Certificering ISO 27001

Is het implementatietraject goed op weg en een planning voor de afronding ervan beschikbaar? Als de wens is om te certificeren voor de norm dan is het nu wellicht een goed moment om te gaan kijken naar de volgende stap in het proces en de stappen t.b.v. certificering voor ISO 27001.

Om voor het eerst te gaan certificeren voor de ISO 27001 spreek je van een initiële audit en deze audit zal altijd moeten worden uitgevoerd door een Certificerende Instelling (CI). De eerste stap is het uitzoeken van een Certificerende Instelling.

Uitzoeken Certificerende Instelling

Er zijn door de Raad van de Accreditatie (RvA) geaccrediteerde CI's en niet-geaccrediteerde CI's. Formeel geaccrediteerde CI's zijn door de RvA d.m.v. internationale normen getoetst vooral op deskundigheid, onpartijdigheid, onafhankelijkheid en procesbewaking. Deze instanties mogen vervolgens ook gebruik maken van het accreditatiemerk o.a. op hun certificaten en rapporten en deze worden in vrijwel alle landen wereldwijd geaccepteerd. De RvA verleent accreditatie voor een specifiek werkgebied op basis van een specifieke, vastgelegde methode (de scope). Dat is de afbakening van wat wel en wat niet onder accreditatie valt. Het feit dat een organisatie geaccrediteerd is, zegt pas écht wat in combinatie met de scope waarvoor de accreditatie is afgegeven. Niet-geaccrediteerde partijen hebben een dergelijke deskundigheidstoetsing door de RvA niet ondergaan.

Opvragen offerte certificeringsaudit

Na het uitkiezen van één of meerdere Certificerende Instellingen worden offertes opgevraagd bij deze partijen. De CI zal voor het goed kunnen beoordelen van de aanvraag informatie opvragen bij de te certificeren organsatie gerelateerd aan het certificeringstraject. Onderwerpen hierin zijn o.a. de scope, complexiteit van de organisatie, gewenste periode van uitvoering van de audit. Aan de hand daarvan zal de CI besluiten óf ze de aanvraag kunnen verwerken en vervolgens een voorstel opstellen voor de initiële audit uit te voeren in jaar 1, de controle audits benodigd in jaar 2 en 3 en een her-certificeringsaudit.

Initiële certificatie audit (jaar 1)

De initiële certificatie audit valt uiteen in twee delen, een fase 1 en een fase 2. Voorafgaand aan de audit ontvangen jullie van de auditor CI een programma met daarin een planning en onderwerpen voor fase 1 en een concept programma voor fase 2. Na beëindiging van de fase 1 stelt deze een definitief programma op voor fase 2.

De Fase 1 van de audit

Deze zal vaak bestaan uit:

  • Een openingszitting met als doel om overeenstemming te hebben van alle partijen (te toetsen organsiatie en CI) t.a.v. het auditplan, het audit team en consensus van de in deze fase uit te voeren controle werkzaamheden.
  • Een document review waarbij de relevante documentie wordt beoordeeld op conformiteit van het management systeem, voor zover gedocumenteerd, met audit criteria en indien nodig het verzamelen van informatie om de audit-activiteiten te ondersteunen.
  • Methoden voor het verzamelen van informatie zijn interviews, waarnemingen, evaluatie van documenten, met inbegrip van registers.
  • Notulen van de directiebeoordeling van het systeem en analyses n.a.v. interne kwaliteitsaudits en klachten worden met jullie samen doorgenomen. Ook worden het handboek en procedures en procesvastleggingen geverifieerd.

De Fase 2 van de audit

Mede op grond van de bevindingen wordt na de afronding van de Fase 1 van de audit een gedetailleerd programma opgesteld voor de fase 2 van de audit. Dit deel van de audit zal vaak bestaan uit een praktijktoetsing waarin op objectieve wijze moet worden vastgesteld of het gedocumenteerde systeem voldoende geïmplementeerd is in jullie bedrijfsvoering en overeenkomstig en effectief werkt. Op basis van steekproeven van onderhanden zijnde werkzaamheden en/of (afgeronde) projecten en via vraaggesprekken met de medewerkers wordt de doeltreffendheid van het beleid en de relevante processen en systemen onderzocht. Via voorbeelden en interviews wil de auditor kunnen vaststellen dat jullie de werkzaamheden goed beheersen en waar nodig aan verbetering wordt gewerkt.

Voor deze tweede fase beoordeling geldt dat het kwaliteitssysteem circa drie maanden geïmplementeerd dient te zijn!t.

