Een ISO 27001-auditor accepteert geen e-learning-attendance als enig bewijs voor control 7.2. Phishingsimulatie levert het gedrags-bewijs dat een training-module niet kan geven, en raakt direct aan control 8.7 over malwarebescherming.
Annex A control 7.2 in de praktijk
Control 7.2 (information security awareness, education and training) vraagt dat alle medewerkers en relevante contractanten passende awareness-training krijgen. 'Passend' is de open norm. Auditors van Lloyd's, BSI en DEKRA leggen dit consistent uit als: jaarlijkse training plus periodieke simulatie met meetbare uitkomsten. Alleen e-learning is onvoldoende, omdat u geen gedragsverandering kunt aantonen.
Control 8.7 en de link met simulatie
Control 8.7 (protection against malware) is technisch (e-mailfilter, EDR, sandboxing) maar de auditor vraagt vaak naar 'awareness-componenten' bij dezelfde control. Simulatie meet hoe goed uw technische maatregelen werken: een mail die door uw filter komt en alsnog niet geklikt wordt, betekent dat de mens als laatste laag werkt. Documenteer beide controls met dezelfde simulatie-data.
Frequentie die de auditor verwacht
Minimaal kwartaalfrequentie voor simulaties, jaarlijkse refresh van de training-content. Bij hercertificering wil de auditor 36 maanden aan campagnedata zien, met trendanalyse. Een hoge klikratio is geen non-conformity zolang u de trend laat dalen en herhaalklikkers actief opvolgt.
Scope en exceptions
Scope: iedereen met een bedrijfsmailbox, inclusief tijdelijke krachten en consultants. Exceptions: productie-medewerkers zonder e-mailaccount kunt u uitsluiten, mits gedocumenteerd in het Statement of Applicability. Een veelgemaakte fout: bestuurders uitsluiten omdat het 'lastig is te plannen'. Auditors springen hier altijd op.
Wat de auditor letterlijk komt opvragen
Awareness-policy met goedkeuringsdatum en eigenaar. Trainingplan voor het lopende jaar. Deelnamerapportages met datum en percentages per afdeling. Resultaten van minimaal vier simulaties in de afgelopen 12 maanden. Bewijs van follow-up bij herhaalklikkers. PhishWise exporteert dit pakket in een audit-bundel, KnowBe4 en Microsoft Attack Simulator ook, maar via meerdere rapporten.
Verwant: Cybersecurity consultant inhuren, Freelance IT consultant.