Herstelplan na een mislukte ISO 27001:2022-audit
De e-mail die niemand wilde ontvangen
De e-mail komt laat op vrijdag binnen met een onderwerpregel die onschuldig klinkt: “Resultaat transitieaudit.”
De inhoud is niet onschuldig. De certificatie-instelling heeft een majeure non-conformiteit vastgesteld. Het ISO/IEC 27001-certificaat is geschorst of het transitiebesluit kan niet worden afgerond. De opmerking van de auditor is duidelijk: de Verklaring van Toepasselijkheid onderbouwt uitgesloten beheersmaatregelen niet, de risicobeoordeling weerspiegelt de actuele context niet en er is onvoldoende bewijsmateriaal dat nieuwe wettelijke verplichtingen zijn meegewogen.
Binnen een uur is het probleem niet langer uitsluitend een compliancekwestie. Sales vraagt of een aanbesteding in de publieke sector nu risico loopt. Juridische Zaken beoordeelt clausules in klantcontracten. De CISO legt uit waarom de SoA niet aansluit op het risicobehandelingsplan. De CEO stelt de enige vraag die telt: “Hoe snel kunnen we dit herstellen?”
Voor veel organisaties heeft het verstrijken van de ISO 27001:2022-transitiedeadline geen theoretisch hiaat veroorzaakt. Het creëerde een actuele kwestie voor de bedrijfscontinuïteit. Een gemiste of mislukte ISO 27001:2022-transitieaudit kan invloed hebben op aanbestedingsgeschiktheid, leveranciers-onboarding, cyberverzekering, assurance richting klanten, gereedheid voor NIS2, verwachtingen vanuit DORA, verantwoordingsplicht onder GDPR en het vertrouwen van het bestuur.
Het goede nieuws is dat herstel mogelijk is. Het slechte nieuws is dat cosmetische documentaanpassingen niet werken. Herstel moet worden behandeld als een gedisciplineerd ISMS-programma voor corrigerende maatregelen, niet als een gehaaste herschrijving van beleid.
Bij Clarysec organiseren we dit herstel rond drie samenhangende middelen:
- Zenith Blueprint: een 30-stappenroadmap voor auditors, met name de fase Audit, beoordeling en verbetering.
- De beleidsbibliotheek van Clarysec voor enterprise-omgevingen en mkb, die auditbevindingen omzet in beheerste verplichtingen.
- Zenith Controls: de cross-compliancegids, die helpt verwachtingen uit ISO/IEC 27002:2022-beheersmaatregelen te verbinden met NIS2, DORA, GDPR, assurance-denken in NIST-stijl en governanceperspectieven uit COBIT 2019.
Dit is het praktische herstelplan voor CISO’s, compliancemanagers, auditors, oprichters en bedrijfseigenaren die de ISO 27001:2022-transitiedeadline hebben gemist of de transitieaudit niet hebben gehaald.
Stel eerst de faalmodus vast
Voordat u één beleidsdocument wijzigt, moet u de situatie classificeren. Niet elke mislukte of gemiste transitie heeft dezelfde impact op de organisatie of dezelfde herstelroute. De eerste 24 uur moeten gericht zijn op het verkrijgen van het auditrapport, het besluit van de certificatie-instelling, de formulering van de non-conformiteit, verzoeken om bewijsmateriaal, deadlines en de actuele certificaatstatus.
| Situatie | Impact op de organisatie | Onmiddellijke actie |
|---|---|---|
| Transitieaudit niet gehaald met majeure non-conformiteit | Certificatiebesluit kan worden geblokkeerd of certificaat kan worden geschorst totdat het probleem is gecorrigeerd | Open CAPA, voer oorzaakanalyse uit en bevestig de verwachtingen ten aanzien van bewijsmateriaal met de certificatie-instelling |
| Transitieaudit gehaald met mineure non-conformiteiten | Certificering kan worden voortgezet als corrigerende maatregelen worden geaccepteerd | Sluit mineure CAPA’s snel af en werk het ISMS-bewijspakket bij |
| Transitie niet vóór de deadline afgerond | Certificaat is mogelijk niet langer geldig of erkend | Bevestig de status bij de certificatie-instelling en plan de transitie- of hercertificeringsroute |
| Controleaudit toont zwak transitiebewijsmateriaal aan | Certificering kan bij het volgende beslismoment risico lopen | Voer een mock audit uit en werk SoA, risicobehandeling, directiebeoordeling en registraties van interne audits bij |
| Klant wijst uw certificaat of transitiebewijsmateriaal af | Commercieel risico, aanbestedingsrisico en impact op vertrouwen | Stel een assurancepakket voor klanten op met auditstatus, CAPA-plan, streefdatums en governancegoedkeuring |
Het herstelplan hangt af van de faalmodus. Een geblokkeerd certificatiebesluit vereist gerichte remediatie. Een geschorst certificaat vereist urgent herstel van governance en bewijsmateriaal. Een ingetrokken of verlopen certificaat kan een bredere hercertificeringsroute vereisen.
Map in alle gevallen elk probleem naar de relevante ISMS-clausule, Annex A-beheersmaatregel, risicoregistratie, beleidseigenaar, wettelijke of contractuele verplichting en bron van bewijsmateriaal.
