📚 ISO Kennisbank / ISO 27001 Clausule 9: Prestatiebeoordeling, Audit en Directiebeoordeling

ISO 27001 Clausule 9: Prestatiebeoordeling, Audit en Directiebeoordeling

🔒 ISO 27001 ⏱ 9 min lezen 📅 3 juni 2026

Clausule 9 van ISO 27001 legt vast hoe u de effectiviteit van uw ISMS bewaakt via KPI-meting, interne audits en directiebeoordelingen. Ontdek hoe u een robuust evaluatiesysteem opbouwt dat aantoonbaar werkt voor de externe auditor.

Wat is ISO 27001 Clausule 9?

ISO 27001 Clausule 9 is de evaluatiefase van uw informatiebeveiliging managementsysteem (ISMS). Hier beoordeelt u of uw ISMS daadwerkelijk werkt: u meet prestaties, voert interne audits uit en legt bevindingen voor aan de directie. Zonder een solide clausule 9-invulling heeft u geen grip op de effectiviteit van uw informatiebeveiliging en mist u de basis voor continue verbetering.

Wat zegt de norm?

Clausule 9 bestaat uit drie sub-clausules:

  • 9.1 Monitoring, meting, analyse en evaluatie – De organisatie moet bepalen wat gemeten wordt, hoe, wanneer en door wie, en moet de resultaten analyseren en evalueren.
  • 9.2 Interne audit – Er moeten op geplande tijdstippen interne audits worden uitgevoerd om vast te stellen of het ISMS voldoet aan de eigen eisen en aan de norm.
  • 9.3 Directiebeoordeling – De directie moet het ISMS op geplande tijdstippen beoordelen om de voortdurende geschiktheid, toereikendheid en effectiviteit te waarborgen.

9.1 Monitoring en meting: KPIs voor informatiebeveiliging

Effectief meten begint met de juiste vragen: wat wilt u weten over de prestaties van uw ISMS? De norm vereist dat u bepaalt wat u meet, welke methoden u gebruikt, hoe vaak u meet, wie de meting uitvoert en wie de resultaten analyseert. Dit klinkt abstract, maar in de praktijk betekent het dat u een meetprogramma opstelt met concrete KPIs (Key Performance Indicators).

Voorbeelden van KPIs voor informatiebeveiliging

Goede KPIs voor een ISMS zijn meetbaar, relevant en actiegericht. Overweeg de volgende indicatoren:

  • Patchmanagement – Percentage kritische kwetsbaarheden gepatcht binnen de afgesproken termijn (doelstelling: 95% binnen 72 uur)
  • Toegangsbeheer – Aantal accounts met ongeldige of verlopen rechten (doelstelling: 0)
  • Security awareness – Percentage medewerkers dat de jaarlijkse security training heeft afgerond (doelstelling: 100%)
  • Incidentrespons – Gemiddelde tijd tot detectie en gemiddelde tijd tot herstel van beveiligingsincidenten
  • Back-up en herstel – Percentage succesvolle back-uptests (doelstelling: 100%)
  • Phishing-simulaties – Percentage medewerkers dat klikt op een gesimuleerde phishing-e-mail (trendmeting)
  • Leveranciersbeheer – Percentage kritische leveranciers met actuele beveiligingsbeoordeling

Kies niet te veel KPIs: zes tot twaalf goed gekozen indicatoren zijn beter dan twintig die niemand actief bijhoudt. Rapporteer de KPIs minimaal kwartaal aan het management.

9.2 Interne audit: planning, uitvoering en rapportage

De interne audit is het mechanisme waarmee u objectief vaststelt of uw ISMS functioneert zoals bedoeld. De norm stelt dat interne audits op geplande tijdstippen worden uitgevoerd en dat er een auditprogramma bestaat dat rekening houdt met de importantie van de betrokken processen en de resultaten van eerdere audits.

