ISMS Copilot
ISMS Copilot-toepassingen

Hoe u de consistentie van ISMS-documenten en auditgereedheid verifieert met ISMS Copilot

Deze gids helpt ISO 27001-implementeerders bij het uitvoeren van uitgebreide consistentiecontroles in de ISMS-documentatie, het uitdagen van hun voorbereidingswerk en het verifiëren van de auditgereedheid vóór de initiële certificering of surveillance-audits.

Voor wie dit bedoeld is

ISO 27001-implementeerders, informatiebeveiligingsmanagers en compliance officers die verantwoordelijk zijn voor het opbouwen en onderhouden van een ISMS en het voorbereiden op certificeringsaudits.

Wat u zult bereiken

U uploadt uw volledige ISMS-documentatie naar ISMS Copilot, identificeert inconsistenties in beleid en procedures, verifieert de afstemming op ISO 27001-vereisten en ontvangt een realistische beoordeling van de certificeringsgereedheid met specifieke verbeterpunten.

De uitdaging van consistentie

ISMS-documentatie wordt gedurende maanden gecreëerd door verschillende mensen die verwijzen naar evoluerende vereisten. Het resultaat: beleid spreekt procedures tegen, de Verklaring van Toepasselijkheid (SoA) komt niet overeen met de geïmplementeerde beheersmaatregelen, risicobehandelingen verwijzen naar niet-bestaande procedures, en niemand merkt het totdat de auditor er op wijst.

ISMS Copilot analyseert uw volledige documentatieset om hiaten, tegenstrijdigheden en afwijkingen te identificeren voordat auditors ze vinden.

Vereisten

  • Voltooide ISMS-documentatie inclusief beleid, procedures, Verklaring van Toepasselijkheid, risicobeoordeling en risicobehandelingsplan

  • ISMS Copilot-account met een betaald plan (aanbevolen voor hogere uploadlimieten — 50 tot 500 per maand, afhankelijk van het plan)

  • Alle documenten in PDF- of DOC-formaat

Stap 1: Maak een speciale workspace voor auditgereedheid

Stap een workspace in specifiek voor uitgebreide ISMS-beoordeling en auditvoorbereiding.

  1. Maak een nieuwe workspace aan met de naam "Auditgereedheid [Datum]" of "Certificeringsvoorbereiding [Jaar]"

  2. Selecteer de Implementer persona voor analyse gericht op de implementatie

  3. Houd deze workspace gescheiden van de dagelijkse operationele ISMS-werkzaamheden

Maak afzonderlijke workspaces aan voor de initiële certificering, surveillance-audits en hercertificering om de evolutie van uw ISMS-volwassenheid in de loop van de tijd te volgen.

Stap 2: Upload uw volledige ISMS-documentatie

Upload alle ISMS-documenten om uitgebreide cross-document-analyse mogelijk te maken.

Cruciale documenten om te uploaden:

  • Verplichte documenten: Informatiebeveiligingsbeleid, Verklaring van Toepasselijkheid (SoA), Risicobeoordeling, Risicobehandelingsplan

  • Kernprocedures: Toegangsbeheer, wijzigingsbeheer, incidentrespons, bedrijfscontinuïteit, back-up en herstel

  • Ondersteunende documenten: Inventaris van bedrijfsmiddelen, leverancierscontracten met beveiligingsclausules, trainingsgegevens, auditlogs

  • Eerdere auditrapporten: Indien beschikbaar, voor het volgen van corrigerende maatregelen

Zorg ervoor dat de geüploade documenten uw huidige, goedgekeurde versies vertegenwoordigen. Het uploaden van concepten of verouderde documenten zal leiden tot een onnauwkeurige consistentieanalyse.

Stap 3: Verifieer de afstemming van de Verklaring van Toepasselijkheid

Controleer of uw SoA nauwkeurig weergeeft wat daadwerkelijk in uw ISMS is geïmplementeerd.

Prompts voor SoA-verificatie:

  • "Vergelijk mijn Verklaring van Toepasselijkheid met mijn geüploade procedures. Welke beheersmaatregelen zijn gemarkeerd als 'van toepassing' maar hebben geen bijbehorende procedure?"

  • "Zijn er beheersmaatregelen gemarkeerd als 'niet van toepassing' in mijn SoA, maar waarnaar wordt verwezen in mijn risicobehandelingsplan?"

  • "Beoordeel mijn SoA-rechtvaardigingen voor uitsluitingen. Zijn ze adequaat volgens ISO 27001:2022?"

  • "Welke Annex A-beheersmaatregelen worden genoemd in procedures maar ontbreken in mijn SoA?"

Pak alle SoA-inconsistenties aan vóór de audit. De SoA is de wegenkaart van de auditor—fouten hier creëren een negatieve eerste indruk en worden focuspunten van de audit.

