Audit Bewijsset
Overzicht
Dit document beschrijft de standaard audit bewijsset die Noveu levert voor compliance audits en certificeringen.
Bewijscategorieën
1. Governance & Organisatie
| Bewijs | Beschrijving | Frequentie |
|---|
| Security Policy | Actueel security beleid | Jaarlijks |
| ISMS Scope | Scope van informatiebeveiliging | Jaarlijks |
| Risk Register | Geïdentificeerde risico's en mitigaties | Kwartaal |
| Management Review | Notulen management review | Halfjaarlijks |
| Roles & Responsibilities | RACI matrix security | Jaarlijks |
2. Toegangsbeheer
| Bewijs | Beschrijving | Frequentie |
|---|
| User Access List | Alle gebruikers en rechten | On demand |
| Admin Account List | Geprivilegieerde accounts | Maandelijks |
| Access Reviews | Periodieke rechtenreviews | Kwartaal |
| MFA Coverage | Percentage MFA-enabled | Maandelijks |
| Password Policy | Wachtwoordvereisten | Jaarlijks |
| Session Logs | Login/logout events | Dagelijks |
Voorbeeld Export (Users):
UserId,Email,Department,Role,MFAEnabled,LastLogin,Created
u001,jan@example.com,IT,Admin,true,2026-01-15,2025-06-01
u002,lisa@example.com,Finance,User,true,2026-01-14,2025-07-15
3. Infrastructuur & Netwerk
| Bewijs | Beschrijving | Frequentie |
|---|
| Network Diagram | Actuele architectuur | Jaarlijks |
| Firewall Rules | Regelset per zone | Kwartaal |
| Hardening Status | Compliance met baselines | Maandelijks |
| Patch Status | Vulnerability en patch levels | Wekelijks |
| Encryption Status | Encryptie configuratie | Maandelijks |
Voorbeeld Export (Patch Status):
{
"reportDate": "2026-01-15",
"systems": [
{
"hostname": "app-server-01",
"os": "Ubuntu 22.04",
"patchLevel": "current",
"criticalVulns": 0,
"highVulns": 2,
"lastScan": "2026-01-14"
}
],
"summary": {
"totalSystems": 50,
"fullyCurrent": 48,
"pendingPatches": 2
}
}
4. Operaties & Monitring
| Bewijs | Beschrijving | Frequentie |
|---|
| Uptime Reports | Beschikbaarheid per service | Maandelijks |
| Incident Log | Alle security incidents | On demand |
| Change Log | Alle wijzigingen | On demand |
| Backup Reports | Backup success/failure | Wekelijks |
| DR Test Results | Disaster recovery tests | Halfjaarlijks |
5. Vendor & Supply Chain
| Bewijs | Beschrijving | Frequentie |
|---|
| Subprocessor List | Alle leveranciers | Kwartaal |
| Vendor Assessments | Security beoordelingen | Jaarlijks |
| Contracts | DPAs en security addenda | On demand |
6. Awareness & Training
| Bewijs | Beschrijving | Frequentie |
|---|
| Training Records | Wie wat wanneer getraind | On demand |
| Phishing Results | Resultaten phishing tests | Kwartaal |
| Policy Acknowledgments | Ondertekende policies | Jaarlijks |
Framework Mappings
NIS2
| NIS2 Artikel | Bewijscategorie | Documenten |
|---|
| Art. 21(a) - Risicoanalyse | Governance | Risk Register |
| Art. 21(b) - Incidentbeheer | Operaties | Incident Log, Runbooks |
| Art. 21(c) - Continuïteit | Operaties | DR Test Results, Backup Reports |
| Art. 21(d) - Supply chain | Vendor | Subprocessor List, Assessments |
| Art. 21(e) - Netwerk security | Infrastructuur | Firewall Rules, Hardening |
| Art. 21(f) - Toegangsbeheer | Toegangsbeheer | Access Reviews, MFA Coverage |
| Art. 21(g) - Cryptografie | Infrastructuur | Encryption Status |
BIO
| BIO Controle | Bewijscategorie | Documenten |
|---|
| 9.x - Toegang | Toegangsbeheer | User Lists, Access Reviews |
| 11.x - Fysiek | Infrastructuur | DC Audit Reports |
| 12.x - Operaties | Operaties | Change Log, Incident Log |
| 14.x - Ontwikkeling | - | SDLC Documentation |
| 16.x - Incidenten | Operaties | Incident Log, Runbooks |
| 18.x - Compliance | Governance | Audit Reports |
ISO 27001
| ISO Clause | Bewijscategorie | Documenten |
|---|
| A.5 - Policies | Governance | Security Policy, ISMS Scope |
| A.6 - Organization | Governance | Roles & Responsibilities |
| A.7 - HR | Training | Training Records |
| A.8 - Asset Mgmt | Infrastructuur | Asset Register |
| A.9 - Access | Toegangsbeheer | All access documentation |
| A.12 - Operations | Operaties | All operations logs |
| A.16 - Incident | Operaties | Incident Log |
| A.18 - Compliance | Governance | Audit Reports |
Standaard Deliverables
Per Audit
| Document | Formaat | Inhoud |
|---|
| Executive Summary | PDF | Samenvatting status |
| Full Evidence Pack | ZIP | Alle documenten |
| Control Matrix | Excel | Status per controle |
| Gap Analysis | PDF | Bevindingen en aanbevelingen |
Self-Service Portal
Via het Compliance Console:
- Selecteer framework
- Selecteer periode
- Genereer rapport
- Download evidence pack
Exportformaten
| Type | Formaat | Gebruik |
|---|
| Reports | PDF | Management, auditors |
| Data | CSV/JSON | Analyse, SIEM |
| Logs | JSON/Syslog | Security tools |
| Evidence | ZIP | Complete pack |
Voorbeeld Evidence Pack Structuur
audit-evidence-2026-Q1/
├── README.md
├── executive-summary.pdf
├── control-matrix.xlsx
│
├── 01-governance/
│ ├── security-policy-v2.3.pdf
│ ├── risk-register-q1.xlsx
│ └── management-review-notes.pdf
│
├── 02-access-control/
│ ├── user-list-20260115.csv
│ ├── admin-accounts.csv
│ ├── access-review-q1.pdf
│ └── mfa-coverage-report.pdf
│
├── 03-infrastructure/
│ ├── network-diagram.pdf
│ ├── firewall-rules.json
│ ├── hardening-report.pdf
│ └── patch-status.json
│
├── 04-operations/
│ ├── uptime-report-jan.pdf
│ ├── incident-log-q1.csv
│ ├── change-log-q1.csv
│ └── backup-reports/
│
├── 05-vendor/
│ ├── subprocessor-list.xlsx
│ └── vendor-assessments/
│
└── 06-training/
├── training-records.csv
└── phishing-results-q1.pdf
Retentie
| Document Type | Retentie | Reden |
|---|
| Audit packs | 7 jaar | Wettelijk |
| Access logs | 2 jaar | Security |
| Policies | 5 jaar na vervanging | Context |
| Incident reports | 7 jaar | Wettelijk |
| Training records | Duur dienstverband + 2 jaar | HR |
Contact
Audit Requests: compliance@noveu.eu
Turnaround Times:
- Standaard audit pack: 5 werkdagen
- Custom requests: 10-15 werkdagen
- Urgente requests: Overleg
Laatste update: Januari 2026
Evidence packs worden per klant gegenereerd