Het auditprogramma opstellen

Een goed auditprogramma bevat minimaal:

  • Een meerjarenplanning (bij voorkeur een driejaarsrolling) die alle clausules en alle relevante Annex A-controls dekt
  • Een jaarplanning met concrete auditdata, scope per audit, en toegewezen auditors
  • Criteria voor prioritering: risicovolle gebieden en gebieden met eerdere non-conformiteiten krijgen hogere frequentie
  • Procedures voor de selectie en kwalificatie van auditors

Wie mag de interne audit uitvoeren?

Intern auditors mogen geen hun eigen werk auditen (het objectiviteitsvereiste). Dit betekent dat u keuze heeft uit drie opties:

  • Gecertificeerde interne auditors uit een andere afdeling
  • Een cross-functioneel auditteam waarbij leden elkaars domeinen auditen
  • Een externe partij die de interne audits uitvoert in uw opdracht

Zorg dat uw auditors zijn opgeleid in audittechnieken en voldoende kennis hebben van ISO 27001. Een ISO 27001 Lead Auditor-opleiding is de gouden standaard, maar een interne training met een gekwalificeerde trainer volstaat ook.

Het auditproces stap voor stap

  1. Auditinitiatief en planning – De auditlid-manager stuurt een auditaankondiging met scope, datum en gevraagde documentatie.
  2. Documentenreview – De auditor beoordeelt bestaande procedures, beleid en records voordat de audit plaatsvindt.
  3. Openingsvergadering – De auditor legt de scope, methode en planning uit aan de geauditeerde afdeling.
  4. Veldaudit – De auditor voert interviews, observaties en documentencontroles uit.
  5. Bevindingen vastleggen – Non-conformiteiten, observaties en positieve bevindingen worden gedocumenteerd.
  6. Sluitingsvergadering – De auditor presenteert de bevindingen aan de geauditeerde afdeling.
  7. Auditrapport – Het formele rapport wordt opgeleverd, doorgaans binnen twee weken na de audit.
  8. Opvolging – Non-conformiteiten worden opgepakt via het corrigerende maatregelenproces (clausule 10).

Auditrapportage: wat moet erin staan?

Een volledig auditrapport bevat minimaal: de auditdatum en scope, de namen van de auditor(s) en de geauditeerden, de gebruikte auditnorm en criteria, een samenvatting van de bevindingen, een lijst van non-conformiteiten (minor en major) met evidence, een lijst van observaties en aanbevelingen, en een algehele conclusie over de conformiteit van het geauditeerde gebied.

9.3 Directiebeoordeling: agenda, input en output

De directiebeoordeling (management review) is het moment waarop de hoogste directie het ISMS beoordeelt en richting geeft voor verbetering. Het is niet een bureaucratische formaliteit, maar een strategische evaluatie. De norm schrijft voor dat de beoordeling op geplande tijdstippen plaatsvindt; in de praktijk is jaarlijks het minimum, kwartaal is beter voor dynamische organisaties.

Verplichte agenda-input (norm vereist dit expliciet)

  • Status van acties uit vorige directiebeoordelingen
  • Wijzigingen in externe en interne context die relevant zijn voor het ISMS
  • Feedback over de informatiebeveiligingsprestaties, inclusief: non-conformiteiten en corrigerende maatregelen, monitorings- en meetresultaten, auditresultaten, realisatie van informatiebeveiligingsdoelstellingen
  • Feedback van belanghebbenden
  • Resultaten van risicobeoordeling en status van het risicobehandelingsplan
  • Mogelijkheden voor continue verbetering

Verplichte output (de beslissingen die de directie neemt)

  • Beslissingen over mogelijkheden voor continue verbetering
  • Eventuele wijzigingen in het ISMS, inclusief wijzigingen in middelen

De directiebeoordeling moet schriftelijk worden vastgelegd als gedocumenteerde informatie. Een goede notulen van de vergadering, met een actielijst en verantwoordelijken, volstaat. Bewaar deze notulen als auditbewijsstuk.