Stap 4: Identificeer inconsistenties tussen documenten

Vind tegenstrijdigheden, gaten en afwijkingen in uw gehele ISMS-documentatie.

Prompts voor consistentiecontrole:

  • "Mijn beleid voor toegangsbeheer zegt driemaandelijkse beoordelingen, maar mijn procedure zegt jaarlijks. Welke documenten spreken elkaar tegen over de frequentie van beoordeling?"

  • "Verwijst mijn risicobehandelingsplan naar procedures die niet bestaan in de geüploade documenten?"

  • "Vergelijk de classificatieniveaus van gegevens tussen mijn beleid en de back-upprocedure. Zijn deze consistent?"

  • "Mijn incidentresponsprocedure vermeldt een 'Incident Response Team'. Is dit team ergens in mijn documentatie gedefinieerd?"

  • "Controleer of alle rollen en verantwoordelijkheden die in de documenten worden genoemd, zijn gedefinieerd in mijn organisatie-documenten."

Stap 5: Verifieer de dekking van de ISO 27001-vereisten

Zorg ervoor dat uw documentatie alle verplichte ISO 27001:2022-clausules en toepasselijke Annex A-beheersmaatregelen behandelt.

Prompts voor dekkingsverificatie:

  • "Controleer mijn geüploade documenten tegen ISO 27001:2022 Clausule 6 (Planning). Wat ontbreekt er?"

  • "Tonen mijn documenten aan hoe we risico's en kansen bepalen en aanpakken volgens Clausule 6.1?"

  • "Verifieer de dekking van de interne auditvereisten van Clausule 9.2 in mijn procedures"

  • "Is er voor elke beheersmaatregel die in mijn SoA als 'van toepassing' is gemarkeerd, gedocumenteerd bewijs van implementatie?"

  • "Welke vereisten van Clausule 7 (Ondersteuning) zijn niet adequaat gedocumenteerd?"

Focus eerst op de verplichte vereisten van clausule 4-10 en verifieer daarna de Annex A-beheersmaatregelen die in uw SoA als toepasselijk zijn gemarkeerd. Verspil geen tijd aan uitgesloten maatregelen.

Stap 6: Daag uw risicobeoordeling en -behandeling uit

Valideer of uw aanpak voor risicomanagement voldoet aan de ISO 27001-vereisten en praktisch logisch is.

Prompts voor het uitdagen van de risicobeoordeling:

  • "Beoordeel mijn risicobeoordeling. Zijn de criteria voor risicoacceptatie duidelijk gedefinieerd en consistent toegepast?"

  • "Komen mijn geïdentificeerde risico's overeen met de ISMS-scope en de inventaris van bedrijfsmiddelen?"

  • "Zijn de opties voor risicobehandeling (vermijden, overdragen, accepteren, verminderen) naar behoren gerechtvaardigd?"

  • "Controleer of mijn risicobehandelingsplan eigenaren, tijdlijnen en status voor elk risico bevat. Wat ontbreekt er?"

  • "Zijn er restrisico's die niet formeel zijn geaccepteerd door het management?"

Stap 7: Beoordeel bewijs van werking

Stel vast of u voldoende bewijs heeft dat uw ISMS daadwerkelijk functioneert, en niet alleen gedocumenteerd is.

Prompts voor bewijsbeoordeling:

  • "Welk operationeel bewijs zou een auditor verwachten voor mijn toegangsbeheerprocedure? Heb ik dat?"

  • "Welke records zou ik moeten hebben op basis van mijn incidentresponsprocedure? Worden deze in mijn documenten genoemd?"

  • "Beoordeel mijn bedrijfscontinuïteitsplan. Welk bewijs van testen zullen auditors verwachten?"

  • "Specificeren mijn procedures bewaartermijnen en formaten voor records? Is dit consistent?"

Documentatie alleen bewijst geen naleving. Auditors zullen vragen om bewijs van werking: logs, verslagen, notulen van vergaderingen, testresultaten, aanwezigheidslijsten van trainingen, enz.

Stap 8: Krijg een gereedheidsbeoordeling

Vraag om een algehele evaluatie van de certificeringsgereedheid met specifieke verbeterprioriteiten.

Prompts voor gereedheidsbeoordeling:

  • "Beoordeel op basis van alle geüploade documenten mijn gereedheid voor de initiële ISO 27001:2022-certificering. Wat zijn de top 5 risico's voor certificering?"

  • "Wat zou waarschijnlijk leiden tot grote non-conformiteiten als ik vandaag een audit zou ondergaan?"

  • "Welke gebieden van mijn ISMS zijn het zwakst op basis van de documentatie?"

  • "Maak een pre-audit checklist geprioriteerd op risiconiveau"

  • "Als u een auditor was die deze documenten bekeek, welke vragen of uitdagingen zou u dan hebben?"