Hier is ISO/IEC 27001:2022 van belang als managementsysteem, niet alleen als catalogus van beheersmaatregelen. Clausules 4 tot en met 10 vereisen dat het ISMS context, belanghebbenden, reikwijdte, leiderschap, risicoplanning, ondersteuning, uitvoering, prestatie-evaluatie en voortdurende verbetering begrijpt. Als de transitie is mislukt, is doorgaans een van die managementsysteemkoppelingen verbroken.
Waarom ISO 27001:2022-transitieaudits mislukken
Mislukte transitieaudits vertonen vaak terugkerende patronen. Veel daarvan zijn niet diep technisch. Het zijn tekortkomingen in governance, traceerbaarheid, eigenaarschap en bewijsmateriaal.
| Bevindingenpatroon | Wat de auditor ziet | Wat dit meestal betekent |
|---|---|---|
| Verklaring van Toepasselijkheid niet bijgewerkt of onvoldoende onderbouwd | Beheersmaatregelen zijn als toepasselijk gemarkeerd zonder rationale, of uitgesloten zonder bewijsmateriaal | Selectie van beheersmaatregelen is niet traceerbaar naar risico, regelgeving of zakelijke noodzaak |
| Risicobeoordeling weerspiegelt actuele verplichtingen niet | NIS2, DORA, GDPR, klantcontracten, cloudafhankelijkheden of leveranciersrisico ontbreken | Context en risicocriteria zijn niet geactualiseerd |
| Directiebeoordeling is oppervlakkig | Notulen bestaan, maar besluiten, middelen, doelstellingen, auditresultaten of risicowijzigingen worden niet besproken | Leiderschapsverantwoordelijkheid functioneert niet |
| Interne audit heeft de transitiescope niet getoetst | Auditchecklist is generiek en dekt geen bijgewerkte beheersmaatregelen, leveranciers, cloud, weerbaarheid of wettelijke verplichtingen | Prestatie-evaluatie is onvoldoende |
| Leveranciers- en cloudbeheersmaatregelen zijn zwak | Geen due diligence, contractbeoordeling, exitplanning of doorlopende monitoring | Operationele beheersing van extern geleverde diensten is onvolledig |
| Incidentrespons is niet afgestemd op wettelijke rapportage | Geen escalatielogica voor 24 of 72 uur, geen DORA- of GDPR-beslisboom, geen bewijsmateriaal van oefeningen | Incidentbeheer is niet verbonden met wettelijke rapportage |
| CAPA-proces is zwak | Bevindingen worden alleen afgesloten met documentaanpassingen | Oorzaak is niet weggenomen |
De mislukte audit is een signaal dat het ISMS zich niet snel genoeg heeft aangepast aan de werkelijke operationele omgeving van de organisatie.
ISO/IEC 27005:2022 is nuttig bij herstel, omdat het het belang benadrukt van contextbepaling op basis van wettelijke, regelgevende, sectorspecifieke, contractuele, interne en bestaande vereisten voor beheersmaatregelen. Het ondersteunt ook risicocriteria die rekening houden met wettelijke plichten, leveranciers, privacy, menselijke factoren, bedrijfsdoelstellingen en door het management goedgekeurde risicobereidheid.
In praktische termen begint transitieherstel met geactualiseerde context en risicocriteria, niet met een nieuw versienummer op een oud document.
Stap 1: Bevries het auditdossier en richt een herstelcommandocentrum in
De eerste operationele fout na een mislukte audit is chaos rond bewijsmateriaal. Teams gaan zoeken in inboxen, gedeelde schijven, ticketsystemen, chatberichten, persoonlijke mappen en oude auditpakketten. Auditors interpreteren dit als een teken dat het ISMS niet beheerst is.
Clarysec’s mkb-Beleid voor audit en compliancemonitoring - mkb is expliciet over beheersing van bewijsmateriaal:
“Alle bewijsmateriaal moet worden opgeslagen in een centrale auditmap.”
Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.2.1.
Die centrale auditmap wordt de herstelcockpit. Deze moet het volgende bevatten:
- Rapport en correspondentie van de certificatie-instelling.
- Bevestiging van certificaatstatus.
- Register van non-conformiteiten.
- CAPA-logboek.
- Bijgewerkte risicobeoordeling.
- Bijgewerkt risicobehandelingsplan.
- Bijgewerkte Verklaring van Toepasselijkheid.
- Intern auditrapport.
- Notulen van de directiebeoordeling.
- Beleidsgoedkeuringsregistraties.
- Bewijsmateriaal voor elke toepasselijke Annex A-beheersmaatregel.
- Assurancepakket voor klanten, als commerciële verplichtingen worden geraakt.
Voor enterprise-omgevingen stelt Clarysec’s Beleid voor audit en compliancemonitoring dezelfde governanceverwachting:
“Alle bevindingen moeten leiden tot een gedocumenteerde CAPA die het volgende bevat:”
Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.2.1.
De formulering introduceert een gestructureerde verwachting voor corrigerende maatregelen. De kern is eenvoudig: elke auditbevinding moet een beheerst CAPA-item worden, geen informele taak in iemands notitieboek.
