Compliance Glossary: Key ISO Terms

Het ABC van Compliance

Woordenlijst

Definities van belangrijke termen die worden gebruikt in ISO 27001, ISO 9001, NIS2, AVG en SOC 2 compliance. Geschreven voor praktijkmensen en teams die zich voorbereiden op certificering, niet voor juristen.

Audit Trail

Een chronologisch, fraudebestendig verslag van systeem- of procesactiviteit dat het mogelijk maakt een gebeurtenis van oorsprong tot conclusie te traceren. In compliance dienen audit trails als bewijs dat beheersmaatregelen naar behoren functioneerden. Auditors beoordelen audit trails om toegangscontrole, wijzigingsbeheer en incidentresponsactiviteiten te verifiëren.

Beheersmaatregel

Een maatregel die een risico wijzigt of vermindert. In ISO 27001 worden beheersmaatregelen geselecteerd uit Annex A op basis van de resultaten van de risicobeoordeling van de organisatie. Een beheersmaatregel kan een beleid, een technische maatregel, een proces of een fysieke beveiliging zijn. Elke geïmplementeerde beheersmaatregel vereist bewijs dat deze effectief functioneert.

Corrigerende Maatregel

Een gedocumenteerde actie die wordt ondernomen om de hoofdoorzaak van een non-conformiteit te elimineren en herhaling te voorkomen. Corrigerende maatregelen verschillen van correcties (die het onmiddellijke probleem oplossen) door aan te pakken waarom het probleem is ontstaan. Auditors controleren of corrigerende maatregelen proportioneel, voltooid en bewezen effectief zijn.

DPIA (Gegevensbeschermingseffect beoordeling)

Een gestructureerde beoordeling die vereist is onder AVG Artikel 35 wanneer verwerking waarschijnlijk een hoog risico voor individuen met zich meebrengt. Een DPIA identificeert de aard en het doel van de verwerking, beoordeelt de noodzaak en proportionaliteit, en documenteert maatregelen om geïdentificeerde risico's aan te pakken. DPIA's zijn verplicht vóór verwerking die systematische profilering, grootschalige gevoelige gegevens of systematische monitoring van openbare ruimtes omvat.

ISMS (Informatie beveiligingsmanagementsysteem)

Het systeem van beleid, procedures, processen en beheersmaatregelen dat een organisatie gebruikt om informatiebeveiligingsrisico's te beheren. Een ISMS is geen softwareproduct; het is een managementraamwerk. ISO 27001 definieert wat een ISMS moet omvatten en hoe het moet functioneren. ISOPlanner™ biedt de structuur en tooling om een ISMS binnen Microsoft 365 op te bouwen en te onderhouden.

Managementbeoordeling

Een formele, gedocumenteerde beoordeling die door het topmanagement met geplande tussenpozen wordt uitgevoerd om de geschiktheid, toereikendheid en effectiviteit van het managementsysteem te beoordelen. Vereiste input omvat auditresultaten, de status van non-conformiteiten, updates van het risicoregister en prestatiestatistieken. De output moet beslissingen over verbeteracties en benodigde middelen omvatten. Auditors controleren of managementbeoordelingen hebben plaatsgevonden, gedocumenteerd zijn en bruikbare resultaten hebben opgeleverd.

Non-conformiteit

Een tekortkoming in het voldoen aan een vereiste. Non-conformiteiten worden geïdentificeerd tijdens interne audits, externe audits of door middel van continue monitoring. Elke non-conformiteit vereist documentatie van wat is gevonden, een correctie (onmiddellijke oplossing) en een corrigerende maatregel (eliminatie van de hoofdoorzaak). Onopgeloste non-conformiteiten zijn een veelvoorkomende reden voor vertragingen bij certificering.

Risicobehandeling

Het proces van het selecteren en implementeren van opties om een geïdentificeerd informatiebeveiligingsrisico te wijzigen. ISO 27001 definieert vier behandelingsopties: accepteren (het risico tolereren), behandelen (beheersmaatregelen toepassen om het te verminderen), overdragen (het overdragen aan een derde partij, bijvoorbeeld via verzekering), of beëindigen (de activiteit vermijden die het risico creëert). Elke behandelingsbeslissing moet worden gedocumenteerd met een onderbouwing en gekoppeld aan de relevante Annex A-beheersmaatregelen.

SOA (Verklaring van Toepasselijkheid)

Een document dat vereist is door ISO 27001 en dat alle 93 Annex A-beheersmaatregelen opsomt, aangeeft of elke maatregel is geïmplementeerd, en een rechtvaardiging biedt voor opnames en uitsluitingen. De SOA is een van de belangrijkste documenten die auditors beoordelen. Het toont aan dat de organisatie alle beheersmaatregelen heeft overwogen en weloverwogen, gedocumenteerde beslissingen heeft genomen over elk ervan. Een ontbrekende of onvolledige SOA is een veelvoorkomende grote non-conformiteit.