Verifieer de consistentie van ISMS-documentatie en auditgereedheid met ISMS Copilot
Deze gids helpt ISO 27001-implementeerders bij het uitvoeren van uitgebreide consistentiecontroles in de ISMS-documentatie, het uitdagen van hun voorbereidingswerkzaamheden en het verifiëren van de auditgereedheid vóór de initiële certificering of surveillance-audits.
Voor wie is dit bedoeld
ISO 27001-implementeerders, informatiebeveiligingsmanagers en compliance officers die verantwoordelijk zijn voor het opbouwen en onderhouden van een ISMS en het voorbereiden op certificeringsaudits.
Wat ga je bereiken
Je uploadt je volledige ISMS-documentatie naar ISMS Copilot, identificeert inconsistenties in beleidsregels en procedures, verifieert de afstemming met ISO 27001-vereisten en ontvangt een realistische beoordeling van de certificeringsgereedheid met specifieke verbeterpunten.
De uitdaging van consistentie
ISMS-documentatie wordt over een periode van maanden gecreëerd door verschillende mensen die verwijzen naar evoluerende vereisten. Het resultaat: beleid spreekt procedures tegen, de Verklaring van Toepasselijkheid (SoA) komt niet overeen met de geïmplementeerde beheersmaatregelen, risicobehandelingen verwijzen naar niet-bestaande procedures, en niemand merkt het op totdat de auditor erom vraagt.
ISMS Copilot analyseert je volledige documentatieset om hiaten, tegenstrijdigheden en scheve verhoudingen te identificeren voordat auditors ze vinden.
Vereisten
Voltooide ISMS-documentatie, inclusief beleid, procedures, Verklaring van Toepasselijkheid, risicobeoordeling en risicobehandelingsplan
ISMS Copilot-account met Premium-toegang (aanbevolen voor onbeperkte bestandsuploads)
Alle documenten in PDF- of DOC-formaat
Stap 1: Maak een speciale workspace voor auditgereedheid
Stel een workspace in specifiek voor een uitgebreide ISMS-beoordeling en auditvoorbereiding.
Maak een nieuwe workspace met de naam "Auditgereedheid [Datum]" of "Certificeringsvoorbereiding [Jaar]"
Selecteer de Implementer persona voor op implementatie gerichte analyse
Houd deze workspace gescheiden van het dagelijkse operationele ISMS-werk
Maak afzonderlijke gereedheid-workspaces voor initiële certificering, surveillance-audits en hercertificering om de evolutie van je ISMS-volwassenheid in de loop van de tijd te volgen.
Stap 2: Upload je volledige ISMS-documentatie
Upload alle ISMS-documenten om een uitgebreide analyse over verschillende documenten heen mogelijk te maken.
Cruciale documenten om te uploaden:
Verplichte documenten: Informatiebeveiligingsbeleid, Verklaring van Toepasselijkheid (SoA), Risicobeoordeling, Risicobehandelingsplan
Kernprocedures: Toegangsbeheer, wijzigingsbeheer, incidentrespons, bedrijfscontinuïteit, back-up en herstel
Ondersteunende documenten: Inventaris van bedrijfsmiddelen, contracten met leveranciers met beveiligingsclausules, trainingsverslagen, auditlogs
Eerdere auditrapporten: Indien beschikbaar, voor het volgen van corrigerende maatregelen
Zorg ervoor dat de geüploade documenten de huidige, goedgekeurde versies vertegenwoordigen. Het uploaden van concepten of verouderde documenten zal leiden tot een onnauwkeurige consistentieanalyse.
Stap 3: Verifieer de afstemming van de Verklaring van Toepasselijkheid (SoA)
Controleer of je SoA nauwkeurig weergeeft wat er daadwerkelijk in je ISMS is geïmplementeerd.
Prompts voor SoA-verificatie:
"Vergelijk mijn Verklaring van Toepasselijkheid met mijn geüploade procedures. Welke beheersmaatregelen zijn gemarkeerd als 'van toepassing' maar hebben geen bijbehorende procedure?"
"Zijn er beheersmaatregelen in mijn SoA gemarkeerd als 'niet van toepassing' waarnaar wel wordt verwezen in mijn risicobehandelingsplan?"
"Beoordeel de SoA-rechtvaardigingen voor uitsluitingen. Zijn ze adequaat volgens ISO 27001:2022?"
"Welke Annex A-beheersmaatregelen worden genoemd in procedures maar ontbreken in mijn SoA?"
Herstel alle SoA-inconsistenties vóór de audit. De SoA is de routekaart van de auditor—fouten hier creëren een negatieve eerste indruk en worden focusgebieden voor de audit.
