ISMS Copilot
ISO 27001-begrippenlijst

Wat is een Non-conformiteit in ISO 27001?

Overzicht

Een non-conformiteit is het niet voldoen aan een eis in uw ISMS. In ISO 27001:2022 vereist Clausule 10.2 dat organisaties non-conformiteiten identificeren, erop reageren en deze corrigeren wanneer ze zich voordoen, en vervolgens corrigerende maatregelen nemen om de onderliggende oorzaken weg te nemen en herhaling te voorkomen.

Non-conformiteiten worden ontdekt tijdens interne audits, directiebeoordelingen, externe certificeringsaudits of dagelijkse werkzaamheden — en het aanpakken ervan is cruciaal voor het behouden van uw certificering en het verbeteren van uw ISMS.

Non-conformiteiten in de praktijk

Er is sprake van een non-conformiteit wanneer uw ISMS niet voldoet aan een eis uit:

  • ISO 27001:2022 standaardeisen (Clausules 4-10)

  • Uw eigen gedocumenteerde ISMS-eisen (beleid, procedures, doelstellingen)

  • Toepasselijke wettelijke, reglementaire of contractuele verplichtingen

Non-conformiteiten kunnen variëren van kleine hiaten in de documentatie tot grote tekortkomingen in de beheersing die de informatiebeveiliging in gevaar brengen.

Tijdens certificeringsaudits kunnen grote non-conformiteiten de certificering vertragen of verhinderen. Kleine non-conformiteiten vereisen corrigerende maatregelen, maar blokkeren de certificering doorgaans niet als ze tijdig worden aangepakt.

Typen Non-conformiteiten

Grote Non-conformiteit (Major)

Een significante tekortkoming die invloed heeft op het vermogen van het ISMS om de beoogde resultaten te behalen of aan de eisen te voldoen.

Voorbeelden:

  • Volledige afwezigheid van een vereist proces (bijv. geen risicobeoordeling uitgevoerd)

  • Systematisch falen van een beheersmaatregel (bijv. toegangsbeoordelingen zijn al 18 maanden niet uitgevoerd)

  • Significante niet-naleving van wettelijke vereisten (bijv. melding van een AVG-datalek niet opgevolgd)

  • Meerdere gerelateerde kleine non-conformiteiten die duiden op systemische problemen

Impact: Certificerende instanties vereisen doorgaans dat grote non-conformiteiten zijn opgelost voordat een certificaat wordt verleend of behouden.

Kleine Non-conformiteit (Minor)

Een incidenteel incident of een tekortkoming die de effectiviteit van het ISMS niet ernstig beïnvloedt.

Voorbeelden:

  • Ontbrekende handtekening op één enkel beleidsdocument

  • Eén geval van een medewerker die de bewustwordingstraining niet op tijd heeft afgerond

  • Onvolledige documentatie van een recente directiebeoordeling

  • Een beheersmaatregel die wel is geïmplementeerd maar niet volledig is gedocumenteerd

Impact: Moet worden gecorrigeerd, maar verhindert doorgaans de certificering niet mits het binnen een redelijke termijn wordt aangepakt.

Observatie/Verbeterpunt (Opportunity for Improvement)

Technisch gezien geen non-conformiteit, maar een bevinding die wijst op mogelijke toekomstige problemen of gebieden voor verbetering.

Voorbeelden:

  • Inhoud van de beveiligingsbewustwordingstraining is verouderd (geen huidige eis overtreden)

  • Het risicobeoordelingsproces werkt, maar zou efficiënter kunnen

  • Monitoring-statistieken sluiten niet goed aan bij de informatiebeveiligingsdoelstellingen

Impact: Geen onmiddellijke corrigerende maatregel vereist, maar moet worden overwogen voor continue verbetering.

Certificeringsauditoren classificeren bevindingen als grote non-conformiteit, kleine non-conformiteit of observatie. Interne audits moeten dezelfde classificaties gebruiken om zich voor te bereiden op externe audits.

Veelvoorkomende bronnen van Non-conformiteiten

Interne Audits (Clausule 9.2)

Uw eigen auditprogramma identificeert non-conformiteiten vóór de certificeringsaudits.

Voorbeeld: Interne audit stelt vast dat het herstel van back-ups al 14 maanden niet is getest, wat in strijd is met uw back-upbeleid dat driemaandelijkse testen voorschrijft.

