Bijlage C

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
(informatief)

Informatie over interne audits

De implementatie van een ISMS behoort regelmatig te worden geëvalueerd door middel van interne en onafhankelijke audits. Deze audits beogen tevens ervaringen over de dagelijkse praktijk te verzamelen en te evalueren. Voor de implementatie van een ISMS behoort de wijze van de auditvoering te zijn vastgesteld. De resultaten van een audit behoren te zijn gebaseerd op bewijs. Er behoort voldoende tijd te worden ingepland om bruikbaar bewijs te kunnen verzamelen.
Een interne audit behoort geïmplementeerd te zijn en regelmatig te worden uitgevoerd om te kunnen evalueren of de beheersmaatregelen, hun doelstellingen, processen en procedures van het ISMS conform NEN-ISO/IEC 27001, relevante wet- en regelgeving en geïdentificeerde informatiebeveiligingseisen effectief zijn geïmplementeerd en beheerd.
De selectie van interne ISMS-auditoren kan voor kleinere bedrijven lastig zijn. Indien onvoldoende middelen beschikbaar zijn om interne audits door ervaren medewerkers te kunnen uitvoeren, behoren externe auditoren te worden ingeschakeld voor het uitvoeren van deze taak. Hoewel de externe auditoren onvoldoende bekend kunnen zijn met de organisatie zelf, behoren de externe auditoren wel bekend te zijn met het voeren van interne ISMS-audits. Dit behoort te worden ondersteund door de organisatie. Anderzijds kunnen interne auditoren wel voldoende kennis hebben om interne audits te kunnen uitvoeren, terwijl ze onvoldoende kennis hebben over het uitvoeren van ISMS-audits. Organisaties behoren de karakteristieken en potentiële tekortkomingen van interne vs. externe auditoren voor het uitvoeren van interne ISMS-audits te kennen.
De effectiviteit en efficiëntie van de geïmplementeerde beheersmaatregelen (zie NEN-ISO/IEC 27004:2009 ) behoren te worden onderzocht m.b.t. de doelstelling van interne audits.
Het is belangrijk dat de audits niet worden uitgevoerd door diegenen die zijn betrokken bij de planning en ontwerp van de beveiligingsdoelstellingen. De aanbeveling geldt om afdelingen en/of individuen te selecteren als auditoren die buiten de doelstelling van de interne ISMS-audit vallen. De auditoren behoren de interne ISMS-audits te plannen, uit te voeren en hierover te rapporteren ten behoeve van de betrokkenheid van het management. Afhankelijk van de grootte van de organisatie, kan het waardevol zijn om externe auditoren in te zetten om te voorkomen dat de eigen medewerkers overbelast raken.
Tijdens een interne ISMS-audit behoort nagelopen te worden of het ISMS effectief opereert en wordt beheerd volgens plan. Auditoren behoren zowel rekening te houden met de status en het belang van managementdoelstellingen, beheersmaatregelen, processen en procedures als met de resultaten van voorgaande audits.
De criteria, van toepassing zijnde doelstelling, frequentie en auditmethode behoren te zijn gedocumenteerd alvorens de audit plaatsvindt. Bij de selectie van de auditoren behoren de objectiviteit en redelijkheid van het auditproces te zijn gewaarborgd. Een auditor behoort de volgende competenties te hebben voor het uitvoeren van een audit:
  • a) plannen en uitvoeren van het audit;
  • b) rapporteren van de resultaten;
  • c) voorstellen van verbeter- en preventieve acties.
Ook behoort de organisatie de verantwoordelijkheden van de auditoren te definiëren en de processen van de audit in een procedure te documenteren.
Een manager, verantwoordelijk voor het gevolgde proces, behoort ervoor te zorgen dat non-conformiteiten en hun oorzaken adequaat en zonder vertraging worden aangepakt. Dit betekent echter niet dat een non-conformiteit onmiddellijk gecorrigeerd moet worden. Verbeteracties behoren te worden geverifieerd, resulterend in een rapportage.
De interne ISMS-audit kan als onderdeel of in afstemming met andere interne audits plaatsvinden in de organisatie. Tijdens de audit kan worden gerefereerd aan NEN-EN-ISO 19011 Richtlijnen voor het uitvoeren van audits van managementsystemen [14].