Voor het mkb is betrokkenheid van de leiding even belangrijk:
“De algemeen directeur (GM) moet een plan voor corrigerende maatregelen goedkeuren en de implementatie ervan volgen.”
Uit Beleid voor audit en compliancemonitoring - mkb, sectie “Governancevereisten”, beleidsclausule 5.4.2.
Dit is belangrijk omdat ISO 27001:2022 leiderschap niet als symbolisch behandelt. Topmanagement moet beleid vaststellen, doelstellingen afstemmen op de bedrijfsstrategie, middelen beschikbaar stellen, het belang van informatiebeveiliging communiceren, verantwoordelijkheden toewijzen en voortdurende verbetering bevorderen.
Als de mislukte transitie wordt behandeld als “het probleem van de compliancemedewerker”, zal de volgende audit opnieuw zwakke leiderschapsverantwoordelijkheid blootleggen.
Stap 2: Bouw context, verplichtingen en risico opnieuw op
Een mislukte transitieaudit betekent vaak dat de ISMS-context de werkelijkheid van de organisatie niet langer weerspiegelt. De organisatie kan zijn overgestapt op cloudplatformen, nieuwe leveranciers hebben toegevoegd, gereguleerde markten zijn betreden, meer persoonsgegevens verwerken of relevant zijn geworden voor klanten onder NIS2 of DORA. Als deze wijzigingen ontbreken in het ISMS, zijn de risicobeoordeling en SoA onvolledig.
Clarysec’s Beleid inzake wettelijke en regelgevende compliance legt de basislijn vast:
“Alle wettelijke en regelgevende verplichtingen moeten worden gemapt naar specifieke beleidsdocumenten, beheersmaatregelen en eigenaren binnen het Managementsysteem voor informatiebeveiliging (ISMS).”
Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.2.1.
Deze clausule is cruciaal na een transitiefout. ISO 27001:2022-clausules 4.1 tot en met 4.3 vereisen dat organisaties interne en externe kwesties, belanghebbenden, eisen, interfaces, afhankelijkheden en reikwijdte in aanmerking nemen. Wettelijke, regelgevende en contractuele verplichtingen zijn geen bijzaken. Zij vormen het ISMS.
NIS2 Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen, waaronder risicoanalyse, beleid, incidentenafhandeling, back-up, herstel na verstoringen, crisismanagement, beveiliging van de toeleveringsketen, veilige ontwikkeling, afhandeling van kwetsbaarheden, doeltreffendheidsbeoordelingen, cyberbeveiligingshygiëne, training, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen en beveiligde communicatie. Article 20 legt verantwoordelijkheid op het niveau van het bestuursorgaan. Article 23 introduceert gefaseerde rapportage van significante incidenten, waaronder vroegtijdige waarschuwing, incidentmelding, updates en eindrapportage.
DORA is vanaf 17 januari 2025 rechtstreeks van toepassing op financiële entiteiten en omvat ICT-risicobeheer, melding van majeure incidenten, weerbaarheidstesten, ICT-risico’s van derde partijen, contractuele eisen en toezicht op kritieke ICT-dienstverleners van derde partijen. Voor financiële entiteiten binnen de reikwijdte wordt DORA een kernstuurfactor voor ICT-governance, leveranciersbeheersing, testen, incidentclassificatie en verantwoordingsplicht van het management.
GDPR voegt verantwoordingsplicht voor persoonsgegevens toe. Article 5 vereist rechtmatige, behoorlijke, transparante, beperkte, accurate, bewaartermijnbewuste en veilige verwerking, met aantoonbare naleving. Article 4 definieert een inbreuk in verband met persoonsgegevens op een wijze die direct invloed heeft op incidentclassificatie. Article 6 vereist mapping van rechtsgronden, en Article 9 voegt strengere eisen toe voor bijzondere categorieën persoonsgegevens.
Dit betekent niet dat afzonderlijke compliancewerelden moeten worden gecreëerd. Het betekent dat ISO 27001:2022 wordt gebruikt als geïntegreerd managementsysteem en dat verplichtingen in één risico- en beheersmaatregelenarchitectuur worden gemapt.
Clarysec’s Beleid inzake risicobeheer verbindt risicobehandeling rechtstreeks met de selectie van beheersmaatregelen:
“Besluiten over beheersmaatregelen die voortvloeien uit het risicobehandelingsproces moeten worden weerspiegeld in de SoA.”
Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.5.1.
Een mislukte audit is ook aanleiding om het risicobeheerproces zelf te beoordelen. Clarysec’s mkb-Beleid inzake risicobeheer - mkb benoemt deze trigger:
“Een majeur incident of auditbevinding toont hiaten in risicobeheer aan”
Uit de sectie “Eisen voor herziening en bijwerking”, beleidsclausule 9.2.1.1.
In herstelmodus betekent dit dat het risicoregister, de risicocriteria, het behandelplan en de SoA gezamenlijk opnieuw moeten worden opgebouwd.
