NEN 7510 auditInformatiebeveiliging staat binnen de zorgsector sterk op de radar. Het is immers essentieel dat persoonlijke gezondheidsdata goed beveiligd wordt (opgeslagen) en dat er vertrouwelijk met de gegevens wordt omgegaan. Met een NEN 7510:2017 certificering kun je als organisatie aantoonbaar maken dat je dit goed hebt geborgd. Zodra je als organisatie een Information Security Management System (ISMS) hebt opgetuigd en aan alle eisen van de NEN 7510 norm voldoet, kun je de inspanningen van je organisatie laten toetsen door een Certificerende Instantie. Dat noemen we de NEN 7510 externe audit. In dit artikel leggen we je uit hoe dat in zijn werk gaat.

Lees ook het artikel: ‘Het NEN 7510 Information Security Management System

NEN 7510 audit door een CI

Ben je de afgelopen maanden druk bezig geweest met de implementatie van NEN 7510 in je organisatie? Dan kom je op gegeven moment op het punt dat de externe audit in beeld komt. Een externe audit wordt altijd uitgevoerd door een Certificerende Instantie (CI). Middels een dergelijke audit kan een organisatie aantoonbaar maken dat ze voldoet aan specifieke normeisen en wet- en regelgeving. Het doel van de externe audit is uiteindelijk certificatie. Een externe audit wordt uitgevoerd door een Certificerende Instantie, omdat:

  • Deze vrij is van belangverstrengeling;
  • Deze de audit onafhankelijk en objectief kan uitvoeren;
  • De CI bevoegd is om, indien de organisatie voldoet, het certificaat uit te reiken.

De NEN 7510 audit bestaat uit twee fasen, die hieronder verder worden toegelicht:

Wil je een interne audit uit laten voeren?

De adviseurs van CertificeringsAdvies Nederland hebben veel ervaring met het uitvoeren van interne audits voor diverse normen. Wil je een interne audit uit laten voeren? Vraag vandaag nog een offerte aan! Wij helpen je graag.

VRAAG OFFERTE AAN
Interne audit iSO 14001

Fase 1: vooronderzoek

Hierin vindt het vooronderzoek plaats. Daarin wordt voornamelijk de documentatie, ofwel het ISMS, onderzocht en wordt bekeken of de (verplichte) beleidsdocumenten zijn opgesteld en aantoonbaar geïmplementeerd zijn.

Documentatie die in fase 1 van belang is:

  • De contextanalyse van de organisatie met daarin onder andere de stakeholders- en risicoanalyse en alle bijbehorende beheersmaatregelen. De bijbehorende maatregelen dienen geïmplementeerd te zijn en de werking hiervan wordt getoetst in fase 2 van de audit;
  • De scope van het Information Security Management System (ISMS);
  • De Verklaring Van Toepasselijkheid (VVT);
  • (Verplichte) beleidsdocumenten vanuit de norm;
  • Fysieke beveiliging;
  • Processen en informatiestromen;
  • De directiebeoordeling.

Aan het einde van fase 1 stelt de auditor vast of de organisatie gereed is voor fase 2, het certificeringsonderzoek.

Lees ook het artikel: ICT-dienstverlener met (potentiële) klanten in de zorg? Zo ga je om met NEN 7510 certificering (stappenplan)

Fase 2: Het certificeringsonderzoek

In deze fase vindt het certificeringsonderzoek plaats. De auditor komt dan enkele dagen langs bij het bedrijf op locatie en onderzoekt of de organisatie de vastgestelde acties die (mogelijk) uit fase 1 naar voren zijn gekomen heeft uitgevoerd en kijkt naar hoe deze zijn opgelost. Ook wordt onderzocht hoe de beheersmaatregelen geïmplementeerd zijn. Er worden daarvoor o.a. interviews met medewerkers van iedere afdeling gehouden om te verifiëren of beleid, procedures en werkinstructies overeenkomen met de manier van werken.

Documentatie die in fase 2 van belang is:

  • De directiebeoordeling;
  • Het complete Information Security Managementsysteem (Hst. 4 t/m Hst. 10);
  • Alle beheersmaatregelen van de annex A (117 beheersmaatregelen);
  • Het bewustzijn op het gebied van informatiebeveiliging van alle medewerkers;
  • Naleving van beleidsdocumenten en contractuele eisen vanuit wet- en regelgeving (denk aan Wgbo/Wbsn-z/Wkkgz).

Lees ook het artikel: Kiezen voor ISO 27001 of NEN 7510? Of beide? Of zijn er alternatieven?

Op weg naar de NEN 7510 externe audit?

Alvorens je een externe audit voor NEN 7510 uit laat voeren door een CI is het verplicht om een interne audit uit te (laten) voeren. Deze dient volgens de expliciete eis uit A. 18.2 uitgevoerd te worden door een onafhankelijke partij. CertificeringsAdvies Nederland kan bijvoorbeeld die onafhankelijke partij zijn. Ook wij verzorgen interne audits bij organisaties. Hieronder opgesomd waarom de interne audit belangrijk is:

  • Je voldoet aan de verplichting vanuit de norm. Alvorens je kunt certificeren is het namelijk verplicht om een interne audit uit te laten voeren door een onafhankelijke partij.
  • Zo ga je goed voorbereid de externe audit tegemoet. Je ervaart als het ware hoe een externe audit in zijn werk gaat. Wanneer je een interne audit uit laat voeren door CertificeringsAdvies Nederland dan zorgen we ervoor dat de interne audit zo goed mogelijk op de externe audit lijkt, zodat medewerkers ook echt weten hoe een externe audit eraan toe gaat.
  • Er wordt gekeken naar waar je nu staat en krijg je praktische tips. Daarbij krijg je praktisch advies en ontvang je een intern auditrapport (wat vereist is voor certificering) waarin alle bevindingen, tekortkomingen en verbeterpunten zijn opgenomen. Met dit auditrapport kun je de laatste stappen zetten op weg naar een succesvolle certificering!

Meer informatie?

Hopelijk heeft dit artikel meer duidelijkheid gegeven over de NEN 7510 audit. Indien je meer informatie wilt of andere vragen hebt, neem dan gerust contact met ons op. Onze adviseurs helpen je graag!

NEEM CONTACT OP


New call-to-action

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl