Auditing is een systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijsmateriaal, en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan
Door onze ervaring als Lead auditor bij een CI weten wij goed waar op gelet wordt (bij die CI) tijdens een officiële certificeringsaudit. Dat geeft U vertrouwen in een effectieve uitvoering van de diverse audits.
Wij gaan daarbij in op uw vragen, iets wat een CI niet mag doen. Daarmee krijgt u inzicht in de effectiviteit van uw managementsysteem.
Als laatste zorgen wij ervoor dat de gesprekken in een prettige sfeer verlopen en waarde toevoegen. Dit heeft bewezen een bijkomend voordeel te hebben.
Volgens de ISO 9001, ISO 27001 en de NEN 7510 moet een organisatie interne audits uitvoeren naar de werking van haar managementsysteem. Om ervoor te zorgen dat de audits voldoende geborgd worden, moeten deze onderdeel uitmaken van een (al aanwezig) auditprogramma.
Als eerste moet dus een auditprogramma opgesteld worden. Indien deze reeds aanwezig is, voeren wij een toets uit op het auditprogramma om vast te stellen of deze voldoet aan de eisen van de norm. Is deze nog niet aanwezig, dan stellen wij, samen met de organisatie, het programma op.
Op basis van het auditprogramma worden vervolgens de interne audits ingepland. Bij het uitvoeren van de audits wordt bekeken of het managementsysteem overeenkomt met de eisen van de norm en eventueel zelf opgestelde eisen. Daarnaast wordt een oordeel gegeven of het systeem doeltreffend is geïmplementeerd en onderhouden.
Over de resultaten van de interne audit, de daaruit voortvloeiende actiepunten en de voortgang daarvan moet gerapporteerd worden in de directiebeoordeling. Hiervoor wordt over de resultaten van de audit een rapportage opgesteld. Deze rapportage wordt vervolgens besproken en de nodige actie worden toegelicht. Deze actiepunten moeten door de Security Officer uitgevoerd worden.
Daar wij ook lead auditor zijn die zelf organisaties certificeren, weten wij als geen andere waar auditoren op letten. Uw vraag beantwoorden, compliance checken en u inzicht geven in de effectiviteit van uw managementsysteem zijn belangrijk. Maar ook gesprekken in een prettige sfeer laten verlopen en waarde toevoegen buiten de audit om hebben bewezen een bijkomend voordeel te hebben.
ISO 9001
ISO 9001 is een wereldwijd erkende norm met eisen op het gebied van kwaliteitsmanagement en daardoor een maatstaf voor transparantie en betrouwbaarheid in de markt. Kwaliteitsmanagement komt terug in alle onderdelen van het proces in uw organisatie dat uw product of dienst voortbrengt. Kwaliteitsmanagement zorgt ervoor dat uw organisatie goed beheerst dat uw product of dienst voldoet aan de behoeften, eisen, wensen en specificaties van klanten, maar ook andere belanghebbenden. Denk hierbij bijvoorbeeld ook aan wetgeving. Met ISO 9001 kwaliteitsmanagement borgt u continue verbetering van kwaliteit zodat u steeds beter aan de behoeften van uw klanten kunt voldoen.
BIO
De Baseline Informatiebeveiliging Overheid (BIO) is de standaard voor de overheid wanneer het gaat om de informatiebeveiliging. De overheid is verplicht om te voldoen aan de BIO.
De BIO is gebaseerd op de ISO 27002-standaard.
In de BIO staat beschreven aan welke beveiligingsmaatregelen uit de ISO 27002 (de BIO noemt dit Controls) moet worden voldaan. Soms zijn deze verder uitgewerkt in verplichte, concrete acties voor de overheid (De BIO noemt dit overheidsmaatregelen).
ISO 27001
ISO 27001 is een standaard die gaat over informatiebeveiliging. In deze standaard staat hoe je procesmatig met het beveiligen van informatie kan omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker te stellen.
Met ISO 27001 certificering laat u zien dat u voldoet aan alle eisen rondom informatiebeveiliging.NEN 7510-1
NEN 7510-1 (afgeleide van ISO 27001) is een standaard die gaat over informatiebeveiliging binnen de gezondheidszorg. In deze standaard staat hoe je procesmatig met het beveiligen van informatie kan omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie ten behoeve van verantwoorde zorg voor patiënten binnen een organisatie zeker te stellen.
Quickscan
Een quickscan is een manier van onderzoeken waarbij slechts een of twee goed meetbare onderwerpen aan bod komen. U bepaalt welke vraag u beantwoordt wilt hebben en gezamenlijk bepalen we de soort quickscan die bij uw vraag hoort.
Proefaudit
Binnenkort begint uw certificering, bent u er klaar voor? Met een proefaudit komt u te weten of uw managementsysteem klaar is voor een certificering. Wij controleren of de verplichte documenten aanwezig en compleet zijn, waarna de organisatie klaar wordt gestoomd voor wat officieel een fase 2 audit heet.
