ISO 27001 pre-audit checklist: 2 weken voor Stage 2

Stage 2 is over twee weken. Deze 22-punts checklist loopt alles na dat auditors typisch vragen — als één hokje mist, fix het nu.

Twee weken voor Stage 2. Tijd om niet meer wezenlijk dingen te bouwen — wel om checken dat alles klopt. Loop deze 22 punten af.

Documentatie

1. Security policy versie-actueel, eigenaar benoemd, jaarlijks review-datum ingepland.
2. Statement of Applicability actueel (alle Annex A-controls: implemented / NA + reden).
3. Alle 8-12 policies op correct versienummer, changelog zichtbaar.
4. Risk register review-date in het laatste kwartaal.
5. Asset-lijst actueel (inclusief SaaS-inventaris).

Operationele bewijsvoering

6. Laatste access review uitgevoerd, PDF-rapport met beslissingen en handtekeningen.
7. Privileged access inventaris actueel, laatste review binnen 3 maanden.
8. Laatste 2 offboardings volledig gedocumenteerd.
9. Onboarding-proces voor minstens 1 recente hire compleet.
10. Backup-test uitgevoerd, bewijs van restore.
11. Laatste kwartaal aan incident-register (ook "niks gebeurd" moet daarin).

Governance

12. Laatste management review binnen 12 maanden, notulen aanwezig.
13. Interne audit afgerond, report aanwezig, bevindingen afgesloten of in plan.
14. Trainings-log: iedereen heeft security-awareness dit jaar gedaan.
15. Rollen en verantwoordelijkheden document (CISO-rol ingevuld, ook al is dat de directeur zelf).

Techniek

16. MFA afdwingbaar op kritieke systemen (M365 admin, boekhouding, cloud-infra).
17. Wachtwoord-policy afdwingbaar (minstens lengte + common-password-blocking).
18. Patches: laatste kwartaal OS/browser-patches op > 95% devices.
19. Anti-malware op alle endpoints.
20. Disk encryption aan op alle bedrijfs-laptops.

Contracten

21. Verwerkers-overeenkomsten met kern-leveranciers (zie verwerkersregister).
22. Geheimhoudings- en security-clausules in arbeidscontracten.

Alles afgevinkt → je bent klaar voor Stage 2.