iso27diy-corp/marketing/publications/eBook-Audit/Wie moeten er aanwezig zijn.md

Wie moeten er aanwezig zijn?

Wie moeten er tijdens de audit beschikbaar zijn om vragen over documentatie van de auditor te beantwoorden?

Tijdens een ISO 27001-audit is er niet slechts één centrale "documentatie-eigenaar" die alle vragen over de documentatie hoeft te beantwoorden. De norm hanteert voor "gedocumenteerde informatie" (wat onder de bredere definitie van bedrijfsmiddelen of assets valt) een gedecentraliseerde aanpak. Dit betekent dat het eigenaarschap en de verantwoordelijkheid afhankelijk zijn van het soort document.

Omdat de norm vereist dat alle informatie een specifieke eigenaar krijgt toegewezen, zal de auditor zijn vragen primair richten aan de aangewezen eigenaar of verantwoordelijke van het specifieke document. Om de vragen van de auditor adequaat te beantwoorden, moeten afhankelijk van het document de volgende personen beschikbaar zijn:

• Het Topmanagement (de directie): Voor het overkoepelende Informatiebeveiligingsbeleid (het document op het hoogste niveau) ligt de verantwoordelijkheid voor de vaststelling en goedkeuring uitsluitend bij de directie. De auditor zal direct met het topmanagement in gesprek willen gaan om dit beleid te bespreken.
• Systeemeigenaren, Security Officers of Afdelingsmanagers: Voor onderwerpspecifieke beleidsregels (zoals regels rondom toegangsbeveiliging of cryptografie) ligt de verantwoordelijkheid bij personeel met het juiste bevoegdheidsniveau en de benodigde technische bekwaamheid. Deze materiedeskundigen moeten beschikbaar zijn om in detail uit te leggen hoe deze beleidsregels zijn ontwikkeld en goedgekeurd.
• Uitvoerend personeel (zoals technici of beheerders): Bij werkinstructies en gedocumenteerde bedieningsprocedures eist de norm dat in het document zélf expliciet staat welke personen verantwoordelijk zijn voor de beschreven handelingen. De auditor zal deze personen willen interviewen om na te gaan of de documentatie in de praktijk ook echt wordt gevolgd.
• De formele beoordelaars en auteurs: Voor élk stuk gedocumenteerde informatie vereist ISO 27001 een proces van formele beoordeling en goedkeuring door iemand met de juiste autoriteit, evenals de identificatie van de auteur. Deze personen kunnen door de auditor worden aangesproken over de toereikendheid en geschiktheid van de inhoud.
• Verantwoordelijken voor registraties (artifacts): Registraties zoals logbestanden of auditrapporten vormen het feitelijke bewijs dat een proces is uitgevoerd. De specifieke actoren (zoals een eigenaar of beheerder) die aan deze registraties gekoppeld zijn, moeten beschikbaar zijn om deze bewijsstukken aan te leveren en eventueel toe te lichten.
• Beheerders van het documentatiesysteem: De auditor zal mogelijk ook vragen stellen aan de personen die verantwoordelijk zijn voor het beheer, de archivering en het up-to-date houden van de documentatie. Zij moeten kunnen aantonen hoe documenten worden gedistribueerd en afgeschermd tegen ongeautoriseerde aanpassingen.

Kortom, de auditor zal altijd op zoek gaan naar de specifieke experts en eigenaren binnen de organisatie. Zorg er daarom voor dat bij de voorbereiding van de audit per document of proces helder is wie de toegewezen eigenaar is, zodat de juiste persoon aan tafel zit om de vragen van het auditteam te beantwoorden.

Geeft de auditor voorafgaand aan Stage 2 aan wie hij wil spreken?

Ja, absoluut. Voorafgaand aan de Stage 2 audit stelt de auditor (specifiek de lead auditor) een gedetailleerd auditplan of auditschema op, dat ruim van tevoren – vaak al rond de 6 weken voor de start van de audit – met jouw organisatie wordt gedeeld.

In dit schema staat precies aangegeven op welk tijdstip de auditor welke systemen, processen of specifieke controles wil doorlichten. Wat betreft de te spreken personen werkt dit als volgt:

• Rollen en expertises in plaats van namen: Omdat de auditor logischerwijs niet de exacte namen van al jouw medewerkers kent, zal hij of zij in het auditplan vragen om specifieke rollen of materiedeskundigen (subject matter experts). De auditor geeft bijvoorbeeld in de planning aan: "In dit tijdslot moet ik spreken met de firewall-engineer", "Ik wil spreken met de security architect" of "Ik wil iemand spreken over het patchmanagement-proces".
• De organisatie vult de namen in: Het is vervolgens aan jouw organisatie om de juiste medewerkers aan deze specifieke tijdsloten te koppelen en aan de auditor te bevestigen wie deze personen zijn.
• Voorbereiding: Doordat dit ruim van tevoren in het auditplan wordt vastgelegd, weet iedereen binnen de organisatie al ruim voor de audit begint precies wanneer ze verwacht worden voor een interview met de auditor. Dit stelt jouw organisatie ook in staat om er voor te zorgen dat de juiste mensen beschikbaar zijn of dat er eventueel vervanging wordt geregeld als iemand op vakantie is.

Mocht tijdens de audit overigens blijken dat de persoon die tegenover de auditor zit niet de juiste kennis heeft om de vragen te beantwoorden, dan zal de auditor vragen om dit aan te passen en alsnog de juiste deskundige voor dat specifieke proces te spreken.