Stap 3: Herstel de SoA als ruggengraat voor traceerbaarheid
Bij de meeste mislukte transities is de Verklaring van Toepasselijkheid het eerste document dat moet worden geïnspecteerd. Het is ook een van de eerste documenten die auditors steekproefsgewijs beoordelen. Een zwakke SoA vertelt de auditor dat de selectie van beheersmaatregelen niet risicogebaseerd is.
De Zenith Blueprint geeft een praktische instructie in de fase Audit, beoordeling en verbetering, stap 24, Audit, beoordeling en verbetering:
“Uw SoA moet consistent zijn met uw risicoregister en risicobehandelingsplan. Controleer dubbel dat elke beheersmaatregel die u als risicobehandeling hebt gekozen, in de SoA als ‘Toepasselijk’ is gemarkeerd. Omgekeerd geldt: als een beheersmaatregel in de SoA als ‘Toepasselijk’ is gemarkeerd, moet u daarvoor een rationale hebben — doorgaans een gemapt risico, een wettelijke/regelgevende eis of een zakelijke behoefte.”
Uit Zenith Blueprint: een 30-stappenroadmap voor auditors, fase Audit, beoordeling en verbetering, stap 24.
Dat is het herstelprincipe. De SoA is geen formaliteit. Het is de ruggengraat voor traceerbaarheid tussen risico’s, verplichtingen, beheersmaatregelen, implementatiebewijsmateriaal en auditconclusies.
Een praktische SoA-herstelactiviteit moet deze volgorde volgen:
- Exporteer de huidige SoA.
- Voeg kolommen toe voor risico-ID, regelgevende verplichting, zakelijke eis, beleidsreferentie, locatie van bewijsmateriaal, eigenaar, implementatiestatus en datum van laatste toetsing.
- Map voor elke toepasselijke beheersmaatregel ten minste één verdedigbare rationale.
- Schrijf voor elke uitgesloten beheersmaatregel een specifieke uitsluitingsreden.
- Stem de SoA af op het risicobehandelingsplan.
- Stem de SoA af op de resultaten van de interne audit.
- Stel de harde vraag: als een auditor deze rij steekproefsgewijs selecteert, kunnen we dit binnen vijf minuten aantonen?
Een verdedigbare SoA-rij moet er als volgt uitzien:
| SoA-veld | Voorbeeld van herstelregistratie |
|---|---|
| Rationale voor beheersmaatregel | Toepasselijk vanwege cloudhosting, betalingsverwerker, uitbestede ondersteuning en contractuele beveiligingsverplichtingen richting klanten |
| Risicokoppeling | R-014 verstoring van dienstverlening door derde partij, R-021 gegevensblootstelling door leverancier, R-027 regelgevende inbreuk door falen van verwerker |
| Verplichtingenkoppeling | NIS2-beveiliging van de toeleveringsketen, DORA ICT-risico’s van derde partijen waar van toepassing, GDPR-verantwoordingsplicht voor verwerkers |
| Beleidskoppeling | Beleid voor beveiliging van derde partijen en leveranciers, procedure voor contractbeoordeling, checklist voor leveranciersbeoordeling |
| Bewijsmateriaal | Leveranciersregister, risicoclassificaties, due-diligencevragenlijst, ondertekende verwerkersovereenkomst, beoordeling van SOC-rapport, exitplan, jaarlijkse beoordelingsregistratie |
| Eigenaar | Leveranciersmanager, CISO, Juridische Zaken |
| Testen | Interne auditsteekproef van de vijf belangrijkste kritieke leveranciers afgerond, uitzonderingen geregistreerd in CAPA |
| Status | Geïmplementeerd met twee openstaande corrigerende maatregelen voor contractactualisaties |
Deze rij vertelt een herstelverhaal. Ze toont bedrijfscontext, risicologica, regelgevende relevantie, eigenaarschap, implementatie, toetsing en resterende actie.
Voor uitsluitingen geldt dezelfde discipline. Als de organisatie bijvoorbeeld geen interne softwareontwikkeling uitvoert, kan een uitsluiting voor ISO/IEC 27002:2022-beheersmaatregel 8.25 Veilige ontwikkelcyclus en beheersmaatregel 8.28 Veilig coderen verdedigbaar zijn, maar alleen als dit waar is, gedocumenteerd is en wordt ondersteund door bewijsmateriaal dat software commercieel kant-en-klaar is of volledig is uitbesteed met leveranciersbeheersmaatregelen.
Stap 4: Voer oorzaakanalyse uit, geen cosmetische documentaanpassingen
Een mislukte transitieaudit wordt zelden veroorzaakt door één ontbrekend bestand. Meestal is de oorzaak een gebroken proces.
De Zenith Blueprint, fase Audit, beoordeling en verbetering, stap 27, Auditbevindingen - analyse en oorzaak, stelt:
“Denk voor elke geïdentificeerde non-conformiteit (majeur of mineur) na over waarom deze is ontstaan — dit is cruciaal voor effectieve correctie.”
Uit Zenith Blueprint, fase Audit, beoordeling en verbetering, stap 27.
Als de bevinding luidt “SoA-onderbouwingen ontbreken”, kan de correctie zijn om de SoA bij te werken. Maar de oorzaak kan zijn dat asset-eigenaren niet betrokken waren bij de risicobeoordeling, wettelijke verplichtingen niet waren gemapt of het complianceteam de SoA geïsoleerd beheerde.
