Audit

Auditing is een systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijsmateriaal, en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan

Door onze ervaring als Lead auditor, weten wij goed waar CI's op letten. Dat geeft U vertrouwen in een effectieve uitvoering van de diverse audits.
Wij gaan daarbij in op uw vragen, iets wat een CI niet mag doen. Daarmee krijgt u inzicht in de effectiviteit van uw managementsysteem.
Als laatste zorgen wij ervoor dat de gesprekken in een prettige sfeer verlopen en waarde toevoegen. Dit heeft bewezen een bijkomend voordeel te hebben.

Audits conform de norm

Volgens de ISO 9001, ISO 27001 en de NEN 7510 moet een organisatie interne audits uitvoeren naar de werking van haar managementsysteem. Om ervoor te zorgen dat de audits voldoende geborgd worden, moeten deze onderdeel uitmaken van een (al aanwezig) auditprogramma.

Als eerste moet dus een auditprogramma opgesteld worden. Indien deze reeds aanwezig is, voeren wij een toets uit op het auditprogramma om vast te stellen of deze voldoet aan de eisen van de norm. Is deze nog niet aanwezig, dan stellen wij, samen met de organisatie, het programma op.

Op basis van het auditprogramma worden vervolgens de interne audits ingepland. Bij het uitvoeren van de audits wordt bekeken of het managementsysteem overeenkomt met de eisen van de norm en eventueel zelf opgestelde eisen. Daarnaast wordt een oordeel gegeven of het systeem doeltreffend is geïmplementeerd en onderhouden.

Over de resultaten van de interne audit, de daaruit voortvloeiende actiepunten en de voortgang daarvan moet gerapporteerd worden in de directiebeoordeling. Hiervoor wordt over de resultaten van de audit een rapportage opgesteld. Deze rapportage wordt vervolgens besproken en de nodige actie worden toegelicht. Deze actiepunten moeten door de Security Officer uitgevoerd worden.

Daar wij ook lead auditor zijn die zelf organisaties certificeren, weten wij als geen andere waar auditoren op letten. Uw vraag beantwoorden, compliance checken en u inzicht geven in de effectiviteit van uw managementsysteem zijn belangrijk. Maar ook gesprekken in een prettige sfeer laten verlopen en waarde toevoegen buiten de audit om hebben bewezen een bijkomend voordeel te hebben.

Soorten audits

  • Quickscan

    Een quickscan is een manier van onderzoeken waarbij slechts een of twee goed meetbare onderwerpen aan bod komen. U bepaalt welke vraag u beantwoordt wilt hebben en gezamenlijk bepalen we de soort quickscan die bij uw vraag hoort.

  • Proefaudit

    Binnenkort begint uw certificering, bent u er klaar voor? Met een proefaudit komt u te weten of uw managementsysteem klaar is voor een certificering. Wij controleren of de verplichte documenten aanwezig en compleet zijn, waarna de organisatie klaar wordt gestoomd voor wat officieel een fase 2 audit heet.

  • Interne audit

    De interne audits die u moet uitvoeren als gecertificeerde organisatie kunt u ook uitbesteden. Profiteer van de bedrevenheid van ervaren lead auditors om uw managementsysteem door te lichten. Gezamenlijk bepalen we of de interne audit een procesaudit, systeemaudit, productaudit of ketenaudit dient te zijn.

  • Probleem oplossen

    U heeft een probleem met uw managementsysteem? Is het inefficiënt? Heeft u geen geïntegreerd managementsysteem? Laat een onafhankelijke deskundige auditor uw managementsysteem doorlichten zodat u zich zo uitgebreid mogelijk kan laten informeren om daarna de juiste beslissingen te kunnen nemen.

Quickscan

Bent u benieuwd waar u staat ten aanzien van de implementatie van uw kwaliteitsmanagementsysteem of uw managementsysteem voor informatiebeveiliging?
Wilt u weten in hoeverre u al voldoet aan de eisen van de norm?
Bent u benieuwd wat u nog moet doen voor een succesvolle initiële audit?

