Intern auditprogramma (NEN 7510-1, H9.2)
Versie 1.0.0 - juni 2026
Dit document beschrijft het interne auditprogramma waarmee Remedice vaststelt of het ISMS voldoet aan de eigen eisen en aan NEN 7510-1, en of het doeltreffend is geimplementeerd en onderhouden. Het voldoet aan NEN 7510-1:2024, paragraaf 9.2.
Status
Certificering is in voorbereiding. Het programma is vastgesteld; de eerste interne audit is gepland binnen de eerste ISMS-cyclus (zie doelstelling D7). Auditverslagen worden in dit document bijgehouden zodra ze beschikbaar zijn.
1. Doel (H9.2.1)
De interne audit verschaft informatie over de vraag of het ISMS:
- voldoet aan de eigen eisen van Remedice en aan de eisen van NEN 7510-1;
- doeltreffend is geimplementeerd en onderhouden.
2. Auditprogramma (H9.2.2)
| Aspect | Invulling |
|---|---|
| Frequentie | Ten minste jaarlijks, en na significante wijzigingen |
| Methode | Documentbeoordeling, steekproefsgewijze controle van records (logs, incidenten, configuratie), en toetsing van beheersmaatregelen tegen de SoA |
| Reikwijdte | De volledige ISMS-scope (zie Context & scope), met aandacht voor de processen die het hoogste risico dragen |
| Auditcriteria | Dit ISMS, NEN 7510-1 H4-H10, en de SoA-controls uit de risicoanalyse |
| Verantwoordelijkheid | De verantwoordelijke voor informatiebeveiliging plant en coordineert |
| Rapportage | Resultaten worden gerapporteerd aan het topmanagement en zijn input voor de management review |
Bij het inrichten van het programma wordt rekening gehouden met het belang van de betrokken processen en met de resultaten van voorgaande audits.
3. Objectiviteit en onpartijdigheid (H9.2.2 b)
NEN 7510-1 eist dat auditoren zo worden geselecteerd dat de objectiviteit en onpartijdigheid van het auditproces worden gewaarborgd; auditoren beoordelen bij voorkeur niet hun eigen werk.
In een eenmanszaak is volledige onpartijdigheid intern niet haalbaar. Dit wordt als volgt geborgd:
- Onafhankelijke externe beoordeling: voor het certificeringstraject wordt een onafhankelijke externe partij ingeschakeld voor een penetratietest en/of pre-audit. Dit dekt tevens beheersmaatregel A.5.35 (onafhankelijke beoordeling) en de verplichting uit het Besluit elektronische gegevensverwerking door zorgaanbieders (art. 3 lid 4) tot een onafhankelijke toetsing van de NEN 7510-reeks.
- Objectieve, herhaalbare criteria: de interne audit toetst tegen concrete records en de SoA, niet tegen een mening, wat de subjectiviteit beperkt.
Positie van geautomatiseerde scans (OWASP ZAP)
Een zelf uitgevoerde OWASP ZAP-scan (DAST) is een waardevol onderdeel van het kwetsbaarhedenbeheer (A.8.8) en de beveiligingstesten in de ontwikkelcyclus (A.8.29), maar geldt niet als de onafhankelijke beoordeling van A.5.35. Reden: de scan wordt door de eigen organisatie op de eigen applicatie gedraaid en mist daarmee de onpartijdigheid en de diepgang (logica, autorisatie, ketenrisico's) van een externe penetratietest. ZAP wordt daarom ingezet als aanvulling, niet als vervanging van de externe beoordeling.
4. Auditverslagen (gedocumenteerde informatie)
Gedocumenteerde informatie wordt bewaard als bewijs van de implementatie van het auditprogramma en de auditresultaten. Per audit:
| Datum | Reikwijdte | Auditor | Bevindingen | Afwijkingen (verwijzing) | Status |
|---|---|---|---|---|---|
| (in te vullen) |
Geconstateerde afwijkingen worden geregistreerd en behandeld volgens Afwijkingen & corrigerende maatregelen.
5. Review
Het auditprogramma wordt jaarlijks herzien tijdens de management review.