Een nuttige hersteltabel scheidt zwakke correcties van echte corrigerende maatregelen:
| Auditbevinding | Slechte correctie | Juiste oorzaakanalysevraag | Betere corrigerende maatregel |
|---|---|---|---|
| SoA niet afgestemd op risicobehandeling | SoA-tekst bijwerken | Waarom is de SoA niet afgestemd op risicobehandeling? | Voeg kwartaalgewijze SoA-risicoafstemming toe onder verantwoordelijkheid van de ISMS-manager |
| Geen leveranciersbeoordelingen | Eén vragenlijst uploaden | Waarom zijn leveranciers niet beoordeeld? | Wijs leverancierseigenaar toe, definieer risicoclassificatie, rond beoordelingen af en bewaak jaarlijks |
| Directiebeoordeling onvolledig | Agendapunt achteraf toevoegen | Waarom dekte de directiebeoordeling de transitiestatus niet? | Werk sjabloon voor directiebeoordeling bij en plan kwartaalgewijze governancebeoordeling |
| Incidentmelding niet getest | Incidentprocedure aanpassen | Waarom is rapportage niet geoefend? | Voer tabletop-oefening uit met NIS2-, DORA- en GDPR-beslispunten en bewaar bewijsmateriaal |
| Interne audit te beperkt | Checklist uitbreiden | Waarom miste de auditplanning de transitiescope? | Keur een risicogebaseerd auditplan goed dat regelgeving, leveranciers, cloud en weerbaarheid dekt |
Hier keert geloofwaardigheid terug. Auditors verwachten geen perfectie. Zij verwachten een beheerst systeem dat detecteert, corrigeert, leert en verbetert.
Stap 5: Bouw CAPA die een auditor kan vertrouwen
Corrigerende en preventieve maatregelen (CAPA) zijn waar veel organisaties de controle terugwinnen. Het CAPA-register moet de herstelroadmap worden en het primaire bewijsmateriaal dat de mislukte audit systematisch is afgehandeld.
De Zenith Blueprint, fase Audit, beoordeling en verbetering, stap 29, Voortdurende verbetering, legt de structuur uit:
“Zorg ervoor dat elke corrigerende maatregel specifiek, toewijsbaar en tijdgebonden is. In feite maakt u voor elk probleem een miniproject.”
Uit Zenith Blueprint, fase Audit, beoordeling en verbetering, stap 29.
Uw CAPA-logboek moet het volgende bevatten:
- Bevinding-ID.
- Bronaudit.
- Clausule- of beheersmaatregelreferentie.
- Ernst.
- Probleembeschrijving.
- Onmiddellijke correctie.
- Oorzaak.
- Corrigerende maatregel.
- Preventieve maatregel, waar relevant.
- Eigenaar.
- Vervaldatum.
- Vereist bewijsmateriaal.
- Status.
- Doeltreffendheidscontrole.
- Managementgoedkeuring.
Clarysec’s Beleid voor audit en compliancemonitoring - mkb identificeert een majeure non-conformiteit ook als trigger voor beoordeling:
“Een certificeringsaudit of controleaudit resulteert in een majeure non-conformiteit”
Uit de sectie “Eisen voor herziening en bijwerking”, beleidsclausule 9.2.2.
Als de transitieaudit een majeure non-conformiteit heeft opgeleverd, beoordeel dan het audit- en compliancemonitoringproces zelf. Waarom heeft de interne audit het probleem niet eerst gedetecteerd? Waarom heeft de directiebeoordeling het niet geëscaleerd? Waarom maakte de SoA het hiaat in bewijsmateriaal niet zichtbaar?
Zo wordt een mislukte audit een sterker ISMS.
Stap 6: Gebruik Zenith Controls om ISO-bewijsmateriaal te verbinden met cross-compliance
Een heraudit vindt niet geïsoleerd plaats. Klanten, toezichthouders, verzekeraars en interne governanceteams kunnen allemaal vanuit verschillende invalshoeken naar hetzelfde bewijsmateriaal kijken. Hier is Zenith Controls waardevol als cross-compliancegids. Het helpt teams te stoppen met het behandelen van ISO 27001, NIS2, DORA, GDPR, assurance in NIST-stijl en COBIT 2019-governance als afzonderlijke checklists.
Drie ISO/IEC 27002:2022-beheersmaatregelen zijn bijzonder relevant bij transitieherstel.
| ISO/IEC 27002:2022-beheersmaatregel | Relevantie voor herstel | Voor te bereiden bewijsmateriaal |
|---|---|---|
| 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen | Bevestigt dat verplichtingen zijn geïdentificeerd, gedocumenteerd en in het ISMS zijn gekoppeld | Juridisch register, contractuele verplichtingen, regelgevingsmapping, matrix met beleidseigenaren, SoA-rationale |
| 5.35 Onafhankelijke beoordeling van informatiebeveiliging | Bevestigt dat beoordelingsactiviteiten objectief, afgebakend, deskundig en opgevolgd zijn | Intern auditplan, onafhankelijk beoordelingsrapport, auditorcompetentie, CAPA-registraties, managementrapportage |
| 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging | Bevestigt dat beleid niet alleen is gepubliceerd, maar ook wordt bewaakt en gehandhaafd | Beleidsattestatie, uitzonderingsregistraties, monitoringrapporten, disciplinaire workflow, nalevingstoetsing |
In Zenith Controls wordt ISO/IEC 27002:2022-beheersmaatregel 5.31 rechtstreeks gekoppeld aan privacy en persoonlijk identificeerbare informatie (PII):
“5.34 dekt naleving van gegevensbeschermingswetgeving (bijv. GDPR), wat één categorie wettelijke eisen onder 5.31 is.”