Wij kunnen voor u een quickscan uitvoeren. Wij komen dan drie dagen langs bij uw organisatie om te bekijken waar u staat ten aanzien van de implementatie van de norm.

Het is zinvol wanneer u vooraf nadenkt over de quickscan en een aantal vragen bedenkt waar u antwoord op wilt hebben. Deze vragen kunnen wij dan tijdens de quickscan meenemen.

De agenda voor deze drie dagen ziet er als volgt uit:

  • Dag 1: Beoordeling documentatie

    Tijdens de eerste dag van de audit controleren wij of alle verplichte documentatie voor een succesvolle certificering aanwezig zijn. Uiteraard beoordelen we de aanwezige documentatie ook op inhoud.

  • Dag 2: Beoordeling risico analyse

    Bij de ISO 27001 en de NEN 7510  moet er een risicobeoordeling zijn uitgevoerd. Op basis van de risicobeoordeling dient vastgesteld te zijn welke beheersmaatregelen van toepassing zijn. Deze  van toepassing zijnde  beheersmaatregelen moeten geïmplementeerd zijn. Tevens moeten de vastgestelde  informatiebeveiligingsdoelstelling(en) behaald zijn.

    Tijdens deze tweede dag van de quickscan beoordelen we de risico analyse. Wij bekijken daar of deze volgens de norm is uitgevoerd en welke beheersmaatregelen daaruit zijn gekomen.

  • Dag 3: Beoordeling implementatie

    Tijdens dag 2 hebben wij vastgesteld welke beheersmaatregelen van toepassing zijn. Tijdens deze derde dag beoordeling we de mate waarin die beheersmaatregelen zijn geïmplementeerd.

    We proberen daarbij zoveel mogelijk alle maatregelen door te nemen. Afhankelijk van de omvang van de organisatie zullen wij soms minder diep ingaan op bepaalde maatregelen.

Na afloop an de quickscan krijgt u een samenvatting van hetgeen besproken is tijdens de quickscan volgens de norm waartegen u gecertificeerd wilt worden.

Het verslag geeft op geen enkele wijze een indicatie over een het gecertificeerd zijn volgens die norm.

Als u meer wilt weten over de mogelijkheden, dan kunt u dit formulier invullen. Wij nemen dan contact met u op om vrijblijvend de mogelijkheden te bekijken.

Uiteraard kunnen wij u ook helpen om de aanbevelingen uit het verslag te implementeren binnen uw organisatie. Wij gaan dan samen met u het managementsysteem inrichten. Meer informatie daarover kunt u hier vinden.

Proefaudit

Binnenkort begint uw certificering, bent u er klaar voor? Met een proefaudit komt u te weten of uw managementsysteem klaar is voor een certificering. Wij controleren of de verplichte documenten aanwezig en compleet zijn, waarna de organisatie klaar wordt gestoomd voor wat officieel een fase 2 audit heet.

  • Onderdelen

    De proefaudit bestaat bij ons uit drie onderdelen. Als eerste bekijken wij alle (verplichte) documentatie. Daarbij beoordelen we of alles wat aanwezig moet zijn daadwerkelijk aanwezig is en of deze inhoudelijk correct zijn.

    Het tweede onderdeel is de implementatie van risicomanagement binnen de organisatie. Dit onderwerp is een belangrijk onderdeel van de norm en zal dan ook goed op orde moeten zijn.

    Als laatste kijken we naar de implementatie van het managementsysteem. Is er een goed draaiend managementsysteem waarbij duidelijk de PDCA-cyclus is te zien en wordt uitgevoerd.

  • Dcocumentatie

    Er is niet echt een lijst te geven met verplichte documenten. De norm geeft wel vaak aan dat er gedocumenteerde informatie beschikbaar moet zijn, maar dit mag allemaal in één document, of allemaal in aparte documenten.

