richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Vault restructure

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-23 11:51:51 +02:00
parent d45797d121
commit ff77508bd1
1433 changed files with 415450 additions and 1201 deletions
Download patch file Download diff file Expand all files Collapse all files

26
marketing/Value Proposition Canvas for iso27DIY.md Normal file
View file

@ -0,0 +1,26 @@
# Value Proposition Canvas
![](Value%20Proposition%20Canvas.jpg)
**Products & Services**:
* **Guided Implementation System**: 50+ micro-sessions guiding the process.
* **GRC Tooling**: Easy-to-use system for managing artifacts, risks, and assets.
* **AI Assistant**: Generates tailor-made information security policies.
* **Controls Library**: Practical, "Plain English" examples for all 94 Annex A controls.
* **Expert Support**: On-demand access to experienced ISO 27001 consultants.
* **Preliminary Audits**: Sessions with certified auditors to prepare for certification.
**Pain Relievers**:
* **Time & Cost Efficiency**: The guided, templated system and tooling reduce the need for expensive consultants or dedicated full-time staff.
* **Removes Documentation Burden**: The AI assistant and structured system eliminate the "nightmare" of creating policies from scratch, ensuring they are tailored and practical, not generic and unwieldy.
* **Mitigates Audit Fear**: The Controls Library and Preliminary Audits directly address the ambiguity of the framework, providing clarity on what is "enough" to pass.
**Gain Creators**:
* **Strategic Advantage**: Enables SMEs to achieve certification cost-effectively, unlocking business opportunities and building trust.
* **Confidence & Clarity**: The guided system, clear controls library, and preliminary audits build confidence throughout the implementation process.
* **Operational Integration**: By providing a clear process and tailored tools, the solution encourages the ISMS to become an integrated part of business operations rather than an isolated, bureaucratic system.
**Gains:**
**Customer Jobs:**
**Pains:**

BIN
marketing/Value Proposition Canvas.jpg Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 118 KiB

28
marketing/content/eBook-Audit/Wie moeten er aanwezig zijn.md Normal file
View file

@ -0,0 +1,28 @@
# Wie moeten er aanwezig zijn?
*Wie moeten er tijdens de audit beschikbaar zijn om vragen over documentatie van de auditor te beantwoorden?*
Tijdens een ISO 27001-audit is er niet slechts één centrale "documentatie-eigenaar" die alle vragen over de documentatie hoeft te beantwoorden. De norm hanteert voor "gedocumenteerde informatie" (wat onder de bredere definitie van bedrijfsmiddelen of _assets_ valt) een gedecentraliseerde aanpak. Dit betekent dat het eigenaarschap en de verantwoordelijkheid afhankelijk zijn van het soort document.
Omdat de norm vereist dat alle informatie een specifieke **eigenaar** krijgt toegewezen, zal de auditor zijn vragen primair richten aan de aangewezen eigenaar of verantwoordelijke van het specifieke document. Om de vragen van de auditor adequaat te beantwoorden, moeten afhankelijk van het document de volgende personen beschikbaar zijn:
- **Het Topmanagement (de directie):** Voor het overkoepelende Informatiebeveiligingsbeleid (het document op het hoogste niveau) ligt de verantwoordelijkheid voor de vaststelling en goedkeuring uitsluitend bij de directie. De auditor zal direct met het topmanagement in gesprek willen gaan om dit beleid te bespreken.
- **Systeemeigenaren, Security Officers of Afdelingsmanagers:** Voor onderwerpspecifieke beleidsregels (zoals regels rondom toegangsbeveiliging of cryptografie) ligt de verantwoordelijkheid bij personeel met het juiste bevoegdheidsniveau en de benodigde technische bekwaamheid. Deze materiedeskundigen moeten beschikbaar zijn om in detail uit te leggen hoe deze beleidsregels zijn ontwikkeld en goedgekeurd.
- **Uitvoerend personeel (zoals technici of beheerders):** Bij werkinstructies en gedocumenteerde bedieningsprocedures eist de norm dat in het document zélf expliciet staat welke personen verantwoordelijk zijn voor de beschreven handelingen. De auditor zal deze personen willen interviewen om na te gaan of de documentatie in de praktijk ook echt wordt gevolgd.
- **De formele beoordelaars en auteurs:** Voor élk stuk gedocumenteerde informatie vereist ISO 27001 een proces van formele beoordeling en goedkeuring door iemand met de juiste autoriteit, evenals de identificatie van de auteur. Deze personen kunnen door de auditor worden aangesproken over de toereikendheid en geschiktheid van de inhoud.
- **Verantwoordelijken voor registraties (artifacts):** Registraties zoals logbestanden of auditrapporten vormen het feitelijke bewijs dat een proces is uitgevoerd. De specifieke actoren (zoals een eigenaar of beheerder) die aan deze registraties gekoppeld zijn, moeten beschikbaar zijn om deze bewijsstukken aan te leveren en eventueel toe te lichten.
- **Beheerders van het documentatiesysteem:** De auditor zal mogelijk ook vragen stellen aan de personen die verantwoordelijk zijn voor het beheer, de archivering en het up-to-date houden van de documentatie. Zij moeten kunnen aantonen hoe documenten worden gedistribueerd en afgeschermd tegen ongeautoriseerde aanpassingen.
Kortom, de auditor zal altijd op zoek gaan naar de specifieke experts en eigenaren binnen de organisatie. Zorg er daarom voor dat bij de voorbereiding van de audit per document of proces helder is wie de toegewezen eigenaar is, zodat de juiste persoon aan tafel zit om de vragen van het auditteam te beantwoorden.
## Geeft de auditor voorafgaand aan Stage 2 aan wie hij wil spreken?
**Ja, absoluut.** Voorafgaand aan de Stage 2 audit stelt de auditor (specifiek de lead auditor) een gedetailleerd **auditplan** of **auditschema** op, dat ruim van tevoren vaak al rond de 6 weken voor de start van de audit met jouw organisatie wordt gedeeld.
In dit schema staat precies aangegeven op welk tijdstip de auditor welke systemen, processen of specifieke controles wil doorlichten. Wat betreft de te spreken personen werkt dit als volgt:
- **Rollen en expertises in plaats van namen:** Omdat de auditor logischerwijs niet de exacte namen van al jouw medewerkers kent, zal hij of zij in het auditplan vragen om specifieke **rollen of materiedeskundigen (subject matter experts)**. De auditor geeft bijvoorbeeld in de planning aan: _"In dit tijdslot moet ik spreken met de firewall-engineer"_, _"Ik wil spreken met de security architect"_ of _"Ik wil iemand spreken over het patchmanagement-proces"_.
- **De organisatie vult de namen in:** Het is vervolgens aan jouw organisatie om de juiste medewerkers aan deze specifieke tijdsloten te koppelen en aan de auditor te bevestigen wie deze personen zijn.
- **Voorbereiding:** Doordat dit ruim van tevoren in het auditplan wordt vastgelegd, weet iedereen binnen de organisatie al ruim voor de audit begint precies wanneer ze verwacht worden voor een interview met de auditor. Dit stelt jouw organisatie ook in staat om er voor te zorgen dat de juiste mensen beschikbaar zijn of dat er eventueel vervanging wordt geregeld als iemand op vakantie is.
Mocht tijdens de audit overigens blijken dat de persoon die tegenover de auditor zit niet de juiste kennis heeft om de vragen te beantwoorden, dan zal de auditor vragen om dit aan te passen en alsnog de juiste deskundige voor dat specifieke proces te spreken.