Uit Zenith Controls, beheersmaatregel 5.31, koppelingen met andere beheersmaatregelen.
Voor herstel betekent dit dat het juridische register niet buiten het ISMS mag staan. Het moet de SoA, het risicobehandelingsplan, de beleidsset, het eigenaarschap van beheersmaatregelen en het auditbewijsmateriaal sturen.
Voor ISO/IEC 27002:2022-beheersmaatregel 5.35 benadrukt Zenith Controls dat onafhankelijke beoordeling vaak reikt tot operationeel bewijsmateriaal:
“Onafhankelijke beoordelingen onder 5.35 beoordelen regelmatig de toereikendheid van logging- en monitoringactiviteiten.”
Uit Zenith Controls, beheersmaatregel 5.35, koppelingen met andere beheersmaatregelen.
Dat is praktisch. Een auditor kan beginnen bij governance en vervolgens steekproeven nemen uit logboeken, waarschuwingen, monitoringregistraties, toegangsrechtenbeoordelingen, incidenttickets, back-uptests, leveranciersbeoordelingen en managementbesluiten.
Voor ISO/IEC 27002:2022-beheersmaatregel 5.36 legt Zenith Controls de relatie met interne beleidsgovernance uit:
“Beheersmaatregel 5.36 fungeert als het handhavingsmechanisme voor de regels die onder 5.1 zijn gedefinieerd.”
Uit Zenith Controls, beheersmaatregel 5.36, koppelingen met andere beheersmaatregelen.
Hier mislukken veel transitieprogramma’s. Beleid bestaat, maar naleving ervan wordt niet bewaakt. Procedures bestaan, maar uitzonderingen worden niet vastgelegd. Beheersmaatregelen worden verklaard, maar niet getoetst.
Stap 7: Bereid u voor op verschillende auditperspectieven
Een sterk herstelpakket moet meer dan één auditorperspectief kunnen doorstaan. ISO-certificeringsauditors, DORA-toezichthouders, NIS2-beoordelaars, GDPR-stakeholders, klantassuranceteams, NIST-georiënteerde beoordelaars en COBIT 2019-governancebeoordelaars kunnen allemaal verschillende vragen stellen over hetzelfde bewijsmateriaal.
| Auditperspectief | Waarschijnlijke vraag | Bewijsmateriaal dat helpt |
|---|---|---|
| ISO 27001:2022-auditor | Is het ISMS doeltreffend, risicogebaseerd, correct afgebakend, door leiderschap beoordeeld en voortdurend verbeterd? | Reikwijdte, context, belanghebbenden, risicobeoordeling, SoA, behandelplan, interne audit, directiebeoordeling, CAPA |
| NIST-georiënteerde beoordelaar | Functioneren governance, risico-identificatie, bescherming, detectie, respons en herstelactiviteiten coherent? | Inventaris van bedrijfsmiddelen, risicoregister, toegangscontrole, logging, monitoring, incidentdraaiboeken, hersteltests |
| COBIT 2019- of ISACA-stijl auditor | Zijn governancedoelstellingen, eigenaarschap, prestatiemonitoring, risicobeheer en assurance over compliance ingebed? | RACI, goedgekeurde doelstellingen, metrieken, auditplan, managementrapportage, eigenaarschap van beheersmaatregelen, issue-opvolging |
| NIS2-compliancebeoordelaar | Heeft het management evenredige cyberbeveiligingsrisicomaatregelen en workflows voor incidentmelding goedgekeurd en bewaakt? | Bestuursnotulen, risicomaatregelen, leveranciersbeheersmaatregelen, incidentescalatie, training, bewijsmateriaal voor continuïteit en crisismanagement |
| DORA-beoordelaar | Is ICT-risicobeheer gedocumenteerd, getest, leveranciersbewust en geïntegreerd in governance? | ICT-risicokader, weerbaarheidstests, incidentclassificatie, ICT-contractenregister, exitplannen, auditrechten |
| GDPR-beoordelaar | Kan de organisatie verantwoordingsplicht aantonen voor gegevensbescherming en respons op inbreuken? | RoPA, mapping van rechtsgronden, DPIA’s waar nodig, verwerkerscontracten, logboeken van inbreuken, technische en organisatorische maatregelen |
Het doel is niet om bewijsmateriaal te dupliceren. Eén SoA-rij voor logging en monitoring kan ISO-bewijsmateriaal, detectieverwachtingen in NIST-stijl, DORA-incidentenafhandeling, NIS2-doeltreffendheidsbeoordeling en detectie van GDPR-inbreuken ondersteunen. Eén leveranciersrisicodossier kan ISO-leveranciersbeheersmaatregelen, DORA ICT-risico’s van derde partijen, NIS2-beveiliging van de toeleveringsketen en GDPR-verantwoordingsplicht voor verwerkers ondersteunen.
