Bijlage B
(normatief)
Vereiste kennis en vaardigheden
In
tabel B.1 zijn de kennis en vaardigheden opgenomen die een certificatie-instelling voor specifieke
certificatiefuncties moet definiëren. X betekent dat de certificatie-instelling de criteria en het niveau van kennis en vaardigheden
moet definiëren. X+ geeft aan dat een hoger niveau van kennis en vaardigheden nodig is.
Het is mogelijk invulling te geven aan de eisen waaraan het auditteam moet voldoen
door de inzet van (externe) materiedeskundigen. De eisen aan een materiedeskundige
zijn opgenomen in de 6e kolom van
tabel B.1. In het geval dat een materiedeskundige wordt ingezet, wordt van de (lead)auditor
de vaardigheid gevraagd om op een juiste wijze gebruik te maken van de aanwezige materiedeskundigheid
en de door de materiedeskundige uitgebrachte adviezen. Van de materiedeskundige wordt
de vaardigheid gevraagd helder en duidelijk adviezen aan de (lead)auditor te kunnen
formuleren en communiceren. Van de materiedeskundige wordt ook enige kennis van het
specifieke van toepassing zijnde certificatieschema verwacht.
Tabel B.1
—
Tabel van kennis en vaardigheden
Vereiste kennis en vaardigheden | Certificatiefuncties | ||||
---|---|---|---|---|---|
De beoordeling uitvoeren van de aanvraag met het oog op het vaststellen van de vereiste competentie van het auditteam, het selecteren van de auditteamleden, en het bepalen van de audittijd | Audit-rapporten beoordelen en certificatie-beslissingen nemen | Het uitvoeren van audits | Leiding-geven aan het auditteam | Materie-deskundig-heid | |
Kennis en ervaring betreffende politiek en bedrijfseisen voor informatiebeveiliging | X | X | |||
Kennis van de praktijk van bedrijfsmanagement | X | X | |||
Kennis van waardebepaling van bedrijfsmiddelen, inventarissen, classificaties en beleid voor acceptabel gebruik | X | X | |||
Algemene kennis en ervaring van de processen en procedures die worden gebruikt op human resources-afdelingen | X | X | |||
Actuele kennis en ervaring betreffende de normen, processen, technieken en methoden die worden gebruikt voor informatiebeveiliging, met inbegrip van beheersmaatregelen, alsmede een passend niveau van technische expertise. Hiertoe behoort actuele kennis van een aantal gebruikelijke bedrijfspraktijken. | X | X | |||
Actuele kennis en ervaring betreffende de normen, processen, plannen en testprocedures voor bedrijfscontinuïteit | X | X | |||
Kennis van auditprincipes, -werkwijzen en -technieken | X | X+ | X+ | ||
Kennis van NEN 7510 en relevante normatieve documenten | X | X | X+ | X+ | X |
Kennis van cliënt-/patiëntveiligheid, fysieke veiligheid en omgevingsveiligheid | X | X | X | ||
Kennis van de processen van de certificatie-instelling | X | X | X | X | |
Kennis van de bedrijfssector van de klant | X | X | X+ | X+ | X+ |
Kennis van de producten, bedrijfsprocessen, werkwijzen en organisatiestructuren van de klant | X | X | X | X | |
Kennis van primaire zorg- of dienstverleningsprocessen van de sector en daaraan gerelateerde risico’s | X | X | X+ | ||
Vaardigheid om de wijze te beoordelen waarop de te auditen organisatie de risico’s beheerst | X | X | X | ||
Actuele kennis en ervaring betreffende de processen en procedures voor incidentmanagement | X | X | |||
Adequate taalvaardigheden voor alle niveaus binnen de organisatie van de klant | X | X | |||
Vaardigheden op het gebied van aantekeningen maken en rapporten schrijven | X | X | |||
Presentatievaardigheden | X | X+ | |||
Interviewvaardigheden | X | X | |||
Auditmanagementvaardigheden |
X | X+ | |||
Actuele kennis van zakelijke contractuele aangelegenheden en algemene wet- en regelgeving in verband met ISMS (o.a. Wgbo, Wbsn-z, Wcz, Wbp, Kwz) | X | X | X | ||
Indien de taak door een team wordt uitgevoerd, behoort de kennis van de producten,
processen en organisatie van de klant binnen dat team aanwezig te zijn, of door een
technisch deskundige te worden geleverd. Indien een audit door een team wordt uitgevoerd,
behoort het noodzakelijke vaardigheidsniveau aanwezig te zijn binnen het team als
geheel en niet bij elk individueel teamlid.
De teamleider van een gecombineerde of geïntegreerde audit behoort te beschikken over
een grondige kennis van ten minste een van de normen, en behoort bekend te zijn met
de overige voor die specifieke audit toegepaste normen.
OPMERKING Risico en complexiteit vormen overige overwegingen bij beslissingen over het benodigde kennisniveau voor een van deze functies. |
B.1 Typische kennis in verband met ISMS
Auditoren behoren kennis en begrip te hebben van de volgende audit- en ISMS-onderwerpen:
-
— auditprogrammering en -planning;
-
— soort audit en methoden;
-
— auditrisico;
-
— analyse informatiebeveiligingsprocessen;
-
— Deming-cirkel (PDCA) voor continue verbetering;
-
— interne audit voor informatiebeveiliging.
Auditoren behoren kennis en begrip te hebben van de volgende managementeisen:
-
— behandelen van informatiebeveiligingsrisico's;
-
— beveiligingsrisico's ICT-uitbesteding;
-
— informatiebeveiligingsrisico's leveringsketen.