In Cyberday kunt u een nalevingsrapport bekijken voor elk raamwerk waaraan u wilt voldoen. Het nalevingsrapport biedt een uitgebreid overzicht van de antwoorden van uw organisatie op elke vereiste/controle in het gerelateerde raamwerk.
Het nalevingsrapport in ISO 27001 wordt 'Verklaring van Toepasselijkheid' of SoA genoemd.
Overzicht nalevingsrapporten
Waar vind je deze weergave? Dashboard -> Nalevingsrapport (vak rechtsboven)
Compliantierapporten kunnen direct worden geopend vanuit het gedeelte Vereistenkaders van het Dashboard of via de Rapportage-pagina.
De algemene compliance score meet je vooruitgang naar compliance. Deze score brengt gerelateerde getallen samen in het nalevingsrapport. Onder de algemene score zie je de gereedheid van het raamwerk per vereiste. Eerst worden de vereisten gecategoriseerd en gescoord op basis van hun gereedheid.
Nalevingsscore (maximumwaarde 100) = (Donkergroene secties + 0,8 * Groene secties + 0,5 * Lichtgroene secties + 0,2 * Gele secties) / Vereiste hoeveelheid in kader * 100
Compliance rapporten zijn ontworpen om een duidelijke en beknopte momentopname te bieden van de naleving van het gespecificeerde raamwerk door een organisatie. In dit rapport wordt elke vereiste van het raamwerk gepresenteerd met een cel met kleurcode, die de huidige nalevingsstatus weergeeft. De volgende kleuren worden getoond:
- Donkergroen: Alle aanbevolen taken hebben de status 'Volledig gedaan'.
- Groen: Als er geen taken met 'lage prioriteit' worden overwogen, worden alle aanbevolen taken uitgevoerd.
- Lichtgroen: Ten minste één ingestelde taak gedaan
- Geel: Geen taken gedaan, maar ten minste één taak ingesteld op actieve status
- Grijs: Geen taken actief (= niets gedaan)
- Donkergrijs: Eis 'niet van toepassing' (rechtstreeks uit het rapport)
NB! Als je een taak instelt als 'Niet relevant', wordt deze niet in aanmerking genomen in deze bovenstaande kleurcategorisatie.
Er is automatisch een apart nalevingsrapport beschikbaar voor alle frameworks die worden ondersteund in Cyberday.
Je kunt het overzicht zien in de visuele presentatie, maar door op een cel te klikken kun je in de details duiken.
Details nalevingsrapport voor een vereiste
De details van het nalevingsrapport voor elke vereiste verwijzen naar de taaktabel die wordt weergegeven onder een vereiste in het hoofdgedeelte van de rapporten. U kunt daar komen door op een van de vereiste nummers in het overzicht te klikken, bijvoorbeeld klik op "5.15" van het ISO 27001-nalevingsrapport. U springt direct naar de volgende weergave (rode nummers worden hieronder uitgelegd):
- De sectie waarop je hebt geklikt, kan nog andere kleine secties hebben. Je kunt hiertussen wisselen door op een van de twee onder de kop van de hoofdsectie te klikken.
- Zoek een samenvatting van de status van de sectie behandeling en bewerk de vereiste. De waarden voor de vereisten worden standaard automatisch ingevuld, maar je kunt de toepasbaarheid en uitvoeringsstatus hier handmatig wijzigen. Geef bijvoorbeeld aan of die specifieke vereiste niet van toepassing is op uw organisatie en waarom. Kies "niet van toepassing" in het uitklapmenu naast "Toepasbaarheid" en schrijf een vrije beschrijving. De sectie wordt dan grijs weergegeven in de overzichtstabel aan het begin van het nalevingsrapport.
- Hier vind je een tabel met de taken die worden voorgesteld voor de vereiste om het conformiteitsniveau te bereiken. In de tabel zie je de naam van de taak, het taaktype (dat is een indicatie van de acties die nodig zijn om de taak uit te voeren), de assurance-informatie, het prioriteitsniveau (vooraf ingesteld, indien niet handmatig gewijzigd) en de status, wat betekent dat de taak actief is, gedeeltelijk is uitgevoerd, is uitgevoerd enzovoort. Door op de "+" aan de linkerkant van de taak te klikken, krijg je meer informatie over de taak, als die beschikbaar is. Hiervoor moet de taak al enige invoer hebben. Door op de "->" aan de rechterkant van de taak te klikken, ga je direct naar de taakkaart, zodat je de taak kunt gaan behandelen.
