NEN 7510 audit uit laten voeren
De audit is een verplicht onderdeel binnen NEN 7510. Hoe gaat een audit in zijn werk? Doe je een audit in huis of besteed je het uit?
Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlEen NEN 7510 audit uit (laten) voeren; het is een verplichte stap op weg naar een NEN 7510 certificering. Er zijn twee ’typen’ audits, namelijk de zogeheten NEN 7510 interne audit en de NEN 7510 certificeringsaudit, welke ook wel de externe audit genoemd wordt. Door beide audits op de juiste manier in te zetten en te doorlopen kun je als organisatie uiteindelijk NEN 7510 certificeren, maar ook een duurzaam informatiebeveiligingsbeleid opzetten. In dit artikel gaan we verder in op:
- Het verschil tussen de NEN 7510 interne en externe audit;
- Aandachtspunten van de NEN 7510 interne en externe audit;
- Praktische tips om de NEN 7510 audit uit te (laten) voeren;
- Tips ter voorbereiding van de NEN 7510 audit.
Mochten er naar aanleiding van dit artikel vragen zijn, neem dan gerust contact met ons op of vraag direct een NEN 7510 interne audit aan.
Het belang van NEN 7510
Informatiebeveiliging staat binnen de zorgsector sterk op de radar. Het is immers essentieel dat persoonlijke gezondheidsdata goed beveiligd wordt (opgeslagen) en dat er vertrouwelijk met de gegevens wordt omgegaan. Met een NEN 7510:2017 certificering kun je als organisatie aantoonbaar maken dat je dit goed hebt geborgd. Zodra je als organisatie een Information Security Management System (ISMS) hebt opgetuigd en aan alle eisen van de NEN 7510 norm voldoet, kun je de inspanningen van je organisatie laten toetsen in de vorm van audits.
Wat is het verschil tussen NEN 7510 interne audit en externe audit?
Allereerst even een korte uitleg van beide audits: een interne audit is een beoordeling binnen de organisatie om te checken of processen, procedures en maatregelen voldoen aan de eisen uit de NEN 7510 norm. Deze audit wordt uitgevoerd door een interne medewerker of door een ingehuurde (onafhankelijke) partij. Het is als het ware de laatste check voordat de externe certificeringsaudit plaatsvindt. Met de output van de interne audit zet je de puntjes op de i.
Een NEN 7510 certificeringsaudit, ook wel externe audit genoemd, wordt juist uitgevoerd door een externe, daarvoor geaccrediteerde certificerende instelling (CI). Middels een dergelijke audit kan een organisatie aantoonbaar maken dat ze voldoet aan specifieke normeisen en wet- en regelgeving. Het doel van de externe audit is uiteindelijk certificatie. Een externe audit wordt uitgevoerd door een Certificerende Instantie, omdat:
- Deze vrij is van belangverstrengeling;
- Deze de audit onafhankelijk en objectief kan uitvoeren;
- De CI bevoegd is om, indien de organisatie voldoet, het certificaat uit te reiken.
De certificeringsaudit is vanzelfsprekend verplicht: zonder certificeringsaudit kan een organisatie geen NEN 7510 certificering behalen. Hieronder een overzicht van de belangrijkste verschillen tussen beide audits:
| Interne audit NEN 7510 | Certificeringsaudit NEN 7510 | |
| Uitvoering door | Eigen personeel (bekwaam) of ingehuurde externe | Certificerende Instelling |
| Doel | Interne verbeteringen | Officiële NEN 7510 certificering |
| Resultaat | Intern rapport met aanbevelingen en verbeterpunten | Certificaat of lijst met eisen |
| Verplicht karakter? | Verplicht onderdeel van normeisen NEN 7510 | Verplicht voor certificering |
Hoe voer je de NEN 7510 interne audit uit?
De NEN 7510 interne audit is, zoals gezegd, een verplicht onderdeel van de normeisen uit de NEN 7510 norm. Deze audit kan uitgevoerd worden door eigen medewerkers. Voorwaarden daarbij zijn wel dat de proceseigenaar niet de naleving van zijn eigen processen beoordeeld en dat de persoon die als auditor wordt ingezet, daar voldoende competent voor is. Steeds vaker kiezen organisaties ervoor om de interne audit uit te laten voeren door een onafhankelijke, externe partner. Dit biedt voordelen:
- Eigen medewerkers kunnen focussen op hun kerntaken;
- Audits worden professioneler en leveren waardevolle output op;
- De externe heeft geen interne belangen en voert audits conform planning uit;
- De externe brengt kennis en expertise mee, ook uit andere organisaties.
Het doel van de interne audit is het identificeren van risico’s en beoordelen van de effectiviteit van bestaande beveiligingsmaatregelen om zo zwakke punten te identificeren en verbeteringen door te voeren voordat de externe audit plaatsvindt. Bevindingen worden gebruikt om interne processen verder aan te scherpen. Bovendien is de organisatie door de interne audit als het ware een keer in de gelegenheid om te ‘oefenen’ voor de certificeringsaudit.
