Grote verandering in ISO 27001 audits
De audits voor de ISO 27001 certificering van jouw organisatie, uitgevoerd door TÜV NORD Nederland, gaan veranderen op een aantal vlakken. Dit is het gevolg van een verandering in de ISO 27006 standaard, waaraan alle Certificerende Instellingen moeten voldoen.
De veranderingen kunnen samengevat worden in vier punten die hieronder verder toegelicht worden:
- Er zijn veranderingen in de regels voor de calculatie van de benodigde audittijd;
- Het is toegestaan andere standaarden te introduceren in je ISMS;
- Er zijn nieuwe instructies voor remote auditing;
- Veranderingen in scope zullen extra audittijd vragen.
Wat is ISO 27006?
Op 1 maart 2024 is de ISO/IEC 27006-1:2024 gepubliceerd. Hiermee veranderen de vereisten voor instanties die audits en certificering verzorgen van managementsystemen voor informatiebeveiliging. TÜV NORD Nederland heeft uitbreiding van de accreditatie aangevraagd. De Raad van Accreditatie heeft deze aanvraag positief beoordeeld.
Omdat Certificerende Instellingen aan de ISO 27006 norm moeten voldoen, heeft deze wijziging invloed op alle ISO 27001 certificeringen.
ISO 27006
ISO 27006 richt zich op het versterken van de accreditatie-eisen voor instanties die audits en certificeringen uitvoeren voor informatiebeveiligingsmanagementsystemen (zoals 27001). Deze standaard is ontworpen om de competentie en betrouwbaarheid van certificeringsinstanties te waarborgen.
Wat betekent dit voor jou?
Met ingang van 4 december 2024 heeft dit gevolgen voor jouw audittraject:
1. Alle nieuwe en hercertificaties worden tegen de nieuwe eisen gecalculeerd en uitgevoerd;
2. Bestaande certificaten moeten voor 31 maart 2026 gemigreerd zijn.
Per 4 december 2024 moeten wij andere richtlijnen hanteren voor onze ISO 27001 audits. Dit heeft direct effect op de audits die wij uitvoeren in jouw organisatie.
Wat verandert er voor ISO 27001 audits?
Er zijn veel veranderingen. Sommigen gelden vooral voor TÜV NORD Nederland intern, daarvan zul je waarschijnlijk weinig merken. Hieronder vind je een overzicht van de belangrijkste veranderingen die impact hebben op de audits van jouw organisatie.
1. Calculatie van de benodigde audittijd
2. Andere standaarden in ISMS mogelijk
3. Nieuwe instructies voor remote auditing
4.Veranderingen in scope vragen extra audittijd
1. Calculatie van de benodigde audittijd
Er zijn nieuwe regels voor het berekenen van de benodigde audittijd. Voortaan wordt niet meer (alleen) gekeken naar FTE’s, maar moeten we de auditduur wegen op basis van de complexiteit van de taken (EMT). Hebben veel medewerkers in de organisatie dezelfde rol? Dan tellen die allemaal mee in de calculatie van de auditduur. Dit is ook bij heraudits van belang.
Ben je klant van TÜV NORD Nederland en heb je hiermee te maken? Dan ben je hierover al benaderd.
2. Andere standaarden in ISMS mogelijk
Als je bekend bent met de ISO 27001 norm, weet je dat in Annex A zo’n 90 belangrijke beveiligingsmaatregelen staan. Voortaan mag je - in plaats van de annex - ook andere standaarden introduceren in je ISMS. Natuurlijk zijn er eisen waaraan deze andere frameworks moeten voldoen.
Een voorbeeld: wanneer je ook een SOC2 certificering hebt en daarvoor een controlframework gebruikt, kun je bepaalde maatregelen van ISO 27001 achterwege laten. Dit maakt het ISO 27001 proces actueler en efficiënter.
Belangrijk is wel dat onze auditoren hiervan op de hoogte zijn. Daarom vragen wij om dit tijdens de intake al kenbaar te maken, zodat wij kunnen bepalen of dit effect heeft op de audittijd.
3. Nieuwe instructies voor remote auditing
Soms is het nodig dat een audit volledig op locatie plaatsvindt; soms kunnen delen ook remote plaatsvinden. Met de invoering van ISO 27006 zijn er nieuwe instructies voor het bepalen wat nodig is.