Verschil interne vs externe audit

Veel organisaties verwarren de interne audit met de externe certificeringsaudit. Hier zijn de belangrijkste verschillen:

  • Doel – De interne audit is een zelfevalutie-instrument voor verbetering; de externe audit is een onafhankelijke verificatie voor certificering.
  • Uitvoerder – Interne audits worden uitgevoerd door medewerkers of ingehuurde specialisten; externe audits door accrediteerde certificeringsinstanties (zoals TUV, Bureau Veritas, Lloyd’s Register).
  • Frequentie – Interne audits zijn flexibel en kunnen meerdere keren per jaar plaatsvinden; externe audits vinden doorgaans jaarlijks (surveillance) of driejaarlijks (hercertificering) plaats.
  • Gevolgen – Non-conformiteiten bij een interne audit leiden tot interne verbeteracties; non-conformiteiten bij een externe audit kunnen leiden tot het niet verlenen of intrekken van het certificaat.
  • Openheid – Interne audits mogen ook leermoment zijn met meer dialoog; externe audits zijn formeel en gericht op objectieve verificatie.

Meetindicatoren voor uw ISMS: praktische opzet

Een werkend meetprogramma voor uw ISMS begint met de structuur. Gebruik een meetmatrix met de volgende kolommen: controledoel (wat wilt u weten), metric (de specifieke maatstaf), meetmethode (hoe verzamelt u de data), frequentie (hoe vaak), eigenaar (wie is verantwoordelijk), doelstelling (de norm of target), actuele waarde (het resultaat van de laatste meting) en status (groen/oranje/rood).

Koppel uw meetindicatoren altijd aan de risicos en doelstellingen die u in clausule 6 heeft vastgesteld. Zo sluit uw meetprogramma aan op uw risicobehandeling en kunt u aantonen dat uw ISMS risicogericht werkt.

Veelgemaakte fouten bij clausule 9

  • Interne audit als papieren exercitie – De audit wordt uitgevoerd maar bevindingen worden niet serieus opgepakt of de opvolging wordt niet bewaakt.
  • Geen onafhankelijkheid van de auditor – De ISMS-beheerder auditeert zijn of haar eigen werk, wat de objectiviteit ondermijnt.
  • Directiebeoordeling zonder echte directie – Alleen de CISO of kwaliteitsmanager is aanwezig; de daadwerkelijke directie is afwezig.
  • Meten zonder actie – KPIs worden gemeten en gerapporteerd, maar als een indicator rood is, wordt er niets mee gedaan.
  • Onvolledig auditprogramma – Niet alle clausules en Annex A-controls worden gedekt over de auditcyclus.
  • Geen documentatie bewaard – Auditresultaten en directiebeoordelingen worden niet bewaard als gedocumenteerde informatie, wat een direct bevindingspunt is voor externe auditors.

Stap-voor-stap aanpak voor clausule 9

  1. Stel een meetprogramma op – Bepaal uw KPIs, meet- en rapportagefrequenties en wijs eigenaren toe.
  2. Maak een auditprogramma – Plan uw interne audits voor het komende jaar en zorg dat alle clausules gedekt zijn.
  3. Kwalificeer uw auditors – Zorg voor opgeleide, objectieve auditors die niet hun eigen werk auditen.
  4. Voer audits uit en leg resultaten vast – Documenteer alle bevindingen in auditverslagen.
  5. Leid non-conformiteiten naar clausule 10 – Open corrigerende maatregelen voor alle gevonden afwijkingen.
  6. Bereid de directiebeoordeling voor – Verzamel alle verplichte input en presenteer een duidelijk overzicht.
  7. Documenteer de directiebeoordeling – Leg besluiten en acties schriftelijk vast.
  8. Bewaar alle records – Auditverslagen en directiebeoordelingen zijn verplichte gedocumenteerde informatie.

