Audit

Waarom auditen? Het antwoord op deze vraag kan verschillen van “simpelweg een noodzakelijke actie omwille van het behouden van een certificering” tot “het willen beheersen van informatiebeveiligingsrisico’s in een keten van leveranciers”. Auditing is dé manier om te valideren of voldaan wordt aan gestelde eisen, omdat de auditor op zoek gaat naar bewijs.

Nu heeft niet iedere organisatie de capaciteit om de benodigde audits uit te voeren. 25 North ondersteunt organisaties bij het uitvoeren van audits en het behalen van haar beveiligingsdoelstellingen. Audits worden gestructureerd uitgevoerd en geven duidelijk observaties en/of afwijkingen weer.

Interne audits

Is het security programma effectief? worden de policies nageleefd? Waar kan mijn organisatie haar management systeem verder verbeteren? Een interne audit geeft antwoord op deze vragen en helpt de organisatie verder in haar groei op het gebied van informatiebeveiliging. Onderstaande enkele situaties waarbij interne audits worden ingezet.

ISO27001-readiness audit

Voorbereiden op de “echte” ISO27001 audit kan uitstekend middels een interne audit. Medewerkers krijgen hierbij een gevoel wat de audit inhoudt en hoe ze een auditgesprek optimaal kunnen ondersteunen. Door een keer te oefenen zijn medewerkers minder onzeker tijdens de certificeringsaudit.

De audit rapportage kan worden ingezet als interne audit en biedt inzicht in de onderwerpen die nog aandacht verdienen.

Intern auditprogramma

Organisaties met een ISO27001 certificaat moeten interne audits uitvoeren. Voorwaarden hierbij zijn dat deze objectief en onpartijdig zijn. Verder verlangt ISO dat medewerkers competent zijn voor de rol die ze uitvoeren.

25 North kan de rol van interne auditor voor de organisatie vervullen. Hierbij wordt een audit programma afgestemd op de organisatie zodat het information security management systeem periodiek tegen het licht wordt gehouden.

De interne auditor van 25 North kan omwille van onpartijdigheid en objectiviteit geen advieswerkzaamheden verrichten binnen de organisatie over het verbeteren van het ISMS.

Veiligheid bij leveranciers

Organisatie maken volop gebruik van diensten van toeleveranciers. Dit kan zijn voor het inhuren van een medewerker of het gebruiken van digitale diensten als SaaS, Paas of IaaS. Audits die wij initiëren zijn gebaseerd op het risico wat de organisatie loopt door (introductie) van de leverancier. Dit maakt dat een leveranciersaudit (2nd partij audit) een duidelijk overzicht geeft van de potentiële risico’s en de maatregelen die genomen kunnen worden om het risico beheersbaar te houden.

Een leveranciersaudit wordt ingezet bij het selecteren van een nieuwe leverancier. Met de rapportage kan de opdrachtgever de noodzakelijke maatregelen treffen voor de leverancier. Het is dan goed te weten dat deze leverancier geen risico voor de organisatie is door een gebrek aan informatiebeveiliging.

Voor organisaties die nog geen gestructureerde aanpak hebben voor veilig leveranciers beheer (oa noodzakelijk om te voldoen aan ISO27001) kan 25 North ondersteunen informatiebeveiliging te integreren in het inkoopproces.

Een veilig inkoopproces bestaat uit controles die zijn toegespitst op het doel en risico van de in te kopen dienst. Onderdeel van dit proces zijn onder andere vragenlijsten voor de leverancier, rapportages voor gebruik binnen de organisatie en controlelijsten voor de jaarlijkse controle. De hoeveelheid rapportages en diepgang worden afgestemd op de volwassenheid van de organisatie.

Vragen of Contact

Neem contact op om de mogelijkheden te bespreken.