Dit is de praktische waarde van cross-compliance.
Stap 8: Voer een finale documentatiebeoordeling en mock audit uit
Voordat u teruggaat naar de certificatie-instelling, voert u een strenge interne challenge uit. De Zenith Blueprint, fase Audit, beoordeling en verbetering, stap 30, Certificeringsvoorbereiding - finale beoordeling en mock audit, beveelt aan ISO 27001:2022-clausules 4 tot en met 10 één voor één te controleren en bewijsmateriaal voor elke toepasselijke Annex A-beheersmaatregel te valideren.
Het advies luidt:
“Controleer Annex A-beheersmaatregelen: zorg ervoor dat u voor elke beheersmaatregel die u in de SoA als ‘Toepasselijk’ hebt gemarkeerd, iets kunt tonen.”
Uit Zenith Blueprint, fase Audit, beoordeling en verbetering, stap 30.
De finale beoordeling moet direct zijn:
- Kan elke toepasselijke beheersmaatregel worden uitgelegd?
- Kan elke uitgesloten beheersmaatregel worden gerechtvaardigd?
- Kan acceptatie van restrisico worden aangetoond?
- Heeft het management de transitiefout, middelen, doelstellingen, auditresultaten en corrigerende maatregelen beoordeeld?
- Heeft de interne audit de bijgewerkte SoA en het risicobehandelingsplan getoetst?
- Zijn beheersmaatregelen voor leveranciers, cloud, continuïteit, incidenten, privacy, toegang, kwetsbaarheden, logging en monitoring onderbouwd met bewijsmateriaal?
- Zijn beleidsdocumenten goedgekeurd, actueel, gecommuniceerd en onder versiebeheer?
- Zijn CAPA’s gekoppeld aan oorzaken en doeltreffendheidscontroles?
- Kan bewijsmateriaal snel worden gevonden in de centrale auditmap?
Clarysec’s Informatiebeveiligingsbeleid biedt de governancebasislijn:
“De organisatie moet een Managementsysteem voor informatiebeveiliging (ISMS) implementeren en onderhouden overeenkomstig ISO/IEC 27001:2022 Clausules 4 tot en met 10.”
Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.1.1.
Voor het mkb moet de beoordeling ook certificeringseisen en wijzigingen in regelgeving volgen. Clarysec’s Informatiebeveiligingsbeleid - mkb stelt:
“Dit beleid moet ten minste jaarlijks door de algemeen directeur (GM) worden beoordeeld om blijvende naleving van ISO/IEC 27001-certificeringseisen, wijzigingen in regelgeving (zoals GDPR, NIS2 en DORA) en veranderende bedrijfsbehoeften te waarborgen.”
Uit de sectie “Eisen voor herziening en bijwerking”, beleidsclausule 9.1.1.
Dat is precies wat veel transitieprogramma’s hebben gemist: ISO, regelgeving en bedrijfsverandering bewegen samen.
Wat u klanten vertelt terwijl u herstelt
Als een mislukte of gemiste transitie klantcontracten raakt, is stilte gevaarlijk. U hoeft niet elk detail van de interne audit openbaar te maken, maar u moet wel gecontroleerde assurance bieden.
Een communicatiepakket voor klanten moet het volgende bevatten:
- Actuele certificaatstatus, bevestigd door de certificatie-instelling.
- Status van de transitieaudit en herstelplan op hoofdlijnen.
- Bevestiging dat een CAPA-proces actief en door het management goedgekeurd is.
- Streefdatums voor corrigerende maatregelen en auditafsluiting.
- Verklaring dat het ISMS operationeel blijft.
- Contactpunt voor security assurance.
- Bijgewerkte verklaring inzake informatiebeveiligingsbeleid, indien passend.
- Bewijsmateriaal van compenserende beheersmaatregelen voor elk hoogrisicogebied.
Vermijd vage claims zoals “wij voldoen volledig” zolang de audit niet is opgelost. Zeg wat waar is: het ISMS functioneert, corrigerende maatregelen zijn goedgekeurd, bewijsmateriaal wordt geconsolideerd en een afsluitende beoordeling of heraudit is gepland.
Dit is vooral belangrijk als klanten op u vertrouwen als leverancier in NIS2-relevante sectoren zoals digitale infrastructuur, cloud, datacenters, content delivery networks, DNS, vertrouwensdiensten, openbare elektronische communicatie, managed services of managed security services. Als uw auditstatus hun risico in de toeleveringsketen beïnvloedt, hebben zij geloofwaardige assurance nodig.