Certificatieaudit
Wanneer u klaar bent voor een certificerende audit, dan kunt u zich door een CI laten certificeren. Olthof Support werkt hiervoor nauw samen met DEKRA
Interne audit
De interne audits die u moet uitvoeren als gecertificeerde organisatie kunt u ook uitbesteden. Profiteer van de bedrevenheid van ervaren lead auditors om uw managementsysteem door te lichten. Gezamenlijk bepalen we of de interne audit een procesaudit, systeemaudit, productaudit of ketenaudit dient te zijn.
Probleem oplossen
U heeft een probleem met uw managementsysteem? Is het inefficiënt? Heeft u geen geïntegreerd managementsysteem? Laat een onafhankelijke deskundige auditor uw managementsysteem doorlichten zodat u zich zo uitgebreid mogelijk kan laten informeren om daarna de juiste beslissingen te kunnen nemen.
Vul dit formulier en wij nemen contact op. Wij plannen dan een gesprek in om een en ander door te nemen.
Bent u benieuwd waar u staat ten aanzien van de implementatie van uw kwaliteitsmanagementsysteem of uw managementsysteem voor informatiebeveiliging?
Wilt u weten in hoeverre u al voldoet aan de eisen van de norm?
Bent u benieuwd wat u nog moet doen voor een succesvolle initiële audit?
Wij kunnen voor u een quickscan uitvoeren. Wij komen dan drie dagen langs bij uw organisatie om te bekijken waar u staat ten aanzien van de implementatie van de norm.
Het is zinvol wanneer u vooraf nadenkt over de quickscan en een aantal vragen bedenkt waar u antwoord op wilt hebben. Deze vragen kunnen wij dan tijdens de quickscan meenemen.
De agenda voor deze drie dagen ziet er als volgt uit:
Dag 1: Beoordeling documentatie
Tijdens de eerste dag van de audit controleren wij of alle verplichte documentatie voor een succesvolle certificering aanwezig zijn. Uiteraard beoordelen we de aanwezige documentatie ook op inhoud.
Dag 2: Beoordeling risico analyse
Bij de ISO 27001 en de NEN 7510 moet er een risicobeoordeling zijn uitgevoerd. Op basis van de risicobeoordeling dient vastgesteld te zijn welke beheersmaatregelen van toepassing zijn. Deze van toepassing zijnde beheersmaatregelen moeten geïmplementeerd zijn. Tevens moeten de vastgestelde informatiebeveiligingsdoelstelling(en) behaald zijn.
Tijdens deze tweede dag van de quickscan beoordelen we de risico analyse. Wij bekijken daar of deze volgens de norm is uitgevoerd en welke beheersmaatregelen daaruit zijn gekomen.
Dag 3: Beoordeling implementatie
Tijdens dag 2 hebben wij vastgesteld welke beheersmaatregelen van toepassing zijn. Tijdens deze derde dag beoordeling we de mate waarin die beheersmaatregelen zijn geïmplementeerd.
We proberen daarbij zoveel mogelijk alle maatregelen door te nemen. Afhankelijk van de omvang van de organisatie zullen wij soms minder diep ingaan op bepaalde maatregelen.
Na afloop an de quickscan krijgt u een samenvatting van hetgeen besproken is tijdens de quickscan volgens de norm waartegen u gecertificeerd wilt worden.
Het verslag geeft op geen enkele wijze een indicatie over een het gecertificeerd zijn volgens die norm.
Als u meer wilt weten over de mogelijkheden, dan kunt u dit formulier invullen. Wij nemen dan contact met u op om vrijblijvend de mogelijkheden te bekijken.
Uiteraard kunnen wij u ook helpen om de aanbevelingen uit het verslag te implementeren binnen uw organisatie. Wij gaan dan samen met u het managementsysteem inrichten. Meer informatie daarover kunt u hier vinden.
Binnenkort begint uw certificering, bent u er klaar voor? Met een proefaudit komt u te weten of uw managementsysteem klaar is voor een certificering. Wij controleren of de verplichte documenten aanwezig en compleet zijn, waarna de organisatie klaar wordt gestoomd voor wat officieel een fase 2 audit heet.
Onderdelen
De proefaudit bestaat bij ons uit drie onderdelen. Als eerste bekijken wij alle (verplichte) documentatie. Daarbij beoordelen we of alles wat aanwezig moet zijn daadwerkelijk aanwezig is en of deze inhoudelijk correct zijn.
Het tweede onderdeel is de implementatie van risicomanagement binnen de organisatie. Dit onderwerp is een belangrijk onderdeel van de norm en zal dan ook goed op orde moeten zijn.
Als laatste kijken we naar de implementatie van het managementsysteem. Is er een goed draaiend managementsysteem waarbij duidelijk de PDCA-cyclus is te zien en wordt uitgevoerd.
Dcocumentatie
Er is niet echt een lijst te geven met verplichte documenten. De norm geeft wel vaak aan dat er gedocumenteerde informatie beschikbaar moet zijn, maar dit mag allemaal in één document, of allemaal in aparte documenten.