    Wat minimaal gedocumenteerd moet zijn, is het volgende:

    1. Informatiebeveiligingsbeleid: Een document dat het algemene beleid van de organisatie op het gebied van de norm beschrijft, inclusief de doelstellingen. Vaak is hierin ook het toepassingsgebied in opgenomen.
    2. Risicoanalyse en -evaluatie: Documentatie waarin de organisatie  het proces rondom risicobeoordeling beschrijft, de registratie en evaluatie van de risico's en een plan om deze te behandelen.
    3. Informatiebeveiligingsplan: Specifiek voor de ISO 27001 en de NEN 7510: een document dat de maatregelen en controles beschrijft die zijn geïmplementeerd om de geïdentificeerde risico's aan te pakken en informatiebeveiliging te waarborgen.
    4. Procedures voor informatiebeveiliging: Gedetailleerde procedures en richtlijnen die medewerkers moeten volgen om de beveiliging van informatie te waarborgen.
    5. Bewustwordingsprogramma: Documentatie die het bewustwordingsprogramma voor medewerkers beschrijft, inclusief trainingen en communicatie over informatiebeveiliging.
    6. Audits en monitoring: Documentatie met betrekking tot interne audits, controles en monitoring van de informatiebeveiligingsmaatregelen.
    7. Toegangscontrolebeleid: Een beleid dat de principes en maatregelen voor toegangsbeheer binnen de organisatie vastlegt.
    8. Incidentresponsplan: Een plan dat beschrijft hoe de organisatie reageert op en herstelt van beveiligingsincidenten.
    9. Documentatie van technische maatregelen: Details over technische beveiligingsmaatregelen, zoals firewalls, antivirusprogramma's, encryptie, enz.
    10. Bewaartermijnen en vernietigingsbeleid: Richtlijnen voor het bewaren en vernietigen van informatie, inclusief persoonsgegevens.

  • Risicomanagement

    Risicomanagement is het treffen van maatregelen op basis van risico’s. Om maatregelen te kunnen treffen op basis van risico’s moeten eerst de risico’s worden geïnventariseerd. De risicoanalyse en het treffen van maatregelen vallen samen onder de noemer risicomanagement.

    Een risicoanalyse richt zich niet op bedrijfsprocessen, maar op de bedrijfsmiddelen die nodig zijn om invulling te geven aan deze bedrijfsprocessen. Het begint dan ook met een inventarisatie van alle bedrijfsmiddelen en welke kwetsbaarheden die kennen en welke dreigingen er voor de kwetsbaarheden zijn. Vervolgens maak je een afweging van de dreigingen (kans x impact) en moet je vaststellen welke risico's niet aanvaardbaar zijn. Daaruit volgen dan eventueel te nemen maatregelen. Hierbij zal je altijd moeten kijken naar de kosten-baten analyse.

    Als laatste ga je dan de risico's behandelen door maatregelen te treffen die risico's beperken.

  • Implementatie

    Alle activiteiten moeten beheerd worden. Soms moet je periodiek acties uitvoeren, je moet controleren of documenten nog op orde zijn, risico's kunnen veranderen en de directie moet periodiek het managementsysteem beoordelen. Om dit in te richten moet er een managementsysteem aanwezig zijn. Hierdoor ben je als organisatie in control.

    Je kan als organisatie kiezen voor het implementeren van een tool hiervoor (bij OlthofSupport maken wij gebruik van ControlBee voor deze activiteiten), maar dit hoeft niet.

  • Aanvragen

    Wil je een proefaudit laten uitvoeren? Vul dan dit formulier in. Wij nemen dan contact op. Dan plannen we een gesprek in om een en ander door te nemen.

Audit aanvragen

Wilt u graag weten welke mogelijkheden voor een audit er zijn? Vul dan onderstaand formulier in. Wij nemen dan contact met u op.

Voor welke norm, of normen gaat uw aanvraag?

Aanvrager

Organisatie