Compliancetraject

    Maak van uw beleid en beheersmaatregelen aantoonbare framework-readiness en auditklaar bewijs

    Wat is het compliancetraject?

    Het compliancetraject is een begeleid pad dat het werk dat u al in Anzen doet - beleid, beheersmaatregelen, tests, bevindingen en risico's - omzet in een helder antwoord op één vraag: zijn we auditklaar voor een framework zoals ISO 27001? U kiest een framework, Anzen zet de eisen klaar, u koppelt uw beheersmaatregelen eraan, en een live readiness-beeld laat zien hoe ver u bent. Het is geen losse silo: het is een laag over de beheersmaatregelen en het bewijs dat u al beheert. Het traject, het readiness-dashboard en uw Verklaring van Toepasselijkheid zijn gratis; alleen de auditklare PDF-export hoort bij de betaalde Anzen Compliance add-on.

    Frameworks

    Open Compliance in de zijbalk en u komt op een framework-overzicht, niet op één vastgezette standaard. Vandaag kunt u kiezen uit:

    • ISO/IEC 27001:2022 - de volledige set van 93 Annex A-maatregelen, elk met een voorgestelde test en een bijpassende set beleidssjablonen.
    • NIS2-richtlijn - de maatregelen voor cyberbeveiligingsrisicobeheer uit de EU NIS2-richtlijn, als maatregelenset (beleidssjablonen zijn nog niet meegeleverd, dus u brengt uw eigen beleid mee).

    Het model is framework-onafhankelijk, dus er komen na verloop van tijd meer frameworks bij zonder dat er iets aan de werking verandert, en elk framework volgt zijn eigen readiness los van de andere.

    Hoe alles samenhangt

    Compliance verbindt de onderdelen van Anzen, met de beheersmaatregel als spil:

    FrameworkISO 27001 / NIS2Verklaring van Toepasselijkheidvan toepassing? · onderbouwing · statuséén rij per eisBeleidwat u zegt te doenBeheersmaatregelwat u daadwerkelijk doetRisicoop het registerBevindinguit een gefaalde testRisicorapportageinvoerenafgedekt doorimplementeertmitigeerttest faaltverhoogtblootstellingReadiness, per eis:ingevoerdgetestonderbouwd
    • Beleid is wat u zegt te doen. Een beleidsparagraaf draagt een clausuleverwijzing (bijvoorbeeld A.5.15), en wanneer u een paragraaf omzet in een beheersmaatregel onthoudt Anzen waar die vandaan komt.
    • Beheersmaatregelen zijn wat u daadwerkelijk doet - de waarborgen. Elke maatregel is gekoppeld aan een of meer framework-eisen, zodat het framework weet welke maatregelen die eis afdekken.
    • Tests zijn het bewijs. Een test legt een pass of fail met onderbouwing vast, en dat maakt van "we hebben een maatregel" "we kunnen aantonen dat hij werkt".
    • Bevindingen zijn waar het misging. Een falende test maakt een bevinding aan, met een ernst, gekoppeld aan de maatregel.
    • Risico's zijn de bedrijfsmatige blootstelling. Maatregelen verlagen risico's, bevindingen rollen op naar de risico's die ze raken, en de Risicorapportage maakt van openstaande bevindingen een blootstelling in euro's.

    Eén beheersmaatregel voldoet dus tegelijk aan een framework-eis, implementeert een beleidsclausule, wordt bewezen door tests, mitigeert risico's, en - als hij faalt - levert een bevinding op die op de risicorapportage verschijnt. Compliance-readiness en risicoblootstelling zijn simpelweg twee zichten op dezelfde maatregelen, tests en bevindingen.

    Readiness: ingevoerd, getest, onderbouwd

    Voor elke eis die op u van toepassing is, rolt Anzen de gekoppelde maatregelen en hun laatste test op tot een van drie geneste niveaus:

    • Ingevoerd - er staat minstens één maatregel tegenover de eis.
    • Getest - ingevoerd, en minstens één van die maatregelen is daadwerkelijk getest.
    • Onderbouwd - getest, en de laatste test is een pass met bijgevoegd bewijs, dus klaar om aan een auditor te tonen.

    De kop "X van N ingevoerd / getest / onderbouwd" telt dit over de eisen die op u van toepassing zijn. Eisen die u uitsluit (met een onderbouwing) vallen buiten het totaal, en dezelfde cijfers staan op uw dashboard zodat de voortgang in één oogopslag zichtbaar is.

    Verklaring van Toepasselijkheid

    De Verklaring van Toepasselijkheid (VvT) is de tabel die centraal staat in compliance: één rij per framework-eis. Voor elke eis legt u vast of die van toepassing is, een onderbouwing (verplicht wanneer u een maatregel uitsluit, zoals auditors verwachten), de gekoppelde maatregelen en de status van hun laatste test. U bewerkt het ter plekke en het weerspiegelt altijd uw live maatregel- en testgegevens, dus het is nooit een verouderd spreadsheet. De VvT is gratis te bekijken en te onderhouden; exporteren als auditklare PDF hoort bij de Anzen Compliance add-on.

    Het begeleide traject

    Het traject brengt u in een paar stappen van niets naar auditklaar. Elke stap doet echt werk, en u kunt op elk moment stoppen en terugkomen - er gaat niets verloren, en een stap opnieuw uitvoeren voegt alleen toe wat ontbreekt:

    1. Kies een framework en voer het in. Anzen zet elke eis klaar als rij in de Verklaring van Toepasselijkheid.
    2. Bepaal de scope - de onderdelen van uw organisatie waarop het framework van toepassing is.
    3. Voer beleid in - haal de beleidssjablonen van het framework als concepten uw werkruimte in om te beoordelen en te publiceren (waar sjablonen bestaan).
    4. Genereer en koppel maatregelen - maak de maatregelen van het framework aan en koppel ze met één klik aan hun eisen.
    5. Plan bewijs in - zet tests op zodat geslaagde resultaten uw bewijs gaan opbouwen.
    6. Beoordeel en exporteer - controleer uw readiness en exporteer, met de add-on, de VvT en een bewijspakket.

    Prijs en de auditor-export

    Het compliancetraject, het readiness-dashboard en de Verklaring van Toepasselijkheid zijn gratis op elk abonnement - zo helpt Anzen u te zien waar u staat. Het betaalde deel is de Anzen Compliance add-on (€79 / maand), die de auditklare export ontgrendelt: uw Verklaring van Toepasselijkheid als PDF en een periodegebonden bewijspakket dat het daadwerkelijke bewijs voor de door u gekozen auditperiode bundelt - afgeronde beheersmaatregeltests met aftekening en bijgevoegde bestanden, het voorschrijvende beleid, het afhandelspoor van bevindingen en zelfs ITSM-tickets als operationeel bewijs - alles op uw eigen briefpapier. Activeer hem op de Add-ons-pagina. AI-opstellen van beleid en maatregelen gebeurt via de aparte Anzen Extract add-on.