Voor ISO 27001 hoeft IAM niet perfect te zijn, wel aantoonbaar passend bij uw risicoprofiel. Audit slaagt of valt op evidence en consistentie tussen beleid en praktijk.
Welke controls raken IAM?
A.5 en A.8 controls over toegangsbeheer en logging. A.9 over user access management. Specifiek: provisioning processen, periodieke review, privileged access beheer, multi factor authenticatie, logging van toegang.
Hoe regelen we evidence?
Beleid documenteren en koppelen aan uitvoering. IAM tool levert technische evidence (welke accounts, welke rechten, welke reviews). Procesbeschrijvingen en rolverdeling laten zien wie verantwoordelijk is voor wat.
Wat na certificering?
Surveillance audits jaarlijks, hercertificering elke drie jaar. Interne audit ritme inrichten zodat externe audit geen verrassing oplevert. Continuous improvement op gevonden afwijkingen.
Wie helpt u bij de ISO 27001 controls?
Voor ISO 27001 op IAM zoeken we een specialist die zowel beleid kan schrijven als evidence kan verzamelen. Iemand met audit ervaring die surveillance audits weet door te komen.
Verwant: Freelance IAM consultant