Bijlage B

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
(normatief)

Vereiste kennis en vaardigheden

In tabel B.1 zijn de kennis en vaardigheden opgenomen die een certificatie-instelling voor specifieke certificatiefuncties moet definiëren. X betekent dat de certificatie-instelling de criteria en het niveau van kennis en vaardigheden moet definiëren. X+ geeft aan dat een hoger niveau van kennis en vaardigheden nodig is.
Het is mogelijk invulling te geven aan de eisen waaraan het auditteam moet voldoen door de inzet van (externe) materiedeskundigen. De eisen aan een materiedeskundige zijn opgenomen in de 6e kolom van tabel B.1. In het geval dat een materiedeskundige wordt ingezet, wordt van de (lead)auditor de vaardigheid gevraagd om op een juiste wijze gebruik te maken van de aanwezige materiedeskundigheid en de door de materiedeskundige uitgebrachte adviezen. Van de materiedeskundige wordt de vaardigheid gevraagd helder en duidelijk adviezen aan de (lead)auditor te kunnen formuleren en communiceren. Van de materiedeskundige wordt ook enige kennis van het specifieke van toepassing zijnde certificatieschema verwacht.
Tabel B.1Tabel van kennis en vaardigheden
Vereiste kennis en vaardigheden Certificatiefuncties
De beoordeling uitvoeren van de aanvraag met het oog op het vaststellen van de vereiste competentie van het auditteam, het selecteren van de auditteamleden, en het bepalen van de audittijd Audit-rapporten beoordelen en certificatie-beslissingen nemen Het uitvoeren van audits Leiding-geven aan het auditteam Materie-deskundig-heid
Kennis en ervaring betreffende politiek en bedrijfseisen voor informatiebeveiliging     X X  
Kennis van de praktijk van bedrijfsmanagement     X X  
Kennis van waardebepaling van bedrijfsmiddelen, inventarissen, classificaties en beleid voor acceptabel gebruik     X X  
Algemene kennis en ervaring van de processen en procedures die worden gebruikt op human resources-afdelingen     X X  
Actuele kennis en ervaring betreffende de normen, processen, technieken en methoden die worden gebruikt voor informatiebeveiliging, met inbegrip van beheersmaatregelen, alsmede een passend niveau van technische expertise. Hiertoe behoort actuele kennis van een aantal gebruikelijke bedrijfspraktijken.     X X  
Actuele kennis en ervaring betreffende de normen, processen, plannen en testprocedures voor bedrijfscontinuïteit     X X  
Kennis van auditprincipes, -werkwijzen en -technieken   X X+ X+  
Kennis van NEN 7510 en relevante normatieve documenten X X X+ X+ X
Kennis van cliënt-/patiëntveiligheid, fysieke veiligheid en omgevingsveiligheid     X X X
Kennis van de processen van de certificatie-instelling X X X X  
Kennis van de bedrijfssector van de klant X X X+ X+ X+
Kennis van de producten, bedrijfsprocessen, werkwijzen en organisatiestructuren van de klant X   X X X
Kennis van primaire zorg- of dienstverleningsprocessen van de sector en daaraan gerelateerde risico’s     X X X+
Vaardigheid om de wijze te beoordelen waarop de te auditen organisatie de risico’s beheerst     X X X
Actuele kennis en ervaring betreffende de processen en procedures voor incidentmanagement     X X  
Adequate taalvaardigheden voor alle niveaus binnen de organisatie van de klant     X X  
Vaardigheden op het gebied van aantekeningen maken en rapporten schrijven     X X  
Presentatievaardigheden     X X+  
Interviewvaardigheden     X X  
Auditmanagementvaardigheden
    X X+  
Actuele kennis van zakelijke contractuele aangelegenheden en algemene wet- en regelgeving in verband met ISMS (o.a. Wgbo, Wbsn-z, Wcz, Wbp, Kwz)     X X X
Indien de taak door een team wordt uitgevoerd, behoort de kennis van de producten, processen en organisatie van de klant binnen dat team aanwezig te zijn, of door een technisch deskundige te worden geleverd. Indien een audit door een team wordt uitgevoerd, behoort het noodzakelijke vaardigheidsniveau aanwezig te zijn binnen het team als geheel en niet bij elk individueel teamlid.
De teamleider van een gecombineerde of geïntegreerde audit behoort te beschikken over een grondige kennis van ten minste een van de normen, en behoort bekend te zijn met de overige voor die specifieke audit toegepaste normen.

OPMERKING Risico en complexiteit vormen overige overwegingen bij beslissingen over het benodigde kennisniveau voor een van deze functies.

B.1   Typische kennis in verband met ISMS

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Auditoren behoren kennis en begrip te hebben van de volgende audit- en ISMS-onderwerpen:
  • auditprogrammering en -planning;
  • soort audit en methoden;
  • auditrisico;
  • analyse informatiebeveiligingsprocessen;
  • Deming-cirkel (PDCA) voor continue verbetering;
  • interne audit voor informatiebeveiliging.
Auditoren behoren kennis en begrip te hebben van de volgende managementeisen:
  • behandelen van informatiebeveiligingsrisico's;
  • beveiligingsrisico's ICT-uitbesteding;
  • informatiebeveiligingsrisico's leveringsketen.