Stap 9: Voer de voorbereiding voor de surveillance-audit uit

Verifieer bij surveillance-audits of wijzigingen sinds de certificering geen inconsistenties hebben geïntroduceerd.

Surveillance-specifieke prompts:

  • "Vergelijk mijn huidige procedures met het vorige auditrapport. Zijn alle non-conformiteiten aangepakt?"

  • "Welke wijzigingen zijn er aangebracht in mijn ISMS-documentatie sinds de laatste audit? Worden deze consistent weerspiegeld?"

  • "Beoordeel de notulen van mijn management review. Tonen deze voortdurende verbetering aan?"

  • "Zijn er nieuwe risico's of beheersmaatregelen die in mijn SoA zouden moeten staan, maar daar niet in staan?"

Veelvoorkomende inconsistenties die ISMS Copilot identificeert

  • Terminologie-ongelijkheden: "Gevoelige" versus "Vertrouwelijke" gegevens die door elkaar worden gebruikt zonder definitie

  • Conflicten in herzieningsfrequentie: Beleid zegt per kwartaal, procedure zegt jaarlijks

  • Verweesde verwijzingen: Documenten citeren procedures, teams of systemen die niet bestaan

  • Scope creep: Procedures verwijzen naar locaties of systemen buiten de gedefinieerde ISMS-scope

  • Problemen met versiebeheer: Documenten verwijzen naar verouderde versies van andere documenten

  • Gaten in verantwoordelijkheid: Procedures wijzen taken toe aan niet-gedefinieerde rollen of vacante posities

  • SoA-afwijking: Beheersmaatregelen zijn gemarkeerd als "niet van toepassing" terwijl ze duidelijk nodig zijn op basis van de risicobeoordeling

Best practices voor consistentiecontrole

  • Upload alles tegelijk: ISMS Copilot analyseert de relaties tussen alle documenten tegelijkertijd

  • Herstel systematisch: Pak fundamentele problemen (terminologie, rollen, scope) aan vóór detail-inconsistenties

  • Verifieer correcties: Na het oplossen van problemen, uploadt u de bijgewerkte documenten opnieuw en controleert u ze nogmaals

  • Documenteer de review: Sla de chatgeschiedenis op als bewijs van 'due diligence' voor auditors

  • Betrek documenteigenaren: Deel de bevindingen van ISMS Copilot met de mensen die verantwoordelijk zijn voor elk document

  • Vertrouw niet blindelings op AI: Handmatige beoordeling door vakbekwame personen blijft essentieel; ISMS Copilot ondersteunt maar vervangt geen expertise

Voorbereiden op vragen van de auditor

Gebruik ISMS Copilot om te anticiperen op vragen van de auditor en bewijsmateriaal voor te bereiden:

  • "Welke vragen zou een auditor stellen over mijn procedure voor wijzigingsbeheer?"

  • "Als een auditor een steekproef neemt van mijn toegangsbeoordelingen, welk bewijs moet ik dan paraat hebben?"

  • "Welke documenten zal de auditor opvragen tijdens de Stage 1 documentatiereview?"

  • "Genereer een lijst met waarschijnlijke interviewvragen voor onze IT-manager op basis van onze gedocumenteerde beheersmaatregelen"

Door uw eigen pre-audit uit te voeren met ISMS Copilot, kunt u zwakke gebieden identificeren, zodat u tijd heeft om bewijsvoering en documentatie te versterken vóór de echte audit.

Wat ISMS Copilot niet kan verifiëren

Belangrijke beperkingen om te begrijpen:

  • Daadwerkelijke implementatie: ISMS Copilot beoordeelt documenten, niet uw werkelijke systemen, processen of records

  • Effectiviteit: AI kan niet bepalen of uw beheersmaatregelen in de praktijk daadwerkelijk werken

  • Culturele factoren: Auditors beoordelen de beveiligingscultuur, de betrokkenheid van het management en het bewustzijn van medewerkers — niet alleen documenten

  • Technische configuraties: ISMS Copilot controleert geen firewallregels, serverinstellingen of applicatiebeveiliging

Gerelateerde bronnen

  • ISMS Copilot voor startup-CISO's en beveiligingsimplementeerders - Implementatieworkflows en gap-analyse

  • Hoe u een ISO 27001 gap-analyse uitvoert met ISMS Copilot - Technieken voor initiële identificatie van hiaten

  • Hoe u zich voorbereidt op interne ISO 27001-audits met AI - Voorbereiding op interne audits voor voortdurende naleving

Volgende stappen

Na het aanpakken van consistentieproblemen en het verifiëren van de auditgereedheid, voert u een formele interne audit uit met uw gecorrigeerde documentatie om te valideren dat uw ISMS functioneert zoals gedocumenteerd, voordat u de certificeringsaudit plant.

Was dit nuttig?