Proefaudit

Binnenkort begint uw certificering, bent u er klaar voor? Met een proefaudit komt u te weten of uw managementsysteem klaar is voor een certificering. Wij controleren of de verplichte documenten aanwezig en compleet zijn, waarna de organisatie klaar wordt gestoomd voor wat officieel een fase 2 audit heet.

  • Onderdelen

    De proefaudit bestaat bij ons uit drie onderdelen. Als eerste bekijken wij alle (verplichte) documentatie. Daarbij beoordelen we of alles wat aanwezig moet zijn daadwerkelijk aanwezig is en of deze inhoudelijk correct zijn.

    Het tweede onderdeel is de implementatie van risicomanagement binnen de organisatie. Dit onderwerp is een belangrijk onderdeel van de norm en zal dan ook goed op orde moeten zijn.

    Als laatste kijken we naar de implementatie van het managementsysteem. Is er een goed draaiend managementsysteem waarbij duidelijk de PDCA-cyclus is te zien en wordt uitgevoerd.

  • Documentatie

    Er is niet echt een lijst te geven met verplichte documenten. De norm geeft wel vaak aan dat er gedocumenteerde informatie beschikbaar moet zijn, maar dit mag allemaal in één document, of allemaal in aparte documenten.

    Wat minimaal gedocumenteerd moet zijn, is het volgende:

    1. Informatiebeveiligingsbeleid: Een document dat het algemene beleid van de organisatie op het gebied van de norm beschrijft, inclusief de doelstellingen. Vaak is hierin ook het toepassingsgebied in opgenomen.
    2. Risicoanalyse en -evaluatie: Documentatie waarin de organisatie  het proces rondom risicobeoordeling beschrijft, de registratie en evaluatie van de risico's en een plan om deze te behandelen.
    3. Informatiebeveiligingsplan: Specifiek voor de ISO 27001 en de NEN 7510: een document dat de maatregelen en controles beschrijft die zijn geïmplementeerd om de geïdentificeerde risico's aan te pakken en informatiebeveiliging te waarborgen.
    4. Procedures voor informatiebeveiliging: Gedetailleerde procedures en richtlijnen die medewerkers moeten volgen om de beveiliging van informatie te waarborgen.
    5. Bewustwordingsprogramma: Documentatie die het bewustwordingsprogramma voor medewerkers beschrijft, inclusief trainingen en communicatie over informatiebeveiliging.
    6. Audits en monitoring: Documentatie met betrekking tot interne audits, controles en monitoring van de informatiebeveiligingsmaatregelen.
    7. Toegangscontrolebeleid: Een beleid dat de principes en maatregelen voor toegangsbeheer binnen de organisatie vastlegt.
    8. Incidentresponsplan: Een plan dat beschrijft hoe de organisatie reageert op en herstelt van beveiligingsincidenten.
    9. Documentatie van technische maatregelen: Details over technische beveiligingsmaatregelen, zoals firewalls, antivirusprogramma's, encryptie, enz.
    10. Bewaartermijnen en vernietigingsbeleid: Richtlijnen voor het bewaren en vernietigen van informatie, inclusief persoonsgegevens.

  • Risicomanagement

    Risicomanagement is het treffen van maatregelen op basis van risico’s. Om maatregelen te kunnen treffen op basis van risico’s moeten eerst de risico’s worden geïnventariseerd. De risicoanalyse en het treffen van maatregelen vallen samen onder de noemer risicomanagement.

    Een risicoanalyse richt zich niet op bedrijfsprocessen, maar op de bedrijfsmiddelen die nodig zijn om invulling te geven aan deze bedrijfsprocessen. Het begint dan ook met een inventarisatie van alle bedrijfsmiddelen en welke kwetsbaarheden die kennen en welke dreigingen er voor de kwetsbaarheden zijn. Vervolgens maak je een afweging van de dreigingen (kans x impact) en moet je vaststellen welke risico's niet aanvaardbaar zijn. Daaruit volgen dan eventueel te nemen maatregelen. Hierbij zal je altijd moeten kijken naar de kosten-baten analyse.

    Als laatste ga je dan de risico's behandelen door maatregelen te treffen die risico's beperken.

  • Implementatie

    Alle activiteiten moeten beheerd worden. Soms moet je periodiek acties uitvoeren, je moet controleren of documenten nog op orde zijn, risico's kunnen veranderen en de directie moet periodiek het managementsysteem beoordelen. Om dit in te richten moet er een managementsysteem aanwezig zijn. Hierdoor ben je als organisatie in control.

    Je kan als organisatie kiezen voor het implementeren van een tool hiervoor (bij OlthofSupport maken wij gebruik van ControlBee voor deze activiteiten), maar dit hoeft niet.

  • Aanvragen

    Wil je een proefaudit laten uitvoeren? Vul dan dit formulier in. Wij nemen dan contact op. Dan plannen we een gesprek in om een en ander door te nemen.