- Als je dat wilt, kun je een vrije beschrijving toevoegen aan het (hoofd)gedeelte van dit deel van het nalevingsrapport.
Belangrijkste voordelen van nalevingsrapporten
Er zijn verschillende hoofdpunten van een nalevingsrapport. In de volgende lijst vind je enkele van de belangrijkste.
Uw huidige compliance begrijpen
Met behulp van de compliancerapporten kun je gemeenschappelijke taal krijgen over waar je informatiebeveiliging op dit moment staat. Zijn we 25%, 50% of 75% compliant en is dat genoeg of moeten we het beter doen?
Evalueer uw implementatie van verschillende vereisten / controles
Compliantierapporten vermelden onze voorgestelde taken die u kunt gebruiken om geselecteerde vereisten of controles te implementeren. Dit zijn onze suggesties en ze hebben prioriteiten van Kritiek / Hoog / Normaal / Laag, dus u moet bovenaan beginnen en zelf risicogestuurd nadenken over hoe ver u denkt te moeten gaan voor elk onderwerp.
U kunt de lijst met taaksuggesties zeker ook aanvullen met uw handmatige taakaanvullingen. Samenvattend kun je het nalevingsrapport gebruiken om ideeën op te doen over het verder aanscherpen van de implementatie van bepaalde vereisten/controles, bijvoorbeeld als je analyse grote risico's of bijna-incidenten aan het licht brengt.
Bewijs hebben van naleving
Het nalevingsrapport geeft de structuur van het raamwerk weer, zodat het bijvoorbeeld een auditor of iemand die bekend is met een bepaald raamwerk helpt om in uw ISMS te kijken. Bij een certificeringsaudit moet de auditor bijvoorbeeld bewijs van u krijgen voor het implementeren van elk van de vereisten in het raamwerk. Een nalevingsrapport helpt u om die antwoorden te krijgen.
Waarvoor gebruik je compliancerapporten?
- Interne evaluatie: Organisaties gebruiken deze rapporten intern om hun cyberbeveiligingspostuur te beoordelen, de onderdelen te identificeren die nog niet zijn aangepakt en acties voor verbetering te prioriteren.
- Interne en externe audits: Auditors, nalevingsbeoordelaars of regelgevende instanties kunnen deze rapporten bekijken om ervoor te zorgen dat een organisatie voldoet aan industrienormen, wettelijke vereisten of contractuele verplichtingen. U kunt onze auditfunctie ook gebruiken om uw audits rechtstreeks in Cyberday uit te voeren.
- Risicobeheer: Het helpt bij het begrijpen en beheren van cyberbeveiligingsrisico's door controles af te stemmen op geïdentificeerde bedreigingen en kwetsbaarheden, naast het documenteren en behandelen van uw risico's direct in uw ISMS. U kunt zelfs incidentrapportage activeren voor uw medewerkers, zodat incidenten in realtime worden gerapporteerd en gedocumenteerd in uw ISMS, zodat u de incident- en risicobeheerprocessen direct kunt starten in Cyberday.
- Communicatie over beveiliging: Het helpt om de toewijding van een organisatie aan cyberbeveiliging te communiceren naar belanghebbenden, klanten en partners en zo vertrouwen en transparantie te creëren.
- Voortdurende verbetering: Het rapport dient als een routekaart voor voortdurende inspanningen om de cyberbeveiliging te verbeteren, en begeleidt de organisatie bij het handhaven of verbeteren van de beveiliging. Cyberday zal u aanvullende taken voorstellen om uw beveiliging verder te versterken.
In wezen is een nalevingsrapport voor cyberbeveiliging zoals de ISO 27001 Verklaring van Toepasselijkheid een cruciaal hulpmiddel voor organisaties om aan te tonen dat ze zich inzetten voor de bescherming van hun gevoelige informatie, de naleving van regelgeving en de voortdurende verbetering van hun maatregelen voor cyberbeveiliging.
Vragen en feedback
Heb je nog vragen, wil je een ander hulpartikel of wil je feedback geven? Neem dan contact op met ons team via team@cyberday.ai of de chatbox rechtsonder.