Wat minimaal gedocumenteerd moet zijn, is het volgende:
- Informatiebeveiligingsbeleid: Een document dat het algemene beleid van de organisatie op het gebied van de norm beschrijft, inclusief de doelstellingen. Vaak is hierin ook het toepassingsgebied in opgenomen.
- Risicoanalyse en -evaluatie: Documentatie waarin de organisatie het proces rondom risicobeoordeling beschrijft, de registratie en evaluatie van de risico's en een plan om deze te behandelen.
- Informatiebeveiligingsplan: Specifiek voor de ISO 27001 en de NEN 7510: een document dat de maatregelen en controles beschrijft die zijn geïmplementeerd om de geïdentificeerde risico's aan te pakken en informatiebeveiliging te waarborgen.
- Procedures voor informatiebeveiliging: Gedetailleerde procedures en richtlijnen die medewerkers moeten volgen om de beveiliging van informatie te waarborgen.
- Bewustwordingsprogramma: Documentatie die het bewustwordingsprogramma voor medewerkers beschrijft, inclusief trainingen en communicatie over informatiebeveiliging.
- Audits en monitoring: Documentatie met betrekking tot interne audits, controles en monitoring van de informatiebeveiligingsmaatregelen.
- Toegangscontrolebeleid: Een beleid dat de principes en maatregelen voor toegangsbeheer binnen de organisatie vastlegt.
- Incidentresponsplan: Een plan dat beschrijft hoe de organisatie reageert op en herstelt van beveiligingsincidenten.
- Documentatie van technische maatregelen: Details over technische beveiligingsmaatregelen, zoals firewalls, antivirusprogramma's, encryptie, enz.
- Bewaartermijnen en vernietigingsbeleid: Richtlijnen voor het bewaren en vernietigen van informatie, inclusief persoonsgegevens.
Risicomanagement
Risicomanagement is het treffen van maatregelen op basis van risico’s. Om maatregelen te kunnen treffen op basis van risico’s moeten eerst de risico’s worden geïnventariseerd. De risicoanalyse en het treffen van maatregelen vallen samen onder de noemer risicomanagement.
Een risicoanalyse richt zich niet op bedrijfsprocessen, maar op de bedrijfsmiddelen die nodig zijn om invulling te geven aan deze bedrijfsprocessen. Het begint dan ook met een inventarisatie van alle bedrijfsmiddelen en welke kwetsbaarheden die kennen en welke dreigingen er voor de kwetsbaarheden zijn. Vervolgens maak je een afweging van de dreigingen (kans x impact) en moet je vaststellen welke risico's niet aanvaardbaar zijn. Daaruit volgen dan eventueel te nemen maatregelen. Hierbij zal je altijd moeten kijken naar de kosten-baten analyse.
Als laatste ga je dan de risico's behandelen door maatregelen te treffen die risico's beperken.
Implementatie
Alle activiteiten moeten beheerd worden. Soms moet je periodiek acties uitvoeren, je moet controleren of documenten nog op orde zijn, risico's kunnen veranderen en de directie moet periodiek het managementsysteem beoordelen. Om dit in te richten moet er een managementsysteem aanwezig zijn. Hierdoor ben je als organisatie in control.
Je kan als organisatie kiezen voor het implementeren van een tool hiervoor (bij OlthofSupport maken wij gebruik van ControlBee voor deze activiteiten), maar dit hoeft niet.
Aanvragen
Wil je een proefaudit laten uitvoeren? Vul dan dit formulier in. Wij nemen dan contact op. Dan plannen we een gesprek in om een en ander door te nemen.
Onderdelen
De interne audit bestaat bij ons uit twee onderdelen. Als eerste bekijken wij alle (verplichte) documentatie. Daarbij beoordelen we of alles wat aanwezig moet zijn daadwerkelijk aanwezig is en of deze inhoudelijk correct zijn. Dit doen we remote op basis van de toegezonden documentatie.
Het tweede onderdeel is de interviews op locatie. Op basis van het auditplan stellen wij een agenda op voor de interviews. We beoordelen dan of alle processen voldoen aan de norm en of het managementsysteem correct is en juist wordt toegepast.
Belangrijke onderdelen hierbij vormen risicomanagement en de implementatie van het managementsysteem. Is er een goed draaiend managementsysteem waarbij duidelijk de PDCA-cyclus is te zien en wordt uitgevoerd.
Aanvragen
Wil je een proefaudit laten uitvoeren? Vul dan dit formulier in. Wij nemen dan contact op. Dan plannen we een gesprek in om een en ander door te nemen.
Klaar voor een grondige audit?
Wilt u de beveiliging, privacy of kwaliteit van uw organisatie laten toetsen door een ervaren auditor? Wij bieden audits op maat, afgestemd op uw behoeften. Vul het formulier in om een audit aan te vragen, en wij nemen contact met u op om de mogelijkheden te bespreken.
