MyCERCOMS

Hoe CERCOMS het aantal auditdagen voor ISO 27001 bepaalt

door | mrt 9, 2026 | Nieuws

Bij CERCOMS geloven we in transparantie. Wij leggen graag uit hoe wij te werk gaan, zodat u precies weet waarop de planning is gebaseerd.

Wanneer organisaties starten met een externe audit voor ISO/IEC 27001:2022, krijgen we regelmatig de vraag: “Hoe bepalen jullie eigenlijk het aantal auditdagen?”

Een begrijpelijke vraag, want auditdagen betekenen tijd, inzet en kosten.

Het vaststellen van de auditduur is geen willekeurige inschatting en ook geen onderhandeling op basis van voorbereiding of verwachting. Het is een gestructureerd proces dat voortkomt uit internationale richtlijnen en accreditatie-eisen.

Dit geldt voor alle geaccrediteerde certificatie-instellingen: de berekening van auditdagen gebeurt op basis van vaste methodieken die horen bij de norm en bij de regels.

Bij het vaststellen van de auditduur voor ISO/IEC 27001:2022 volgen wij de algemene eisen voor certificatie-instellingen uit ISO/IEC 17021-1, aangevuld met de specifieke berekenings- en competentie-eisen uit ISO/IEC 27006-1:2024:

ISO/IEC 17021-1:2015 

De algemene norm voor managementsysteemcertificering, die bepaalt hoe audits moeten worden uitgevoerd, inclusief risicogebaseerde planning en competenties van auditors.

ISO/IEC 27006-1:2024

De specifieke richtlijn voor audits van informatiebeveiligingsmanagementsystemen (ISMS), die aangeeft hoe factoren zoals processen, IT-complexiteit en outsourcing de auditduur beïnvloeden.

Gradaties die de auditduur bepalen

Voor de audit bekijken we de informatie die de organisatie vooraf verstrekt. Afhankelijk van de antwoorden kan de audittijd worden gereduceerd of uitgebreid. CERCOMS hanteert hiervoor zes beoordelingscategorieën, elk met drie gradaties (1 = laag, 3 = hoog) die de auditduur beïnvloeden:

Type van bedrijfsactiviteiten en regelgeving

 
1: Niet-kritische sectoren, geen specifieke regelgeving
2: Organisatie bedient klanten in kritische sectoren
3: Organisatie werkt in kritische sectoren

Processen en taken

1: Standaard-processen, weinig producten/diensten

2: Standaard maar niet-repetitieve processen, veel producten/diensten
3: Complexe processen, veel producten/diensten, meerdere business units

Niveau van het managementsysteem

1: ISMS goed ingeburgerd of andere managementsystemen aanwezig

2: Enkele elementen van andere systemen aanwezig

3: ISMS nieuw of niet geïmplementeerd

Complexiteit van IT-infrastructuur

1: Weinig of sterk gestandaardiseerde IT-platformen, servers, netwerken

2: Meerdere verschillende IT-platformen en systemen
3: Veel verschillende IT-platformen, servers, databases, netwerken

Ontwikkeling van informatiesystemen

1: Geen of zeer beperkte interne ontwikkeling

2: Enige interne of uitbestede ontwikkeling voor belangrijke doeleinden
3: Uitgebreide interne of uitbestede ontwikkeling voor belangrijke doeleinden

Afhankelijkheid van outsourcing en leveranciers, inclusief cloud

1: Weinig of geen afhankelijkheid

2: Enige afhankelijkheid voor belangrijke processen
3: Hoge afhankelijkheid met grote impact op belangrijke activiteiten

Scope versus totaal aantal FTE

 

CERCOMS vraagt je zowel het totaal aantal werknemers (FTE) als het aantal FTE binnen de scope van het managementsysteem. Zo kunnen we de auditdagen correct berekenen en volledig afstemmen op de processen die daadwerkelijk onder het certificaat vallen.

Bij de berekening van de auditduur kijken we niet naar het totale aantal medewerkers in de organisatie, maar naar het aantal FTE dat binnen de scope van het ISO/IEC 27001:2022-managementsysteem valt.

Wat betekent dat concreet?

  • Totaal aantal FTE: alle medewerkers in de organisatie, ongeacht of ze betrokken zijn bij processen die onder het ISMS vallen.
  • Scope-FTE: alleen de medewerkers die direct betrokken zijn bij de processen, systemen of afdelingen die onder het certificaat vallen.

Bijvoorbeeld: een bedrijf heeft 500 medewerkers, maar het ISMS is alleen van toepassing op de IT-afdeling en enkele kernprocessen, met in totaal 120 FTE. Voor de berekening van de auditdagen gebruikt CERCOMS dus 120 FTE, niet 500.

Het aantal locaties en sampling

Naast FTE en beoordelingscategorieën speelt ook het aantal locaties een grote rol bij de berekening van de auditduur. Niet elke vestiging hoeft volledig en afzonderlijk geaudit te worden; in veel gevallen wordt gewerkt met sampling, waarbij een selectie van locaties wordt beoordeeld die representatief is voor de gehele scope.

De keuze welke locaties worden meegenomen hangt af van verschillende factoren:

  • De complexiteit en risico’s van processen op die locaties
  • Aantal medewerkers per locatie
  • Eventuele specifieke regelgeving of sectorvereisten per vestiging

Door locaties te samplen kan de audit efficiënt worden uitgevoerd, terwijl er toch voldoende zekerheid is dat alle relevante processen binnen scope volledig worden getoetst.

Bij CERCOMS nemen we bij de planning van de audit de locaties mee in combinatie met de FTE en gradaties, zodat de auditduur realistisch, proportioneel en conform de ISO/IEC 27006-1:2024-richtlijnen wordt vastgesteld. We plannen graag een call om samen door de berekening heen te lopen, zodat je precies ziet hoe alles tot stand komt.

Vraag een uitleggesprek aan!