Een NEN 7510 interne audit focust op een aantal zaken, zoals:
- Beoordeling van het beleid;
- Processen en procedures toetsen;
- De technische maatregelen bekijken;
- Bewustzijn van medewerkers toetsen;
- Icidentbeheer;
- Toegangscontrole
- Etc.
Voor de interne audit is het belangrijk dat alle processen, procedures en het beleid goed gedocumenteerd zijn en dat deze documentatie op orde en actueel is. Door de interne audit voor NEN 7510 serieus aan te pakken, kun je de organisatie klaar maken voor certificering, maar ook een sterke cultuur met het oog op informatiebeveiliging neerzetten.
Hoe gaat de NEN 7510 certificeringsaudit in zijn werk?
Nadat de NEN 7510 interne audit is uitgevoerd, volgt de NEN 7510 certificeringsaudit. Deze audit bestaat uit twee fasen, die hieronder verder worden toegelicht:
NEN 7510 audit fase 1: Documentenonderzoek
Hierin vindt het documentenonderzoek plaats. Daarin wordt voornamelijk de documentatie, ofwel het ISMS, onderzocht en wordt bekeken of de (verplichte) beleidsdocumenten zijn opgesteld en aantoonbaar geïmplementeerd zijn.
Documentatie die in fase 1 van belang is:
- De contextanalyse, met daarin de risicoanalyse, van de organisatie met daarin onder andere de stakeholders- en risicoanalyse en alle bijbehorende beheersmaatregelen. De bijbehorende maatregelen dienen geïmplementeerd te zijn en de werking hiervan wordt getoetst in fase 2 van de audit;
- De scope van het Information Security Management System (ISMS);
- De Verklaring Van Toepasselijkheid (VVT);
- (Verplichte) beleidsdocumenten vanuit de norm;
- Fysieke beveiliging;
- Processen en informatiestromen;
- De directiebeoordeling.
Aan het einde van fase 1 stelt de auditor vast of de organisatie gereed is voor fase 2, het praktijkonderzoek.
NEN 7510 fase 2: Praktijkonderzoek
In deze fase vindt het certificeringsonderzoek plaats. De auditor komt dan enkele dagen langs bij het bedrijf op locatie en onderzoekt of de organisatie de vastgestelde acties die (mogelijk) uit fase 1 naar voren zijn gekomen heeft uitgevoerd en kijkt naar hoe deze zijn opgelost. Ook wordt onderzocht hoe de beheersmaatregelen geïmplementeerd zijn. Er worden daarvoor o.a. interviews met medewerkers van iedere afdeling gehouden om te verifiëren of beleid, procedures en werkinstructies overeenkomen met de manier van werken.
Documentatie die in fase 2 van belang is:
- De directiebeoordeling;
- Het complete Information Security Managementsysteem (Hst. 4 t/m Hst. 10);
- Alle beheersmaatregelen van de annex A (117 beheersmaatregelen);
- Het bewustzijn op het gebied van informatiebeveiliging van alle medewerkers;
- Naleving van beleidsdocumenten en contractuele eisen vanuit wet- en regelgeving (denk aan Wgbo/Wbsn-z/Wkkgz).
Het resultaat van de NEN 7510 certificeringsaudit is een NEN 7510 certificaat, bij positieve uitkomst. Bij tekortkomingen worden verbeterpunten gegeven waarvoor de organisatie tijd krijgt om deze op te lossen.
Op weg naar de NEN 7510 externe audit?
Alvorens je een externe audit voor NEN 7510 uit laat voeren door een CI is het verplicht om een interne audit uit te (laten) voeren. Deze dient volgens de expliciete eis uit A. 18.2 uitgevoerd te worden door een onafhankelijke partij. CertificeringsAdvies Nederland kan bijvoorbeeld die onafhankelijke partij zijn. Ook wij verzorgen interne audits bij organisaties. Hieronder opgesomd waarom de interne audit belangrijk is:
- Je voldoet aan de verplichting vanuit de norm. Alvorens je kunt certificeren is het namelijk verplicht om een interne audit uit te laten voeren door een onafhankelijke partij.
- Zo ga je goed voorbereid de externe audit tegemoet. Je ervaart als het ware hoe een externe audit in zijn werk gaat. Wanneer je een interne audit uit laat voeren door CertificeringsAdvies Nederland dan zorgen we ervoor dat de interne audit zo goed mogelijk op de externe audit lijkt, zodat medewerkers ook echt weten hoe een externe audit eraan toe gaat.
- Er wordt gekeken naar waar je nu staat en krijg je praktische tips. Daarbij krijg je praktisch advies en ontvang je een intern auditrapport (wat vereist is voor certificering) waarin alle bevindingen, tekortkomingen en verbeterpunten zijn opgenomen. Met dit auditrapport kun je de laatste stappen zetten op weg naar een succesvolle certificering!
Meer informatie?
Hopelijk heeft dit artikel meer duidelijkheid gegeven over de NEN 7510 audit. Indien je meer informatie wilt of andere vragen hebt, neem dan gerust contact met ons op. Onze adviseurs helpen je graag!
Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
NEN 7510 interne audit uit laten voeren?
Onze experts nemen je zorg uit handen!
- Deskundigheid
- Praktisch advies
- Inclusief rapport
