9   Evaluatie van de prestaties

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.1   Monitoren, meten, analyseren en evalueren

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet de informatiebeveiligingsprestaties en de doeltreffendheid van het managementsysteem voor informatiebeveiliging evalueren.
De organisatie moet vaststellen:
  • a) wat moet worden gemonitord en gemeten, met inbegrip van informatiebeveiligingsprocessen en -beheersmaatregelen;
  • b) welke methoden worden toegepast voor het, voor zover van toepassing, monitoren, meten, analyseren en evalueren, om geldige resultaten te bewerkstelligen;

    OPMERKING De gekozen methoden behoren vergelijkbare en reproduceerbare resultaten op te leveren om als geldig te worden beschouwd.

  • c) wanneer moet worden gemonitord en gemeten;
  • d) wie moet monitoren en meten;
  • e) wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd; en
  • f) wie deze resultaten moet analyseren en evalueren.
De organisatie moet geschikte gedocumenteerde informatie bewaren als bewijsmateriaal van de resultaten van het monitoren en meten.

9.2   Interne audit

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
  • a) overeenkomt met:
    • 1) de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging; en
    • 2) de eisen van deze norm;
  • b) doeltreffend is geïmplementeerd en onderhouden.
De organisatie moet:
  • c) (een) auditprogramma(’s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage. Het auditprogramma moet rekening houden met het belang van de betrokken processen en de resultaten van voorgaande audits;
  • d) de auditcriteria voor en de reikwijdte van elke audit definiëren;
  • e) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;
  • f) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management; en
  • g) gedocumenteerde informatie bewaren als bewijsmateriaal van het auditprogramma en de auditresultaten.

9.3   Directiebeoordeling

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De directie moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de organisatie beoordelen, om de continue geschiktheid, adequaatheid en doeltreffendheid te bewerkstelligen.
Bij de directiebeoordeling moet onder andere in overweging worden genomen:
  • a) de status van acties als gevolg van voorgaande directiebeoordelingen;
  • b) wijzigingen in externe en interne onderwerpen die relevant zijn voor het managementsysteem voor informatiebeveiliging;
  • c) feedback over de informatiebeveiligingsprestaties, met inbegrip van trends in:
    • 1) afwijkingen en corrigerende maatregelen;
    • 2) resultaten van monitoren en meten;
    • 3) auditresultaten; en
    • 4) voldoen aan informatiebeveiligingsdoelstellingen;
  • d) feedback van belanghebbenden;
  • e) resultaten van risicobeoordeling en de status van het risicobehandelplan; en
  • f) kansen voor continue verbetering.
De resultaten van de directiebeoordeling moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.
De organisatie moet gedocumenteerde informatie bewaren als bewijsmateriaal van de resultaten van de directiebeoordeling.