Cybersecurity auditvoorbereiding

Waarom voorbereiden loont

Een audit toetst niet of je veilig bent, maar of je aantoonbaar in control bent. Het verschil zit in documentatie, traceerbaarheid en bewijslast. Een goede voorbereiding voorkomt dat je in de audit zelf reconstructies moet doen.

Scope bepalen

Bepaal vooraf welke normen en welke onderdelen van de organisatie meedoen. Een ISO 27001-audit, een NIS2-toets en een interne control review hebben verschillende scopes en bewijsbehoeften.

Documentcheck

Toets minimaal: beleid en procedures, risicoregister, asset inventory, leverancierscontracten, incidentlog, MFA- en patchbewijs, awareness-rapportages, BCM- en DR-tests, autorisatiematrix en bestuursnotulen waarin security is behandeld.

Technische scan

Voer een kwetsbaarheidsscan en configuratie-audit uit op de in-scope systemen. Los kritieke bevindingen op of registreer ze in je risicoregister met mitigerende maatregelen en tijdslijn.

Mock-audit

Plan twee tot drie weken voor de echte audit een mock-audit met een externe partij of interne audit. Doel: testen of de bewijsvoering klopt, of medewerkers consistente antwoorden geven en of er gaten zitten in de documentatie.

Tijdens de audit

Wijs één centrale auditcoördinator aan. Beantwoord vragen feitelijk en kort. Lever alleen wat gevraagd wordt. Documenteer alle vragen en bevindingen direct.

Veelgestelde vragen

Verder lezen

• ISMS dashboard uitgelegd
• Kwetsbaarheidsscan uitgelegd
• NIS2 hub
• Cyberbeveiligingswet hub
• Plan een intake