Wanneer maak je de keuze voor een audit of een volwassenheidsonderzoek?
Ik spreek in deze blog steeds over een interne audit. Niet alle bedrijven hebben gekwalificeerde ISO 27001 in huis. Een externe partij als Blixt kan dan behulpzaam zijn. Het voordeel daarvan is een onafhankelijke blik, maar wel de gewenste adviezen voor verbetering.
Beveiligingsmaatregelen hebben weinig zin als ze niet worden gehandhaafd. Een beveiligingsaudit beoordeelt hoe effectief het beveiligingsbeleid van uw organisatie wordt geïmplementeerd. Bij een audit kijken we naar de “opzet” van de maatregelen. Is vastgelegd dat we “die maatregel” implementeren? Dan kijken we naar het “bestaan” van de maatregel. Is aan te tonen dat de maatregel daadwerkelijk geïmplementeerd is? Tot slot controleren we de “werking” van de maatregel.
Als voorbeeld zou je antivirus kunnen nemen. Iemand heeft vastgelegd dat ieder werkstation van antivirus moet zijn voorzien en dat de antivirusdefinities up-to-date moeten zijn. Daarmee is de opzet aangetoond. We nemen dan een willekeurig werkstation en controleren of de antivirussoftware aanwezig is. Daarmee is het bestaan aangetoond. Dan kijken we naar de datum waarop de definities voor het laatst zijn bijgewerkt. Is dat recent (gisteren, eerder deze week) dan is ook de werking aangetoond. Of de software virussen tegenhoudt, is nog een ander punt…
Wat is het nut van een (interne-) audit?
Het nut van een audit zit hem er vooral in dat je inzicht krijgt over de werking van je beveiligingsmaatregelen. Maar ook of je de noodzakelijke maatregelen genomen hebt en geen (belangrijke) zaken vergeten bent. De audit helpt je ook te focussen op wat belangrijk is. Wil je voor een ISO 27001 certificering gaan? Dan is de audit een goede thermometer om te kijken hoe je er voor staat, voor de externe partij komt voor de certificeringsaudit. Dan moet je ales op orde hebben. Een zogenaamde pre-audit moet je minimaal een half jaar, tot een jaar van tevoren doen, om rustig de tijd te hebben de gevonden gebreken op te lossen.
Wilt u hier meer over weten? Neem dan contact op.