Stap 4: Identificeer inconsistenties tussen documenten
Vind tegenstrijdigheden, gaten en misverstanden in je ISMS-documentatie.
Prompts voor consistentiecontrole:
"Mijn toegangsbeheerbeleid spreekt over driemaandelijkse beoordelingen, maar mijn procedure zegt jaarlijks. Welke documenten spreken elkaar tegen wat betreft de frequentie van de beoordeling?"
"Verwijst mijn risicobehandelingsplan naar procedures die niet bestaan in de geüploade documenten?"
"Vergelijk de classificatieniveaus van gegevens tussen mijn beleid en mijn back-upprocedure. Zijn deze consistent?"
"Mijn incidentresponsprocedure vermeldt een 'Incident Response Team'. Is dit team ergens in mijn documentatie gedefinieerd?"
"Controleer of alle rollen en verantwoordelijkheden die in de documenten worden genoemd, zijn gedefinieerd in mijn organisatiedocumenten."
Stap 5: Verifieer de dekking van ISO 27001-vereisten
Zorg ervoor dat je documentatie alle verplichte ISO 27001:2022-clausules en toepasbare Annex A-beheersmaatregelen behandelt.
Prompts voor dekkingsverificatie:
"Controleer mijn geüploade documenten tegen ISO 27001:2022 Clausule 6 (Planning). Wat ontbreekt er?"
"Laten mijn documenten zien hoe we risico's en kansen bepalen en aanpakken volgens Clausule 6.1?"
"Verifieer de dekking van de interne auditvereisten van Clausule 9.2 in mijn procedures."
"Is er voor elke beheersmaatregel die in mijn SoA als 'van toepassing' is gemarkeerd, gedocumenteerd bewijs van implementatie?"
"Welke vereisten uit Clausule 7 (Ondersteuning) zijn niet adequaat gedocumenteerd?"
Concentreer je eerst op de verplichte vereisten van clausules 4-10 en verifieer daarna de Annex A-beheersmaatregelen die in je SoA als van toepassing zijn gemarkeerd. Verspil geen tijd aan uitgesloten beheersmaatregelen.
Stap 6: Daag je risicobeoordeling en -behandeling uit
Valideer of je aanpak van risicomanagement voldoet aan de ISO 27001-vereisten en praktisch logisch is.
Prompts voor uitdaging van de risicobeoordeling:
"Beoordeel mijn risicobeoordeling. Zijn de criteria voor risicoacceptatie duidelijk gedefinieerd en consequent toegepast?"
"Komen mijn geïdentificeerde risico's overeen met de ISMS-scope en de inventaris van bedrijfsmiddelen?"
"Zijn de opties voor risicobehandeling (vermijden, overdragen, accepteren, verminderen) naar behoren gerechtvaardigd?"
"Controleer of mijn risicobehandelingsplan eigenaren, tijdlijnen en de status voor elk risico bevat. Wat ontbreekt er?"
"Zijn er restrisico's die niet formeel door het management zijn geaccepteerd?"
Stap 7: Beoordeel operationeel bewijs
Bepaal of je voldoende bewijs hebt dat je ISMS daadwerkelijk werkt, en niet alleen is gedocumenteerd.
Prompts voor beoordeling van bewijsmateriaal:
"Welk operationeel bewijs zou een auditor verwachten voor mijn toegangsbeheerprocedure? Heb ik dat?"
"Welke records zou ik moeten hebben op basis van mijn incidentresponsprocedure? Worden ze in mijn documenten genoemd?"
"Beoordeel mijn bedrijfscontinuïteitsplan. Welk testbewijs zullen auditors verwachten?"
"Specificeren mijn procedures bewaartermijnen en formaten voor records? Is dit consistent?"
Documentatie alleen bewijst geen naleving. Auditors zullen vragen om bewijs van werking: logs, verslagen, notulen van vergaderingen, testresultaten, aanwezigheidslijsten van trainingen, enz.
Stap 8: Krijg een gereedheidsbeoordeling
Vraag om een algemene evaluatie van de certificeringsgereedheid met specifieke verbeterprioriteiten.
Prompts voor gereedheidsbeoordeling:
"Beoordeel op basis van alle geüploade documenten mijn gereedheid voor de initiële ISO 27001:2022-certificering. Wat zijn de top 5 risico's voor certificering?"
"Wat zou waarschijnlijk leiden tot grote non-conformiteiten als ik vandaag een audit zou ondergaan?"
"Welke gebieden van mijn ISMS zijn het zwakst op basis van de documentatie?"
"Maak een checklist voor de pre-audit, geprioriteerd op risiconiveau."
"Als jij een auditor was die deze documenten beoordeelde, waar zou je dan vraagtekens bij plaatsen of wat zou je uitdagen?"