Het genereren van controlebevindingen

N.a.v. beide fasen kan controle-informatie dient te worden getoetst aan de toetsingscriteria om controlebevindingen bepalen. Auditbevindingen kan conformiteit of niet-conformiteit met audit criteria aan te geven. Wanneer opgegeven door de audit plan, individuele audit bevindingen moet ook overeenstemming en goede praktijken samen met hun bewijsstukken, de mogelijkheden voor verbetering, en eventuele aanbevelingen aan de gecontroleerde.

Afwijkingen en controle-informatie moet worden geregistreerd. Afwijkingen kunnen worden ingedeeld. Ze moeten worden beoordeeld met de gecontroleerde om bevestiging te verkrijgen dat de controle-informatie accuraat zijn en dat de onvolkomenheden worden begrepen. Elke poging moet worden gedaan om eventuele uiteenlopende lossen adviezen met betrekking tot de controle-informatie of bevindingen, en onopgeloste punten moeten worden geregistreerd.

Het auditteam moet voldoen als nodig is om herziening van de controlebevindingen in geschikte fasen tijdens de audit.

Voorbereiden audit conclusies

Het auditteam moet voorafgaand aan de afsluitende bijeenkomst eenduidige zijn over de auditconclusies om:

  • Het reviewen van de auditbevindingen, en alle andere relevante informatie die tijdens de audit zijn verzameld (gerelateerd aan de auditdoelstellingen);
  • Het eens over de conclusies van de audit, rekening houdend met de onzekerheid die inherent is aan het auditproces;
  • Het beschrijven van aanbevelingen (indien dit onderdeel is van het auditplan);
  • Bespreken audit follow - up, indien van toepassing.

Conclusies van de audit kunnen de volgende kwesties bevatten:

  • De mate van overeenstemming met de controle- criteria en de robuustheid van het systeem voor het beheer, met inbegrip van de effectiviteit van het managementsysteem te voldoen aan de gestelde doelen;
  • De daadwerkelijke implementatie, onderhoud en verbetering van het managementsysteem;
  • Het vermogen van het management review proces om de continue geschiktheid, adequaatheid te verzekeren;
  • Effectiviteit en verbetering van het managementsysteem;
  • Verwezenlijking van audit doelstellingen, dekking van reikwijdte, en vervulling van de audit criteria;
  • Oorzaken van bevindingen, indien opgenomen in het controleplan;
  • Soortgelijke bevindingen in verschillende gebieden die werden gecontroleerd met het oog op het identificeren van trends.

Indien van toepassing kunnen audit conclusies leiden tot aanbevelingen voor verbetering, of leiden tot toekomstige controlewerkzaamheden.

Het uitvoeren van de slotvergadering

Een slotvergadering, gefaciliteerd door de lead auditor, wordt gehouden om de audit bevindingen en conclusies terug te koppelen. Deelnemers aan de slotbijeenkomst moeten betrokken zijn geweest op dat wat in de audit is beoordeeld. Indien van toepassing, dient de lead auditor de gecontroleerde situaties adviseren zich gedurende de controle dat het vertrouwen dat in de conclusies van de audit kan worden geplaatst kan afnemen. indien gedefinieerd in het systeem of in overleg met de controlecliënt, moeten de deelnemers het eens over de tijdschema voor een actieplan om controlebevindingen pakken.

Op basis van het eindrapport kan besloten worden om over te gaan tot certificering. Indien correctieve acties genomen dienen te worden dienen deze eerst door de auditor te worden beoordeeld. Op basis hiervan kan de auditor bij de certificeringsmanager het eindrapport aanleveren. De certificeringsmanager besluit tot het certificeren. Indien wordt besloten tot certificering wordt het certificaat opgesteld en een aanbiedingsbrief verstuurd. Hierbij wordt een overeenkomst bijgevoegd hoe om te gaan met het logo in uitingen van de klant.

Controle audits (jaar 2 en jaar 3)

Informatie-uitwisseling tussen opdrachtgever en certificatie instelling; bepalen of verandering in het auditprogramma nodig zijn. In principe wordt de agenda aangehouden zoals die na de initiële audit is overhandigd in het auditplan.

Her-certificering (jaar 4)

Drie jaar na de initiële audit dient weer een een volledige her-certificering uitgevoerd te worden door de CI. Hierbij worden alle normen getoetst conform het auditprogramma zoals is overeengekomen in het auditrapport van de initiële audit alsmede eventuele bijzonderheden uit de controle-audit in het jaar ervoor.

Procesflow certificeringstraject

Bekijk hier onze ISO 27001 checklist.

Meer informatie over ISO 27001 implementatie trajecten?

Onze consultants komen graag met u in contact, bel 055-3010100 of mail info@auditconnect.nl ons om vrijblijvend te praten over de mogelijkheden, oplossingen of een offerte voor dit traject.

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect