Skip to content

ISO 27006 certificering

Nieuwe auditregels voor ISO 27001-certificering volgens ISO 27006:2024

De publicatie van ISO/IEC 27006-1:2024 verandert de manier waarop ISO 27001 audits worden uitgevoerd. Dit heeft direct impact op de berekening van audittijd, de inzet van remote auditing en het gebruik van andere frameworks. TÜV NORD helpt jouw organisatie soepel migreren naar de nieuwe eisen.

Vraag offerte aan

Voor wie is dit bedoeld?

ISO 27006 is in de eerste plaats bedoeld voor certificerende instellingen die audits uitvoeren op informatiebeveiligingsmanagementsystemen (ISMS), zoals bij ISO 27001-certificering. Deze norm stelt eisen aan de competentie, onafhankelijkheid en kwaliteit van auditoren en hun werkwijze.

Indirect heeft ISO 27006 ook impact op:

  • Organisaties die ISO 27001-certificering willen behalen omdat de nieuwe regels direct invloed hebben op de manier waarop audits worden uitgevoerd, de berekening van audittijd en de voorbereiding van je traject.
     
  • Bedrijven die al gecertificeerd zijn voor ISO 27001. Bestaande certificaten moeten vóór 31 maart 2026 zijn gemigreerd naar de nieuwe eisen uit ISO 27006-1:2024.
     
  • Organisaties met complexe of internationale structuren zoals multi-site bedrijven, cloud-based organisaties of ondernemingen met veel externe consultants. Voor hen kunnen de nieuwe regels rond remote auditing en scopewijzigingen extra relevant zijn.
     
  • IT- en securityverantwoordelijken die hun ISMS moeten afstemmen op de nieuwe mogelijkheden, bijvoorbeeld door alternatieve frameworks te integreren naast Annex A.

Wat houdt de certificering in?

ISO 27006 is de internationale norm die eisen stelt aan certificerende instellingen die audits en certificeringen uitvoeren op informatiebeveiligingsmanagementsystemen (ISMS), zoals ISO 27001. De norm waarborgt dat audits objectief, deskundig en betrouwbaar worden uitgevoerd door auditoren met de juiste kennis en ervaring.

Met ISO 27006 wordt geborgd dat jouw ISO 27001-certificaat altijd is afgegeven door een onafhankelijke en wereldwijd erkende partij.

Wat verandert er met ISO 27006-1:2024?

Op 1 maart 2024 is de vernieuwde versie van de norm gepubliceerd: ISO/IEC 27006-1:2024. Deze versie bevat aangescherpte regels voor onder andere:

  • de berekening van benodigde audittijd,
  • het gebruik van andere standaarden in het ISMS naast Annex A,
  • nieuwe instructies voor remote auditing,
  • en de manier waarop scopewijzigingen worden beoordeeld.

Omdat alle certificerende instellingen aan ISO 27006 moeten voldoen, heeft deze update directe invloed op de manier waarop ISO 27001-audits worden uitgevoerd. Voor organisaties betekent dit dat nieuwe certificeringen en hercertificeringen vanaf 4 december 2024 plaatsvinden volgens de vernieuwde eisen. Bestaande certificaten moeten uiterlijk 31 maart 2026 zijn omgezet.

Belangrijkste veranderingen

De vernieuwde ISO 27006-1:2024 brengt verschillende veranderingen met zich mee die ook impact hebben op jouw organisatie:

  1. Nieuwe berekening van audittijd
    De auditduur wordt niet meer alleen bepaald op basis van FTE’s, maar via Effective Manpower Time (EMT). Hierbij telt de complexiteit van taken mee. Dit kan leiden tot langere audits, vooral bij organisaties met veel functies of complexe rollen.
     
  2. Integratie van andere standaarden
    Naast Annex A van ISO 27001 mogen ook andere frameworks in het ISMS worden geïntegreerd, zoals SOC 2. Dit geeft meer flexibiliteit en maakt het ISMS actueler, maar vraagt om duidelijke afstemming met de auditor.
     
  3. Nieuwe regels voor remote auditing
    Er gelden strengere criteria voor het bepalen welke onderdelen van de audit op afstand kunnen plaatsvinden. Bij virtuele organisaties kan een locatiebezoek soms vervallen, mits een risicoanalyse dit ondersteunt.
     
  4. Scopewijzigingen vragen extra tijd
    Bij veranderingen in bedrijfsstructuur zoals een fusie, overname of nieuwe vestiging, wordt voortaan standaard extra audittijd ingepland. Niet tijdig melden kan leiden tot een kritische afwijking en vertraging in het certificeringstraject.

Welke documenten zijn nodig voor een ISO 27001-audit?

Bij een audit wil de auditor bewijs zien dat jouw ISMS effectief werkt. De belangrijkste documenten zijn:

  • ISMS-beleid en scopebeschrijving
  • Risicoanalyse en risicobehandeling
  • Verklaring van Toepasselijkheid (SoA), Annex A of alternatieve frameworks
  • Procedures en beleidsdocumenten o.a. incidentmanagement, toegangsbeheer, leveranciersbeheer
  • Bewijs van uitgevoerde controles logging, rapportages, trainingen
  • Interne auditrapportages en opvolging
  • Directiebeoordeling

Met de invoering van ISO 27006-1:2024 kan de auditor daarnaast extra documentatie vragen, bijvoorbeeld wanneer je andere frameworks integreert naast Annex A of wanneer een remote audit wordt uitgevoerd.

Het proces

1

Analyse & intake

bespreken scope, organisatie en eventuele aanvullende frameworks.

2

Planning audittijd

berekening volgens EMT en beoordeling van scopewijzigingen.

3

Uitvoering audit

on-site of remote, afhankelijk van risicoanalyse.

4

Rapportage & beoordeling

vastlegging van resultaten en eventuele afwijkingen.

5

Migratie naar ISO 27006

vóór 31 maart 2026 moet elke ISO 27001 certificering gemigreerd zijn.

Waarom kiezen voor TÜV NORD?

  • Geaccrediteerd – TÜV NORD is volledig erkend voor ISO 27006:2024
  • Ervaren auditors – praktische kennis van IT, cloud en internationale organisaties
  • Internationaal netwerk – ondersteuning bij vestigingen wereldwijd
  • Praktische aanpak – nuchter, transparant en gericht op continuïteit
  • Verbeteringsgericht – audits als kans om processen te versterken

Veelgestelde vragen

Antwoorden op veelgestelde vragen

ISO 27006 is de internationale norm die eisen stelt aan certificerende instellingen die audits en certificeringen uitvoeren op informatiebeveiligingsmanagementsystemen (ISMS), zoals ISO 27001. De norm waarborgt dat deze audits deskundig, onafhankelijk en betrouwbaar worden uitgevoerd.

De vernieuwde norm introduceert aangescherpte eisen voor certificerende instellingen. Belangrijkste wijzigingen zijn:

  • nieuwe regels voor de berekening van audittijd (op basis van complexiteit in plaats van alleen FTE’s),
  • de mogelijkheid om alternatieve control frameworks te gebruiken naast Annex A,
  • strengere instructies voor remote auditing,
  • en verplicht extra audittijd bij scopewijzigingen.

Vanaf 4 december 2024 moeten alle certificerende instellingen volgens deze regels werken. Bestaande certificaten moeten uiterlijk 31 maart 2026 zijn omgezet.

Als jouw organisatie ISO 27001-certificering aanvraagt, gebeurt dit altijd bij een instelling die voldoet aan ISO 27006. Dit garandeert dat de auditor voldoende kennis en ervaring heeft, dat de audit objectief verloopt en dat het certificaat internationaal erkend is.

Ja, indirect. ISO 27006 stelt eisen aan certificerende instellingen, maar dit vertaalt zich door naar jouw audit. Denk aan langere audittijd als processen complex zijn, aanvullende documentatie bij alternatieve frameworks en strengere voorwaarden voor remote audits. Goed voorbereiden en tijdig scopewijzigingen melden voorkomt vertragingen.

De auditor moet kunnen beoordelen of jouw ISMS effectief werkt. Belangrijke documenten zijn: beleid en scope, risicoanalyse, Verklaring van Toepasselijkheid (SoA), procedures en beleidsdocumenten, interne auditrapporten en de directiebeoordeling. Bij gebruik van alternatieve frameworks of remote auditing kan extra documentatie nodig zijn.

Auditoren moeten vooraf een risicoanalyse uitvoeren om te bepalen in hoeverre audits remote kunnen plaatsvinden. Bij virtuele organisaties (bijvoorbeeld cloudbedrijven of consultancybureaus zonder vaste locatie) kan een fysieke locatie-audit soms vervallen. Dit maakt de audit flexibeler, maar alleen als de risicoanalyse dit verantwoordt.

ISO 27006 is bedoeld voor certificerende instellingen zelf. Alleen onafhankelijke en geaccrediteerde partijen mogen aan deze norm worden getoetst en certificering uitvoeren. TÜV NORD is geaccrediteerd door de Raad voor Accreditatie en voldoet aan ISO/IEC 27006-1:2024. Daardoor ben je verzekerd dat onze audits deskundig, onafhankelijk en wereldwijd erkend zijn.

Heb je een vraag over deze certificering?

Wil je weten wat VCU certificering betekent voor jouw organisatie? Stel je vraag via het formulier. Wij reageren snel en duidelijk.

Stel je vraag

Ook interessant voor jou

ISO 27001 certificering

ISO 27001 is de internationale norm voor informatiebeveiligingsmanagement. Met een gecertificeerd managementsysteem toon je aan dat je risico’s structureel beheerst, gegevens beschermt en voldoet aan wettelijke eisen.
Lees meer

ISO 27701 certificering

ISO 27701 maakt zichtbaar dat privacybescherming structureel is geborgd binnen de organisatie. Deze certificering toont aan dat verwerking van persoonsgegevens op een veilige en transparante manier gebeurt, in lijn met wet- en regelgeving zoals de AVG.
Lees meer

ISO 27017 en ISO 27018 certificering

Steeds meer informatie wordt in de cloud opgeslagen en verwerkt. Dit biedt flexibiliteit, schaalbaarheid en wereldwijde toegankelijkheid, maar brengt ook specifieke beveiligingsrisico’s met zich mee.
Lees meer

Meer diensten en certificeringen

Of je nu een certificering nodig hebt of zekerheid wilt over processen, producten of systemen: we denken met je mee.
Bekijk alle diensten