Een praktische herstelspurt van 10 dagen
Tijdlijnen variëren per certificatie-instelling, ernst, reikwijdte en volwassenheid van bewijsmateriaal. Maar de herstelvolgorde is betrouwbaar.
| Dag | Activiteit | Output |
|---|---|---|
| 1 | Verzamel auditrapport, bevestig certificaatstatus, open centrale auditmap | Herstelcommandocentrum |
| 2 | Classificeer bevindingen, wijs eigenaren toe, informeer management | Goedgekeurde herstelgovernance |
| 3 | Actualiseer context, verplichtingen, belanghebbenden en scope-aannames | Bijgewerkte context- en compliancemapping |
| 4 | Stem risicobeoordeling en risicobehandelingsplan af | Bijgewerkt risicoregister en behandelplan |
| 5 | Herstel SoA met rationale, uitsluitingen, bewijsmateriaal en eigenaren | Auditklare SoA |
| 6 | Voer oorzaakanalyse uit voor alle bevindingen | Oorzaaklogboek |
| 7 | Bouw CAPA-plan met streefdatums en eisen voor bewijsmateriaal | CAPA-register |
| 8 | Verzamel en toets bewijsmateriaal voor prioritaire beheersmaatregelen | Bewijspakket |
| 9 | Voer directiebeoordeling uit en keur restrisico’s goed | Notulen directiebeoordeling |
| 10 | Voer mock audit uit en bereid reactie aan certificatie-instelling voor | Herauditklaar pakket |
Dien de reactie pas in wanneer deze een coherent verhaal vertelt. De auditor moet de keten kunnen volgen van bevinding naar oorzaak, van oorzaak naar corrigerende maatregel, van corrigerende maatregel naar bewijsmateriaal en van bewijsmateriaal naar directiebeoordeling.
De herstelworkflow van Clarysec
Wanneer Clarysec een gemiste of mislukte ISO 27001:2022-transitie ondersteunt, organiseren we het werk in een gerichte herstelworkflow.
| Herstelfase | Clarysec-middel | Output |
|---|---|---|
| Audittriage | Zenith Blueprint stappen 24, 27, 29, 30 | Bevindingclassificatie, bewijsmapping, plan voor auditafsluiting |
| Governance-reset | Informatiebeveiligingsbeleid, Beleid voor audit en compliancemonitoring | Goedgekeurde verantwoordelijkheden, managementbetrokkenheid, centrale map voor bewijsmateriaal |
| Risicoactualisatie | Beleid inzake risicobeheer, ISO/IEC 27005:2022-methode | Bijgewerkte context, criteria, risicoregister, behandelplan |
| SoA-herstel | Zenith Blueprint stap 24, Beleid inzake risicobeheer | Traceerbare SoA met risico, verplichting, eigenaar, bewijsmateriaal, status |
| Cross-compliancemapping | Zenith Controls | Afstemming op assuranceverwachtingen vanuit NIS2, DORA, GDPR, NIST-stijl en COBIT 2019 |
| CAPA-uitvoering | Zenith Blueprint stap 29, auditbeleid | Oorzaak, corrigerende maatregel, eigenaar, deadline, doeltreffendheidscontrole |
| Mock audit | Zenith Blueprint stap 30 | Herauditklaar pakket en assurancepakket voor klanten |
Dit gaat niet om het produceren van papierwerk. Het gaat om het herstellen van vertrouwen dat het ISMS bestuurd, risicogebaseerd, met bewijsmateriaal onderbouwd en gericht op verbetering is.
Slotadvies: behandel de mislukte transitie als een stresstest
Een gemiste ISO 27001:2022-transitiedeadline of mislukte transitieaudit voelt als een crisis, maar is ook een diagnostische kans. Zij laat zien of uw ISMS verandering kan absorberen, wettelijke verplichtingen kan integreren, leveranciers kan beheren, de werking van beheersmaatregelen kan aantonen en van fouten kan leren.
De organisaties die het snelst herstellen, doen drie dingen goed:
- Zij centraliseren bewijsmateriaal en stoppen de chaos.
- Zij bouwen traceerbaarheid tussen risico, SoA, beheersmaatregelen, beleid en verplichtingen opnieuw op.
- Zij behandelen auditbevindingen via gedisciplineerde CAPA en directiebeoordeling.
Organisaties die worstelen proberen het probleem op te lossen door documenten te bewerken zonder eigenaarschap, monitoring, bewijsmateriaal of oorzaak te herstellen.
Als u de deadline hebt gemist of uw transitieaudit niet hebt gehaald, is uw volgende stap geen paniek. Het is gestructureerd herstel.
Clarysec kan u helpen transitieaudittriage uit te voeren, uw SoA opnieuw op te bouwen, verwachtingen vanuit NIS2, DORA, GDPR, NIST-stijl en COBIT 2019 te mappen via Zenith Controls, corrigerende maatregelen uit te voeren met Zenith Blueprint, en beleidsbewijsmateriaal af te stemmen met Informatiebeveiligingsbeleid, Beleid voor audit en compliancemonitoring, Beleid inzake risicobeheer en Beleid inzake wettelijke en regelgevende compliance.
Uw certificaatprobleem kan worden hersteld. Uw ISMS kan sterker worden dan het vóór de audit was. Als uw transitieaudit nog niet is opgelost, start dan nu de herstelbeoordeling, consolideer uw bewijsmateriaal en bereid een herauditpakket voor dat aantoont dat uw ISMS niet alleen gedocumenteerd is, maar werkt.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