Wij moeten, als Certificering Instelling geaccrediteerd voor ISO 27006-1:2024, voorafgaand aan de audit een risicoanalyse opstellen om te bepalen in hoeverre het nodig is om een locatie te bezoeken voor een ISO 27001 audit. Dit is vooral van toepassing bij organisaties met virtuele sites, bijvoorbeeld wanneer een organisatie volledig in de cloud werkt. Hetzelfde geldt wanneer je werkt vanuit een verzamelgebouw.
Een voorbeeld: de medewerkers van een consultancybureau werken over de hele wereld, maar zelden vanuit het hoofdkantoor. Voorheen vereiste de ISO 27001 norm toch dat tijdens de audit het hoofdkantoor werd geïnspecteerd. Dit zal nu mogelijk anders zijn.
Werk je op een virtuele site? Dan hoeft een auditor potentieel geen locatie te bezoeken. Onze auditoren zullen de mogelijkheden met je bespreken.
4. Veranderingen in scope vragen extra audittijd
Organisaties moeten er rekening mee houden dat veranderingen in scope extra audittijd zullen vragen. Veranderingen in de bedrijfsstructuur, bijvoorbeeld in het geval van een bedrijfsovername of de opening van een nieuwe locatie, hebben altijd invloed op de omvang van de audit en dus op de auditduur en -planning.
De auditor zal de verandering beoordelen en de benodigde wijziging in de auditduur bepalen. Hiervoor moet de auditor voorafgaand aan de audit extra worden ingepland. Vanuit onze accreditatie zijn wij verplicht tijd te rekenen voor wijzigingen in de scope.
Is de verandering in scope niet gemeld, dan zal de auditor niet anders kunnen dan een kritische afwijking schrijven en de beoordeling binnen drie maanden alsnog uitvoeren. De duur van het audittraject kan hierdoor flink langer worden. Het is dus belangrijk veranderingen zo vroeg mogelijk door te geven via sales@tuv-nord.com.
De inhoud van deze pagina wordt aangevuld.
Waarom TÜV NORD een sterke partner is:
Onafhankelijkheid
Bij TÜV NORD Nederland staan we voor onafhankelijke beoordelingen op het gebied van certificering, keuring, inspectie en training. Sinds 1981 zetten we ons in om veiligheid, kwaliteit, betrouwbaarheid en een betere leefomgeving te waarborgen. We zijn trots om een betrouwbare partner te zijn, die met expertise en integriteit bijdraagt aan een veilige en duurzame wereld.
Expertise
Met TÜV NORD heb je een expert aan je zijde. Ons team van gekwalificeerde specialisten staat klaar om je te helpen met certificering, testen en inspectie. Wij zorgen voor de hoogste normen van veiligheid en betrouwbaarheid.
Internationaal
Als onderdeel van de TÜV NORD GROUP zijn we wereldwijd actief met tienduizenden projecten in 70 landen en meer dan 10.000 medewerkers. Of het nu gaat om lokale of internationale IT-vraagstukken, wij staan voor je klaar.
Kwaliteitsbeoordeling
Ons team van meer dan 300 experts beoordeelt dagelijks een breed scala aan producten, diensten en systemen: van liften, hijs- en hefmiddelen, transportmiddelen en installaties, tot attracties, speeltoestellen, roltrappen, cybersecurity managementsystemen, productcertificering en de kwaliteit van mobiliteit. In de meest uiteenlopende branches zorgen wij voor jouw kwaliteit en veiligheid in Nederland.
Laagdrempelig
Bij TÜV NORD Nederland houden we het graag nuchter en praktisch. We zorgen ervoor dat jouw organisatie aantoonbaar voldoet aan alle eisen voor betrouwbaarheid, op een laagdrempelige en begrijpelijke manier.
Verbeteringsgericht
We signaleren risico's en pijnpunten helder en feitelijk, om zo verbeteringen te stimuleren. Ons doel is om bedrijfsrisico’s te minimaliseren en de continuïteit van jouw organisatie te waarborgen.
Ontvang nieuwsupdates
Ben je klant van TÜV NORD Nederland en heb je met bovenstaande te maken? Dan word je op de hoogte gehouden via je contactpersoon en via nieuwsbrieven per mail.
Ben je nog geen klant van TÜV NORD? Meld je dan aan voor onze nieuwsbrief zodat we je op de hoogte kunnen houden van belangrijke ontwikkelingen op het gebied van informatiebeveiliging.