Veel tijd, geld en energie! Hoe je het ook wendt of keert, dat gaat er zitten in de (verplichte) implementatie van NEN 7510. Dan wil je toch graag weten of het zin heeft, wat je allemaal doet?

Het mooie van NEN 7510 is dat het onderdeel van je implementatie is om dat zelf vast te stellen. Hoofdstuk 9 NEN 7510-1 is daarvoor bedoeld.

Doen we niet te veel? Doen we niet te weinig? Zijn onze risico’s nu echt teruggebracht naar wat wij zelf acceptabel vinden?

De interne audit wordt soms gezien als “oefenrondje” voor de externe audit. Dat vind ik jammer, je kunt er zoveel meer aan hebben. Soms kost het dan meer tijd dan de externe audit, en levert het je ook meer op.

Graag geef ik tien tips, zodat jij ook meer uit je interne audit kunt halen.

1. Denk bij implementatie van iedere maatregel alvast na hoe je de effectiviteit van deze maatregel gaat toetsen.
   In de boeken van Cees van der Wens staan bij iedere maatregel Aanwijzingen voor het uitvoeren van audits. Deze kun je gebruiken als inspiratie, maar kijk wel of ze aansluiten bij jouw eigen situatie. Voorbeeld: je gaat een e-learning inzetten voor bewustwording. Denk van tevoren na welk risico je met deze maatregel wilt behandelen, wat precies je doel is en hoe je weet of je dat bereikt hebt.
2. Ken het onderscheid tussen prestatiemeting en doeltreffendheidsmeting.
   In de norm staat dat je prestaties en doeltreffendheid moet evalueren.
   Voorbeeld: prestatiemeting is hoeveel mensen de e-learning hebben afgerond. Als je e-learning gericht is op het melden van incidenten en datalekken kan een doeltreffendheidsmeting zijn hoeveel incidenten/datalekken er gemeld worden.
3. Plan de interne audit op tijd en neem genoeg tijd.
   Ik zie wel eens dat de interne audit een week voor de externe audit in een dagje wordt uitgevoerd. Beheerst proces of paniekvoetbal?
4. Zorg voor een goed gedocumenteerd auditprogramma met planning.
   Het auditprogramma is een verplicht document in NEN 7510. Je kunt natuurlijk alle te toetsen normen uitzetten in de driejaarlijkse certificeringscyclus, maar beter is risicogebaseerd plannen. Welke maatregelen zijn belangrijk, of geven grote risico’s als ze niet effectief zijn. Deze wil je misschien wel maandelijks of per kwartaal auditen. Houd met de planning rekening met bijvoorbeeld drukke periodes en rapportage- en besluitvormingsmomenten.
5. Zorg voor een goed werkprogramma/auditcriteria.
   Audit is toetsen aan een norm. Volgens NEN 7510 moet je toetsen aan de eisen van de norm, maar ook aan de eigen eisen van de organisatie. Komt dat voldoende tot uitdrukking?
6. Audit niet alleen de maatregelen uit NEN 7510-2.
   De interne audit moet informatie geven of het ISMS doeltreffend is geïmplementeerd. Daarvoor moet je niet alleen de maatregelen (NEN 7510-2) beoordelen, maar ook de eisen uit NEN 7510-1.
7. Gebruik verschillende auditmethoden.
   Weet dat er verschillende auditmethoden bestaan en zet die bewust in op verschillende te toetsen onderdelen. Interview van diverse mensen is vast onderdeel. Wees scherp: mooie praatjes of onderbouwd verhaal? Documentstudie is het bekijken van alles wat is vastgelegd. Dat gaat om interne documentatie, zoals procesbeschrijvingen en beleidsstukken maar ook output uit systemen zoals rapportages en de inhoud van informatiesystemen. Ook externe stukken zoals contracten en documentatie hebben een plaats. Derde methode is observatie (eigen waarneming). Hier kijk je naar bijvoorbeeld fysieke beveiliging of hoe mensen hun werk uitvoeren.
8. Kijk naar opzet, bestaan en werking.
   Een procesbeschrijving of beleidsstuk is mooi (opzet), maar is het ook geïmplementeerd (bestaan) en werkt het gedurende de onderzoeksperiode (werking)?
9. Documenteer de bevindingen en doe er wat mee.
   De auditresultaten zijn ook een verplicht document in NEN 7510. Je legt de bevindingen vast (de objectieve waarneming) en per norm een conclusie (werkt de maatregel effectief gedurende de auditperiode). Maar uiteindelijk gaat het erom of het ISMS doeltreffend is geïmplementeerd. Heb je een auditor die daar voldoende kijk op heeft? Auditors kunnen ook aanbevelingen geven. Uiteraard gebruik je de auditresultaten in de directiebeoordeling, maar ze zijn vooral ook heel goed om de implementatie van je maatregelen te verbeteren. En handig bij je volgende risicobeoordeling, want dan kun je vaststellen of je meer, minder of andere maatregelen moet kiezen bij de risico’s die er nog zijn.
10. Laat je eigen mening thuis.
    Veel auditors weten zelf heel goed hoe zij vinden dat het allemaal moet. In de norm staat dat de auditor objectief en onpartijdig moet zijn. De auditor moet toetsen aan de auditcriteria en niet aan de eigen mening. Durf dan ook het gesprek aan te gaan, als je geaudit wordt en de eigen mening van de auditor lijkt de norm te worden. Stel de vraag: “Waar in de norm of onze eigen eisen staat dat dit zo zou moeten?”

Als auditor gaat het mij aan het hart hoe weinig toegevoegde waarde uitgevoerde interne audits soms hebben. Zonde van de inspanningen. Jij hebt nu tien tips waarmee je je interne audit kunt inzetten als waardevol instrument. Laat me weten welke tip jij gaat gebruiken!

Wil je eens sparren over de aanpak van de interne audit?

Of neem een kijkje op op https://privacylabnederland.nl/avg-nen-7510/