richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Convert eBook-Audit from submodule to normal directory

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-19 15:34:31 +02:00
parent 570d74d4dd
commit 54c4374ac8
17 changed files with 1309 additions and 1 deletions
Download patch file Download diff file Expand all files Collapse all files

15
marketing/content/eBook-Audit/Hoe technisch is de audit.md Normal file
View file

@ -0,0 +1,15 @@
# Hoe 'technisch' is de audit?
*In de PECB training worden vaak technische security experts genoemd, bijv. 'de firewall-engineer'. In hoeverre moet de auditor inhoudelijk technische kennis hebben? Moet hij bijv. een oordeel hebben over de configuratie van de firewall?*
Hoewel je als individuele auditor niet verwacht wordt om elk technisch detail van elk mogelijk systeem of framework te kennen, is inhoudelijke technische kennis wel degelijk vereist om een succesvolle ISO 27001-audit uit te voeren.
Hier is hoe de norm en de praktijk hiermee omgaan:
**1. Collectieve kennis en het gebruik van Technische Experts** De norm eist dat het auditteam _collectief_ (als geheel) over de benodigde kennis van IT-tools, methoden en de implementatie van de Annex A-maatregelen beschikt. Een goede auditor moet de onderliggende technologie begrijpen, anders is het onmogelijk om met redelijke zekerheid vast te stellen of technische maatregelen goed zijn geïmplementeerd. Echter, als jij als auditor de specifieke diepgaande kennis mist (bijvoorbeeld op het gebied van database-configuraties, softwareontwikkeling of complexe netwerken), dan mag (en moet) je een 'technical expert' (technisch expert) aan het auditteam toevoegen om die inhoudelijke beoordeling voor jou te doen.
**2. Beoordeling van de firewall (Technical Verification)** Wat betreft de firewall: **ja, er wordt absoluut verwacht dat je (of jouw ingeschakelde technisch expert) de effectiviteit van de configuratie inhoudelijk kan beoordelen**. Dit valt onder de auditprocedure _technical verification_. Mondelinge bevestiging is immers onvoldoende bewijs. Als de firewall-engineer jou vertelt dat zij specifiek netwerkverkeer aan de rand van het netwerk filteren, dan zul je de configuratie van die firewall (zoals de Access Control Lists of VPN-instellingen) moeten inzien. Je analyseert dan de regelsets om te zoeken naar mogelijke gaten, misconfiguraties of verkeer dat ten onrechte wordt doorgelaten.
**3. De harde grens: Geen "hands-on" acties door de auditor** Er is bij deze technische verificatie één keiharde regel: **een auditor mag nooit zelf 'hands-on' testen of systemen bedienen**. Zelfs als jij zelf een voormalig netwerkengineer bent en exact weet hoe de interface van een specifieke firewall werkt, mag je vanwege aansprakelijkheidsrisico's (liability risks) en onafhankelijkheid nooit zélf de muis overnemen, commando's intypen of zelfstandig kwetsbaarheidsscans (zoals Nessus) draaien op het netwerk van de klant.
De werkwijze is in plaats daarvan altijd dat je de technische beheerder (in dit geval de firewall-engineer) vraagt om in te loggen, de configuraties of rapportages op het scherm te openen en deze aan jou te _demonstreren_ of uit te leggen, terwijl jij meekijkt en het inhoudelijk beoordeelt.