Externe Certificeringsaudits

Certificerende instanties beoordelen de naleving tijdens Fase 1, Fase 2 en opvolgingsaudits.

Voorbeeld: Certificeringsauditor vindt geen gedocumenteerd bewijs van een directiebeoordeling in de afgelopen 12 maanden (overtreding van Clausule 9.3).

Operationele Monitoring (Clausule 9.1)

Prestatiemetingen laten afwijkingen van de eisen zien.

Voorbeeld: Monitoring toont aan dat de reactietijd bij incidenten gemiddeld 8 uur bedraagt, terwijl uw doelstelling 4 uur is.

Beveiligingsincidenten

Inbreuken of bijna-incidenten leggen tekortkomingen in de beheersing bloot.

Voorbeeld: Een geslaagde phishing-aanval onthult dat medewerkers geen beveiligingsbewustwordingstraining hebben ontvangen (non-conformiteit Clausule 7.2 en A.6.3).

Feedback van Belanghebbenden

Klanten, toezichthouders of medewerkers melden problemen.

Voorbeeld: Een audit door een klant ontdekt dat beoordelingen van externe leveranciers niet zijn gedocumenteerd (non-conformiteit A.5.19).

Reageren op Non-conformiteiten (Clausule 10.2)

ISO 27001:2022 vereist een gestructureerde reactie wanneer non-conformiteiten optreden:

1. Reageer op de non-conformiteit

  • Onderneem onmiddellijk actie om de situatie te beheersen en te corrigeren

  • Behandel de gevolgen (schade beperken, betrokken partijen informeren)

Voorbeeld: Non-conformiteit bij toegangsbeheer ontdekt. Onmiddellijke actie: Trek ongeautoriseerde toegang in, informeer het beveiligingsteam, beoordeel alle recent verleende toegangsrechten.

2. Evalueer de noodzaak voor actie om oorzaken weg te nemen

  • Onderzoek waarom de non-conformiteit is opgetreden (oorzakenanalyse/root cause analysis)

  • Bepaal of soortgelijke non-conformiteiten ergens anders bestaan of zouden kunnen optreden

Voorbeeld: Grondoorzaak: Geen automatische herinnering voor driemaandelijkse toegangsbeoordelingen. Vergelijkbaar risico: Andere periodieke taken missen mogelijk ook herinneringen.

3. Implementeer corrigerende maatregelen

  • Neem actie om de grondoorzaak weg te nemen en herhaling te voorkomen

  • Zorg ervoor dat de acties passend zijn voor de ernst van de non-conformiteit

Voorbeeld: Corrigerende maatregel: Implementeer automatische taakplanning voor alle periodieke ISMS-activiteiten (toegangsbeoordelingen, back-uptests, beleidsevaluaties).

4. Beoordeel de effectiviteit van corrigerende maatregelen

  • Controleer of de actie de non-conformiteit heeft opgelost en herhaling heeft voorkomen

  • Monitor om te zorgen dat het probleem niet terugkeert

Voorbeeld: Na 6 maanden bevestigt een audit dat alle geplande taken op tijd worden voltooid dankzij de automatische herinneringen.

5. Werk het ISMS indien nodig bij

  • Herzie gedocumenteerde informatie (beleid, procedures, beheersmaatregelen)

  • Werk de risicobeoordeling bij als er nieuwe risico's zijn geïdentificeerd

Voorbeeld: Werk de procedure voor wijzigingsbeheer bij om automatische taakregistratie op te nemen voor alle periodieke activiteiten.

Documenteer alle non-conformiteiten en corrigerende maatregelen in een register. Neem op: beschrijving, classificatie, datum van ontdekking, grondoorzaak, genomen acties, verantwoordelijke persoon, deadline en resultaten van de effectiviteitsbeoordeling.

Technieken voor Oorzakenanalyse (Root Cause Analysis)

Effectieve corrigerende actie vereist het identificeren van de werkelijke grondoorzaken, niet alleen de symptomen:

De 5 Waaroms (5 Whys)

Vraag herhaaldelijk "waarom" om tot de kernoorzaak door te dringen.

Voorbeeld:

  • Waarom vond het incident plaats? → Medewerker klikte op phishing-link.

  • Waarom klikten ze? → Ze herkenden het niet als verdacht.

  • Waarom herkenden ze het niet? → Gebrek aan bewustwordingstraining.

  • Waarom was er geen training? → Nieuwe medewerkers worden niet automatisch aangemeld.

