Proefaudit NEN 7510 / ISO 27001

In hoeverre beheerst uw organisatie de risico's op het gebied van informatiebeveiliging? Overweeg een proefaudit en zet informatiebeveiliging formeel op de agenda.

Als organisatie heeft u vaak zelf al maatregelen getroffen als het gaat om het beveiligen van de informatie. Wellicht werkt uw organisatie onbewust zelfs al volgens een aantal eisen van de NEN 7510 of ISO 27001. Een externe proefaudit NEN 7510 / ISO 27001 van DNV zorgt dat u het overzicht krijgt welke zaken al op orde zijn, maar ook punten die extra aandacht vragen. Na deze proefaudit weet u direct welke vervolgstappen te nemen zijn op weg naar certificering.

Wat houdt een proefaudit informatiebeveiliging in?

Uw organisatie wordt op de belangrijkste aspecten van de informatiebeveiligingsnorm NEN 7510 of ISO 27001 doorgelicht. Een proefaudit geeft u een helder beeld waar uw organisatie zich op dit moment bevindt. Daarnaast vergroot u hiermee de interne betrokkenheid. Uw medewerkers maken direct kennis met onze unieke manier van auditeren.

Een proefaudit NEN 7510 / ISO 27001 is geschikt voor elke organisatie die wil weten waar ze staat ten aanzien van de implementatie van een managementsysteem, bijvoorbeeld wanneer zij:

Wil starten met het opzetten en implementeren van een ISMS (Information Security Management System) in aansluiting op een al bestaand kwaliteitsmanagementsysteem. U wilt dan bijvoorbeeld weten welke elementen voor een ISMS al aanwezig zijn.
Wil weten wat de status en volledigheid is van de ISMS implementatie en wil kunnen inschatten of zij klaar is voor een externe NEN 7510 en/of ISO 27001 audit.

Voorafgaand aan de proefaudit bespreekt u met uw auditor wat de scope en de doelstelling(en) moeten gaan worden. Het is raadzaam om tijdens de proefaudit één of meerdere aandachtsgebieden op te nemen, die voor uw organisatie actueel zijn tijdens de implementatie, bijvoorbeeld een migratie naar een SaaS (clouddienst). Een auditor kan u daarbij ondersteunen bij de interpretatie van de norm(en), maar mag u geen advies geven over de wijze waarop u dat verder invult. U spreekt verder met de auditor af in welke vorm de (managementrapportage) wordt opgeleverd.

Voorbeeld proefaudit

Voorafgaand aan een proefaudit maakt u samen met de auditor een auditplan en bespreekt u welke afdelingen/ functionarissen u tijdens de audit in het auditplan wilt opnemen. Afhankelijk van uw wensen binnen de organisatie, maar ook de omvang van uw organisatie, kunt u de proefaudit uit laten voeren in 1 of meerdere dagen. De uitvoering van een proefaudit is vergelijkbaar met een officiële externe audit, dus met een openings- en sluitingsmeeting, waar de resultaten worden teruggekoppeld. Hierbij kunt u het management en andere betrokkenen uitnodigen. Tijdens de proefaudit gaan we in dialoog met bijvoorbeeld:

Het (top)management
De Security Officer en/of Informatiemanager
De IT-afdeling respectievelijk de IT manager
De HR-afdeling respectievelijk de HR functionaris
De afdeling facilitair/inkoop ten aanzien van externe contracten

Voorafgaand bespreekt u met uw auditor welke afdelingen/ functionarissen u tijdens de proefaudit in het programma wilt opnemen. Ook is het mogelijk om tijdens de proefaudit een aandachtsgebied mee te nemen, dat voor uw organisatie actueel is, bijvoorbeeld de implementatie van het nieuwe CRM systeem.

Na een proefaudit krijgt u als organisatie:

Een managementrapportage in de overeengekomen vorm, met bevindingen en aandachtspunten met nadruk op de overeengekomen aandachtsgebieden;
Het auditplan van de uitgevoerde audit, inclusief de scope en de auditdoelstellingen en de afdelingen/personen die hebben deelgenomen aan de audit;
Een duidelijk beeld binnen de organisatie hoe een informatiebeveiligingsaudit door DNV verloopt;
Draagvlak bij uw management en medewerkers en zet u informatiebeveiliging als thema formeel op de agenda.

Waarom DNV?

De proefaudit wordt uitgevoerd door een IRCA-gekwalificeerde Lead Auditor van DNV. Zij doen ook alle externe audits op het gebied van informatiebeveiliging.
DNV is als certificerende instelling een erkende organisatie voor het objectief uitvoeren van audits.
De audit wordt op dezelfde manier en met dezelfde aanpak doorlopen als de externe onafhankelijke audit.
De ervaring van DNV in het auditeren van organisaties van ruim 20 jaar in verschillende sectoren.
Onze auditoren die bij u de proefaudit uitvoeren, voeren al jaren audits uit op het gebied van informatiebeveiliging. Dit betekent voor u audits met diepgang en gesprekken op uw niveau.