Stap 9: Voer de voorbereiding voor de surveillance-audit uit
Verifieer voor surveillance-audits of wijzigingen sinds de certificering geen inconsistenties hebben geïntroduceerd.
Specifieke prompts voor surveillance-audits:
"Vergelijk mijn huidige procedures met het vorige auditrapport. Zijn alle non-conformiteiten aangepakt?"
"Welke wijzigingen zijn er aangebracht in mijn ISMS-documentatie sinds de laatste audit? Zijn deze consistent doorgevoerd?"
"Beoordeel de notulen van mijn managementbeoordeling. Tonen ze voortdurende verbetering aan?"
"Zijn er nieuwe risico's of beheersmaatregelen die in mijn SoA zouden moeten staan, maar dat niet doen?"
Veelvoorkomende inconsistenties die ISMS Copilot identificeert
Mismatches in terminologie: "Gevoelige" versus "Vertrouwelijke" gegevens door elkaar gebruikt zonder definitie
Conflicten in beoordelingsfrequentie: Beleid zegt driemaandelijks, procedure zegt jaarlijks
Weesverwijzingen: Documenten citeren procedures, teams of systemen die niet bestaan
Scope creep: Procedures verwijzen naar locaties of systemen buiten de gedefinieerde ISMS-scope
Problemen met versiebeheer: Documenten verwijzen naar verouderde versies van andere documenten
Leemten in verantwoordelijkheid: Procedures wijzen taken toe aan ongedefinieerde rollen of vacante posities
SoA scheefgroei: Beheersmaatregelen die als "niet van toepassing" zijn gemarkeerd, maar die duidelijk nodig zijn op basis van de risicobeoordeling
Best practices voor consistentiecontrole
Upload alles tegelijk: ISMS Copilot analyseert de relaties tussen alle documenten tegelijkertijd
Herstel systematisch: Pak fundamentele kwesties (terminologie, rollen, scope) aan vóór detail-inconsistenties
Verifieer correcties: Na het herstellen van problemen, upload de bijgewerkte documenten opnieuw en controleer ze nogmaals
Documenteer de beoordeling: Sla de chatgeschiedenis op als bewijs van zorgvuldigheid voor auditors
Betrek documenteigenaren: Deel de bevindingen van ISMS Copilot met de mensen die verantwoordelijk zijn voor elk document
Vertrouw niet blindelings op AI: Handmatige beoordeling door vakbekwame personen blijft essentieel; ISMS Copilot helpt, maar vervangt geen expertise
Voorbereiden op vragen van de auditor
Gebruik ISMS Copilot om te anticiperen op vragen van de auditor en bewijsmateriaal voor te bereiden:
"Welke vragen zou een auditor stellen over mijn procedure voor wijzigingsbeheer?"
"Als een auditor een steekproef neemt van mijn toegangsbeoordelingen, welk bewijs moet ik dan klaar hebben?"
"Welke documenten zal de auditor opvragen tijdens de Stage 1 documentatiebeoordeling?"
"Genereer een lijst met waarschijnlijke interviewvragen voor onze IT-manager gebaseerd op onze gedocumenteerde beheersmaatregelen."
Het uitvoeren van je eigen pre-audit met behulp van ISMS Copilot helpt bij het identificeren van zwakke plekken, waardoor je tijd hebt om bewijsmateriaal en documentatie te versterken vóór de echte audit.
Wat ISMS Copilot niet kan verifiëren
Belangrijke beperkingen om te begrijpen:
Daadwerkelijke implementatie: ISMS Copilot beoordeelt documenten, niet je feitelijke systemen, processen of records
Effectiviteit: AI kan niet bepalen of je beheersmaatregelen in de praktijk echt werken
Culturele factoren: Auditors beoordelen de beveiligingscultuur, de betrokkenheid van het management en het bewustzijn van medewerkers — niet alleen documenten
Technische configuraties: ISMS Copilot controleert geen firewallregels, serverinstellingen of applicatiebeveiliging
Gerelateerde bronnen
ISMS Copilot voor start-up CISO's en beveiligingsimplementeerders - Implementatieworkflows en gap-analyse
Hoe ISO 27001 gap-analyse uitvoeren met ISMS Copilot - Technieken voor initiële identificatie van hiaten
Hoe voorbereiden op interne ISO 27001-audits met AI - Voorbereiding van interne audits voor voortdurende naleving
Volgende stappen
Nadat je consistentieproblemen hebt aangepakt en de auditgereedheid hebt geverifieerd, voer je een formele interne audit uit met je gecorrigeerde documentatie om te valideren dat je ISMS werkt zoals gedocumenteerd voordat je de certificeringsaudit plant.