Organisaties die werken met meerdere ISO-normen kennen het probleem: elke norm heeft zijn eigen audits, documentatie en managementreviews. Een zorginstelling met ISO 27001 en NEN 7510, een IT-dienstverlener met ISO 27001 en ISO 9001, of een AI-bedrijf met ISO 27001 en ISO 42001. De overlap is groot, maar de audits worden vaak los van elkaar uitgevoerd. Dat kost dubbel tijd, dubbel geld en dubbele administratie.
Een geintegreerde audit combineert meerdere normen in een enkel audittraject. Dit artikel beschrijft hoe dat werkt, welke normen zich goed laten combineren en waar de valkuilen zitten.
Waarom integreren?
Alle ISO-managementsysteemnormen zijn gebaseerd op dezelfde High Level Structure (HLS). De hoofdstukken 4 tot en met 10 zijn in elke norm identiek qua structuur: context van de organisatie, leiderschap, planning, ondersteuning, uitvoering, evaluatie van prestaties en verbetering. De specifieke inhoud verschilt, maar het raamwerk is hetzelfde.
Dit betekent dat veel documentatie, processen en beheersmaatregelen gedeeld kunnen worden. Een risicobeoordelingsproces, een interne auditprocedure, een managementreview, een incidentmanagementproces: deze zijn voor alle normen nodig en kunnen als een gedeeld proces worden ingericht. De normspecifieke eisen worden daar als aanvulling op geimplementeerd.
De voordelen zijn concreet. Een geintegreerde audit kost doorgaans 25 tot 40 procent minder tijd dan afzonderlijke audits. De documentatielast neemt af omdat je een gedeeld ISMS hebt in plaats van aparte systemen. En de samenhang tussen de normen wordt zichtbaar: informatiebeveiliging, kwaliteitsmanagement en AI-governance versterken elkaar wanneer ze in samenhang worden beoordeeld.
Welke combinaties werken goed?
De meest voorkomende combinaties die wij in de praktijk zien zijn ISO 27001 met NEN 7510 voor zorginstellingen en hun IT-leveranciers. NEN 7510 is specifiek gebaseerd op ISO 27001, met aanvullende eisen voor de zorgsector. De overlap is zeer groot, wat integratie logisch maakt.
ISO 27001 met ISO 42001 is een combinatie die snel groeit. Organisaties die AI inzetten en hun informatiebeveiliging en AI-governance willen borgen, combineren deze normen. De HLS-hoofdstukken worden gedeeld, en de normspecifieke controls (Annex A van ISO 27001 en Annex A van ISO 42001) worden apart beoordeeld.
ISO 27001 met ISO 9001 is klassiek voor IT-dienstverleners die zowel informatiebeveiliging als kwaliteitsmanagement willen certificeren. ISO 27001 met ISO 22301 combineert informatiebeveiliging met business continuity management.
Voor cloudproviders zien we combinaties van ISO 27001 met ISO 27017 en ISO 27018, waarbij de cloudspecifieke beveiligings- en privacy-eisen als extensie op het basis-ISMS worden geauditeerd.
Hoe werkt een geintegreerde audit?
Bij een geintegreerde audit beoordeelt de auditor de gedeelde HLS-hoofdstukken een keer en toetst vervolgens de normspecifieke controls per norm. In de praktijk betekent dit dat de auditor begint met de context, het beleid, de risicoanalyse en de managementreview. Deze worden beoordeeld tegen alle normen tegelijk. Vervolgens worden de specifieke controls per norm doorgenomen.
Een ISO 27001 plus ISO 42001 audit kan er als volgt uitzien. Op de eerste dag worden de HLS-hoofdstukken beoordeeld: beleid, scope, risicobeoordeling, competenties, interne audit en managementreview. Op de tweede dag worden de ISO 27001 Annex A controls getoetst. Op de derde dag de ISO 42001 Annex A controls, inclusief AI-specifieke onderwerpen als AI-impactanalyse, databeheer en verantwoord AI-gebruik.
Het resultaat is een gecombineerd auditrapport met bevindingen per norm. De certificeringsinstelling geeft afzonderlijke certificaten af voor elke norm, maar het traject is geintegreerd.
Valkuilen bij integratie
De eerste valkuil is te vroeg integreren. Organisaties die net beginnen met hun eerste ISO-certificering, doen er goed aan om eerst een norm stevig neer te zetten voordat ze een tweede norm toevoegen. Een wankel fundament wordt niet sterker door er een extra verdieping op te bouwen.
De tweede valkuil is de normspecifieke eisen onderschatten. De HLS-structuur is gedeeld, maar de inhoudelijke eisen per norm verschillen wezenlijk. AI-governance is niet hetzelfde als informatiebeveiligingsmanagement. Beide verdienen specifieke aandacht en expertise.
De derde valkuil is een verkeerde auditor. Niet elke auditor is gekwalificeerd voor alle normen. Bij een geintegreerde audit is het essentieel dat de auditor of het auditteam expertise heeft op alle betrokken normen. Een IT-auditor die uitstekend is in ISO 27001 maar geen kennis heeft van kwaliteitsmanagement, kan de ISO 9001-component niet adequaat beoordelen.
Secure Audit is gespecialiseerd in geintegreerde audits. Ons platform ondersteunt de beoordeling van meerdere normen in een geintegreerd werkprogramma, met per control de mogelijkheid om de beoordeling te koppelen aan een of meerdere normen. Neem contact op om de mogelijkheden voor een geintegreerde audit te bespreken.
Lees ook
Van gap-analyse tot certificeringsaudit: een praktische gids voor ISO 27001 implementatie en certificering.
Steeds meer bedrijven willen ISO 42001-gecertificeerd worden. Maar de praktijk is weerbarstiger dan de theorie. Dit zijn de zeven dingen die wij tegenkomen bij organisaties die hun AI-governance op orde willen brengen.
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Lees wat de norm inhoudt en hoe je eraan voldoet.
Elke ISO-certificering vereist periodieke interne audits. Maar hoe voer je een effectieve interne audit uit, en wat verwacht de certificeringsinstelling? Een praktische gids.
Over de auteur
Partner | IT-auditor