelen met de bedrijfsontwikkelingen door de tijd heen. Organisaties kunnen niet altijd een geactualiseerd meerjarig auditprogramma laten zien. Om iedere audit goed voor te kunnen bereiden, is een duidelijke auditplanning essentieel. De scope en criteria moeten per audit goed zichtbaar zijn. Daarnaast moet er van elke audit een rapport wordt gemaakt.” 

"Het auditprogramma hoort dynamisch te zijn" zegt Rob. “Sommige afdelingen of processen zullen op het ene auditmoment meer aandacht nodig hebben dan op andere auditmomenten. Hiernaast dient u bij iedere audit rekening te houden met de bevindingen bij voorgaande audits en moet elke audit onafhankelijk en objectief zijn. Om tot een goede interne audit te komen, is het belangrijk dat alle interne auditors in het algemeen op hetzelfde niveau zitten qua kennis en vaardigheden. Zorg er daarom voor dat de interne auditors op dezelfde wijze worden getraind, zo is de (basis)kennis hetzelfde en is de manier van auditeren eenduidig.”

2: Privacy en bescherming van persoonlijk identificeerbare informatie

Hier komt de Algemene Verordening Gegevensbescherming (AVG) om de hoek kijken, de privacywet die geldt voor de gehele Europese Unie. Rob geeft aan dat organisaties binnen de eisen van de AVG, vaak worstelen met het borgen van de technische privacyaspecten in bedrijfsprocessen en -systemen en het een uitdaging blijkt om hieraan te blijven voldoen. Ook bij het ontwikkelen en uitbesteden van bedrijfsprocessen dient u rekening te houden met privacy. Zo dient u ervoor te zorgen dat ook privacy geborgd is in contracten met kritieke leveranciers. 

3: Toezicht op en evaluatie van leveranciersdiensten

Rob gaat hier verder op in: “Kritieke leveranciers moeten volgens de ISO/IEC 27001 beoordeeld, gemonitord, geëvalueerd en geaudit worden. Dit is van belang omdat leveranciers als het ware een verlengstuk zijn van uw organisatie en hiermee impact hebben op het waarborgen van informatiebeveiliging en privacy. Wanneer een leverancier persoonsgegevens van uw klanten verwerkt, moet er een verwerkingsovereenkomt zijn. Hier moeten afspraken in staan, bijvoorbeeld hoe en hoe lang de gegevens opgeslagen mogen worden. De verwerkingsovereenkomst moet worden opgenomen in het contract, of als bijlage van het contract." Rob benoemt dat het van belang is om ook de keten achter de kritieke leveranciers inzichtelijk te hebben.  

“Een leverancier beoordeelt u voordat u een samenwerking aan gaat: voldoet deze organisatie aan de eisen die we aan een leverancier stellen? Daarna kunt u de leverancier jaarlijks beoordelen op prestaties. Monitor met een frequentie naar operationele prestaties van de leverancier, vraag bijvoorbeeld een Service Level Rapportage op. Evalueer samen met de leveranciers ‘hoe vonden we het gaan?’ en stel vast of er audits worden uitgevoerd bij de leveranciers.”

4: Risicobeoordeling 

“De ISO/IEC 27001 kent veel meer eisen op het gebied van risicobeoordeling dan bijvoorbeeld de ISO 9001. Hoe meer eisen, hoe groter de kans dat er iets niet helemaal goed gaat. Organisaties dienen een risicobeoordelingsproces op te stellen en deze minimaal jaarlijks uit te voeren. Daarnaast wordt er van organisaties verwacht dat er een risicobeoordeling wordt uitgevoerd wanneer er een grote wijziging binnen de organisatie heeft plaatsgevonden.” Rob ziet dat organisaties dit in de praktijk nog wel eens vergeten.  

“Organisaties vinden risico eigenaarschap en het aantoonbaar maken van maatregelen lastig. Zo kunnen organisaties tijdens de audit niet altijd alle actuele behandelplannen laten zien. Het is belangrijk om de samenhang en structuur van zaken te benoemen en dit goed te blijven continueren tijdens de ontwikkeling van uw managementsysteem.” 

De norm zegt dat er maatregelen genomen moeten worden om risico’s aan te pakken. “Eigen genomen maatregelen dienen vergeleken te worden met de opgelegde Annex A ‘maatregelen’. Zo weet u zeker dat u niets vergeet.” 

Tijdens de normkennis ISO/IEC 27001 training komt de risicobeoordeling aan de orde. Met praktische oefeningen wordt er gekeken naar issues (4.1), belanghebbende partijen (4.2), hoe deze zaken kunnen leiden tot kansen en risico’s (6.1) en hoe deze risico’s beheert kunnen worden, of de kansen begrepen kunnen worden (H8).

5: Toegangsbeheer

“De ISO/IEC 27001 kent verschillende eisen ten aanzien van logisch toegangsbeheer. Het toekennen van rechten binnen organisaties en systemen gaat eigenlijk altijd goed. Het intrekken of wijzigen van rechten daarentegen, wordt nog wel eens vergeten.” 

De norm zegt dat toegangsrechten regelmatig gecontroleerd moeten worden, maar wat is regelmatig? Rob zegt dat dit aan de organisatie ligt. Het moet passen bij de dynamiek van de bedrijfsvoering. “Het is een te raden om als ICT verantwoordelijke een planning te hebben hiervoor, zodat de controle met een bepaalde frequentie gedaan wordt en er niets wordt vergeten.”

Wilt u zelf aan de slag met analyses of benchmarks?

We verzamelen de gegevens van duizenden managementsysteemaudits die wereldwijd door ons zijn uitgevoerd. Deze gegevens zijn anoniem opgeslagen in Lumina, een database met meer dan 2,3 miljoen auditbevindingen. Via ons gratis klantenportaal kunt u uw organisatie vergelijken met andere organisaties in dezelfde branche.

De top 10 bevindingen en non-conformiteiten uit benchmarking tool Lumina

Wilt u meer leren over ISO/IEC 27001?