Auditen, hoe NEN 7510 - ISO 27001 auditen
Auditen. Een audit is een systematische periodieke controle die wordt verricht door een auditor. Kortweg ‘auditen’ genoemd. De normen NEN 7510 en ISO 27001 richten zich op informatiebeveiliging. Ze stellen eisen aan het managementsysteem wat is geïmplementeerd voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Een auditor NEN 7510 en ISO 27001 moet dus vaststellen tijdens een interne of externe audit of aan alle eisen t.a.v. informatiebeveiliging wordt voldaan. Deze normen kennen naast de eisen gericht op de PDCA - cyclus ook specifieke eisen. In de ISO 27001 is dit de Annex A. Bij NEN 7510 is dit een apart deel ondergebracht: NEN 7510 - 2.
Let op: de ISO 27001 is veranderd - ISO 27001:2022. En de NEN7510 volgt. Een concept NEN7510:2024 is al gepubliceerd! Onze collega's van Meta-audit.nl leggen het graag uit:
- ISO 27001:2022 vs ISO 27001:2013
- ISO 27001:2022 stappenplan
Audit raamwerk
Een audit is een activiteit waarbij de risico’s of tekortkomingen in een proces of organisatie worden geïdentificeerd. Voldoet een proces of organisatie aan dit referentiekader? Bij NEN 7510 en ISO 27001 is het referentiekader erg uitgebreid. Er is dan al gauw sprake van een raamwerk, een overzicht van alle relevante beheersmaatregelen.
De auditor die de audit uitvoert, dient zich er van te vergewissen dat alle relevante beheersmaatregelen in het raamwerk worden beoordeeld. Op basis van een risico-inschatting kan een audit frequentie worden vastgesteld, maar gedurende de gehele auditperiode moeten alle beheersmaatregelen zijn beoordeeld.
Het geeft veel overzicht als het raamwerk de volgende processtappen aangeeft:
- In voorbereiding
Op basis van een eerder opgesteld auditprogramma wordt voor de specifieke audit een agenda opgesteld. Wat komt aan bod en wat niet. Het managementsysteem of een selectie van de beheersmaatregelen worden doorgenomen en er wordt bekeken wat de resultaten waren van de vorige audits. Zijn alle verbeteringen effectief geïmplementeerd?
- In uitvoering
Tijdens de audit onderzoekt de auditor of de organisatie of het proces aan de eisen van een norm voldoet op basis van bewijs. De auditor verzamelt hiervoor informatie zoals documenten en registraties en beoordeelt operationele (monitoring)systemen. Daarnaast kan informatie worden verkregen door waarnemingen van de auditor en interviews met werknemers. De auditor controleert en beoordeelt de informatie. Kan worden aangetoond dat de auditee zegt wat hij doet, en dat hij doet wat je zegt?
- Afgerond
Alle bevindingen, afwijkingen van de norm of verbetersuggesties, worden verzameld en vastgelegd in een auditrapport. Besproken onderwerpen, aandachtspunten en tekortkomingen zijn hierin beschreven en deze worden besproken met de auditee. Ook worden corrigerende maatregelen vastgelegd. Over de feiten mag geen onduidelijkheid zijn. De auditor moet de verbeterplannen accorderen.
- Verbeterplan nodig
Als er in het auditverslag corrigerende maatregelen zijn voorgesteld, dient de auditee een verbeterplan op te stellen en later te implementeren. In een volgende audit, bijvoorbeeld een herhalingsaudit, kan dan worden beoordeeld of deze corrigerende maatregelen effectief zijn doorgevoerd.
Een heel specifiek proces dus. Voor de inhoudelijke kant steunen we daarom op onze business partners van meta-audit.nl.
Audit tooling
Aan de IT-kant gaan ontwikkelingen snel. Zo is een audit raamwerk op te zetten, waarin meteen de voortgang en volledigheid is te zien.
Bekijk eens dit overzicht van 'standaard' functionaliteiten van een digitaal managementsysteem, ingericht voor audits.
(Zet voor de aardigheid als proef dit Infoware-systeem eens in 60 seconden online ....)
Planning
Audit frame work |
- Vooraf audits inplannen
- Tijdige attendering
- Inzicht en overzicht
- Check op compleetheid normeisen
- Voortgangsbewaking
|
| Workflow sturing |
- Duidelijke processtappen
- Audittrail
- Overzicht actuele status
- Flexibele workflow
|
| Uitvoering |
- In te richten per audit type
- Eén raamwerk, meerdere normen
- Ook voor mobiele devices
- Korte doorlooptijden
|
| Monitoring |
- Dashboard
- Multisite
- Details én totaalbeeld
|
Voor wie nog steeds aan het ‘vechten’ is met losse documenten, lange doorlooptijden of onduidelijk voortgang ....
Zet in 60 seconden onze cloudoplossing Infoware klaar, software tool voor managementsystemen. En zoek de verschillen ...