Relatie met andere clausules

  • Clausule 6 – De doelstellingen en risicos uit clausule 6 zijn de meetlat voor uw KPIs in clausule 9.1.
  • Clausule 8 – De uitvoering in clausule 8 levert de data die u in clausule 9 analyseert.
  • Clausule 10 – Non-conformiteiten uit de audit (clausule 9.2) worden gecorrigeerd via het verbeterproces in clausule 10.
  • Clausule 5 – De directie die deelneemt aan de directiebeoordeling (clausule 9.3) toont daarmee de betrokkenheid die vereist is in clausule 5.1.

FAQ

Hoe vaak moet ik een interne audit uitvoeren?

De norm schrijft geen vaste frequentie voor, maar stelt dat audits plaatsvinden op geplande tijdstippen. In de praktijk verwachten certificeringsinstanties dat alle clausules en relevante Annex A-controls minimaal eenmaal per certificeringsperiode (drie jaar) zijn geauditeerd. Voor een robuust ISMS is een jaarlijks volledig auditprogramma de standaard, waarbij risicovolle gebieden vaker worden geauditeerd.

Mag een externe partij mijn interne audits uitvoeren?

Ja, u mag een externe partij inhuren om uw interne ISO 27001-audits uit te voeren. Dit is zelfs een uitstekende optie als u geen gekwalificeerde interne auditors heeft of als u een frisse, onafhankelijke blik wilt. De externe auditor voert dan de audit uit namens uw organisatie, maar het blijft formeel een interne audit. De externe certificeringsaudit mag niet door dezelfde partij worden uitgevoerd om onafhankelijkheid te waarborgen.

Wat is een minor versus een major non-conformiteit?

Een minor non-conformiteit is een gedeeltelijke afwijking van een norm-eis: er is een zwakheid, maar het systeem functioneert in grote lijnen. Een major non-conformiteit is een volledige afwijking of het volledig ontbreken van een norm-eis. Bij een externe audit leidt een major non-conformiteit tot het niet verlenen of opschorten van het certificaat totdat de non-conformiteit is gecorrigeerd en de correctie is geverifieerd. Minor non-conformiteiten moeten ook worden gecorrigeerd, maar hoeven doorgaans pas bij de volgende surveillance-audit te zijn opgelost.

Wat moet er minimaal in een directiebeoordeling staan?

De norm specificeert de verplichte input en output. Minimaal moet u bespreken: status van eerdere acties, relevante wijzigingen in de context, beveiligingsprestaties (incidenten, audits, KPIs, doelstellingen), feedback van belanghebbenden, risicobeoordeling en mogelijkheden voor verbetering. De output moet minimaal beslissingen over verbetering en eventuele wijzigingen in het ISMS bevatten. Leg alles schriftelijk vast.

Hoe kies ik de juiste KPIs voor mijn ISMS?

Goede ISMS-KPIs zijn SMART (Specifiek, Meetbaar, Acceptabel, Relevant en Tijdgebonden) en gekoppeld aan uw informatiebeveiligingsdoelstellingen en de risicos die u heeft geidentificeerd. Begin met de risicovolle gebieden uit uw risicoregister en stel voor elk risicogebied een of twee indicatoren op die meten of uw maatregel effectief is. Zo bewijst u dat uw ISMS risicogericht werkt.

Hoe bewaak ik de opvolging van auditbevindingen?

Gebruik een actieregistratiesysteem (bijv. een spreadsheet, projectmanagementtool of uw GRC-platform) om alle auditbevindingen bij te houden met de volgende velden: bevindingsnummer, beschrijving, ernst (minor/major/observatie), verantwoordelijke, geplande oplossingsdate, status en sluitingsdatum. Bespreek openstaande acties in elke management review. De externe auditor zal altijd vragen om bewijs dat eerdere non-conformiteiten zijn opgelost.

Direct aan de slag met ISO?

Vooraf ingevulde templates — 80% klaar, in Word, Office 365, Confluence of Google Docs.

Bekijk templates →