  • Waarom geen automatische aanmelding? → Geen procesintegratie met het HR-systeem.

  • Grondoorzaak: Beveiligingstraining is niet geïntegreerd in het onboardingproces.

Visgraatdiagram (Ishikawa)

Categoriseer mogelijke oorzaken (mensen, proces, technologie, omgeving) om factoren te identificeren die bijdragen.

Failure Mode and Effects Analysis (FMEA)

Evalueer systematisch hoe processen kunnen falen en wat de gevolgen daarvan zijn.

Voorbeelden per ISO 27001-clausule

Clausule 5.2 - Informatiebeveiligingsbeleid

Non-conformiteit: Beleid niet goedgekeurd door het topmanagement of ontbrekende toezegging tot continue verbetering.

Corrigerende maatregel: Verkrijg handtekening van de CEO, voeg clausule voor continue verbetering toe, communiceer bijgewerkt beleid.

Clausule 6.1.2 - Risicobeoordeling

Non-conformiteit: Risicobeoordeling is al 24 maanden niet bijgewerkt, ondanks significante veranderingen in de bedrijfsvoering.

Corrigerende maatregel: Voer bijgewerkte risicobeoordeling uit, stel een jaarlijks schema op met agenda-herinneringen.

Clausule 7.2 - Competentie

Non-conformiteit: Geen documentatie waaruit blijkt dat IT-personeel beschikt over de vereiste beveiligingscertificeringen of trainingen.

Corrigerende maatregel: Documenteer huidige competenties, identificeer hiaten in training, meld personeel aan voor vereiste cursussen, houd trainingsregistraties bij.

Clausule 9.2 - Interne Audit

Non-conformiteit: Interne audit uitgevoerd door dezelfde persoon die verantwoordelijk is voor de beheersmaatregelen die worden geaudit (gebrek aan onafhankelijkheid).

Corrigerende maatregel: Herzie het auditprogramma om auditoren toe te wijzen die onafhankelijk zijn van de geauditeerde gebieden, bied auditortraining aan over onafhankelijkheidseisen.

Annex A.8.8 - Beheer van technische kwetsbaarheden

Non-conformiteit: Kritieke kwetsbaarheden geïdentificeerd in scans, maar niet gepatcht binnen de gedefinieerde termijn.

Corrigerende maatregel: Patch kwetsbare systemen onmiddellijk, implementeer automatische uitrol van patches, stel SLA-monitoring in voor kwetsbaarheden.

Gebruik ISMS Copilot voor oorzakenanalyses bij non-conformiteiten, het genereren van plannen voor corrigerende maatregelen of het maken van sjablonen voor registers voor het bijhouden van non-conformiteiten.

Documentatie-eisen

Clausule 10.2 vereist gedocumenteerde informatie als bewijs van:

  • De aard van non-conformiteiten en de genomen acties

  • Resultaten van corrigerende maatregelen

Uw non-conformiteitenregister moet het volgende bevatten:

  • ID van de non-conformiteit en datum van ontdekking

  • Bron (interne audit, externe audit, incident, monitoring)

  • Classificatie (major, minor, observatie)

  • Gedetailleerde beschrijving en de betreffende eis

  • Bevindingen uit de oorzakenanalyse

  • Plan voor corrigerende maatregelen met verantwoordelijkheden en deadlines

  • Statusregistratie (open, in uitvoering, gesloten)

  • Resultaten van de effectiviteitsbeoordeling

Preventieve maatregelen in ISO 27001:2022

In tegenstelling tot eerdere versies heeft ISO 27001:2022 geen aparte clausule voor "preventieve maatregelen". Preventie is ingebouwd in de standaard via:

  • Risicobeoordeling die potentiële problemen identificeert voordat ze optreden

  • Continue verbetering (Clausule 10.1) die het ISMS proactief verbetert

  • Corrigerende maatregelen die grondoorzaken aanpakken om herhaling te voorkomen

Gerelateerde termen

  • Interne Audit – Identificeert non-conformiteiten

  • Continue verbetering – Gaat verder dan het herstellen van non-conformiteiten om het ISMS te optimaliseren

  • Directiebeoordeling – Beoordeelt trends in non-conformiteiten en corrigerende maatregelen

  • ISMS – Waarop non-conformiteiten wijzen als er niet aan de eisen wordt voldaan

Was dit nuttig?