Al helemaal klaar?
In de afrondende fase van een ontwikkelingstraject voor een ISMS (Information Security Management System - management systeem voor informatiebeveiliging) is het belangrijk om te weten waar de omissies zitten. Een pre-audit is dan een praktische, eerste beoordeling, liefst uitgevoerd met de frisse blik van een buitenstaander.
Pre-audit
Een pre-audit is eigenlijk niks anders dan een soort proefexamen. Komen er uit zo'n audit nog tekortkomingen naar voren, dan is er meestal nog voldoende tijd om deze te herstellen. Het geeft vertrouwen aan een organisatie en u weet weer waar u staat. Met een gerust hart kan de certificerende instantie of de externe accountant worden uitgenodigd.
Eerst zelf - onderzoek? Kijk voor een praktische checklist onder 'instructions' in dit demo-ISMS (UK, ISO 27001) of onder 'Overig' in dit demo-ISMS (NL, NEN 7510)
Een pre-audit wordt uitgevoerd op o.a. de volgende onderwerpen (natuurlijk afhankelijk van het einddoel):
-
beveiligingsbeleid
-
beheer van bedrijfsmiddelen
-
personeel
-
fysieke beveiliging
-
beheer communicatieprocessen
-
beheer van bedieningsprocessen
-
toegangsbeleid
-
informatiesystemen
-
incidentenbeheer
-
bedrijfscontinuïteitsbeheer
-
naleving
|
|
Einddoel: certificering of derdenverklaring
Verschillende einddoelen zijn mogelijk. Een certificerende instantie kan worden uitgenodigd om het eigen ISMS te komen beoordelen en uiteindelijk te certificeren. Deze certificering is dan gebaseerd op de norm ISO 27001. Een ander traject is dat een bevoegd extern accountant een zg derdenverklaring (TPM - Third Party Mededeling) afgeeft nadat een beoordeling is uitgevoerd.
Wat doet Meta-audit
Op dit onderdeel voert Meta-audit de volgende diensten uit:
- implementatie-advies over het ISMS
- uitvoeren pre-audits
Voorstel pre-audit?