Beheersmaatregelen

    Beveiligings- en compliancemaatregelen die u definieert, test en volgt

    Wat zijn beheersmaatregelen?

    Beheersmaatregelen zijn de beveiligings- en compliancemaatregelen die uw organisatie implementeert om risico te mitigeren. Elke beheersmaatregel definieert wat er moet worden gedaan (bijv. “zorg dat alle servers schijfversleuteling hebben ingeschakeld”), hoe dit te verifiëren (testprocedure), en hoe vaak het moet worden gecontroleerd. Wanneer een beheersmaatregeltest faalt, wordt automatisch een bevinding aangemaakt die direct in het risicorapport wordt opgenomen.

    Belangrijke informatie

    Elke beheersmaatregel bevat de volgende gegevens:

    • Beheersmaatregelnummer - een automatisch gegenereerde sequentiële identificator (CTL-0001, CTL-0002, enzovoort).
    • Titel - een korte naam voor de beheersmaatregel (verplicht).
    • Beschrijving - een gedetailleerde uitleg van het doel en de reikwijdte van de beheersmaatregel.
    • Testprocedure - stapsgewijze instructies voor testers om te verifiëren dat de beheersmaatregel effectief is.
    • Frameworkreferentie - een optionele verwijzing naar een complianceframework, bijv. ISO 27001 A.5.1 of SOC 2 CC6.1, met een optionele link naar de frameworkdocumentatie.
    • Testfrequentie - hoe vaak de beheersmaatregel moet worden getest (zie hieronder).
    • Review vereist - of testresultaten een tweede persoon nodig hebben om deze goed te keuren of af te wijzen.
    • Eigenaar - de gebruiker die verantwoordelijk is voor het onderhouden van deze beheersmaatregel.
    • Eigenaar-entiteit - de entiteit waartoe deze beheersmaatregel behoort.

    Mappen & Indelingsmodus

    Beheersmaatregelen kunnen worden georganiseerd in een hiërarchische mappenstructuur met behulp van categorieën. Categorieën ondersteunen nesting - bijvoorbeeld een hoofdmap voor een framework (ISO 27001) met hoofdstukmappen (A.5, A.6, A.7, A.8) eronder.

    • Mappen aanmaken - gebruik de knop “Nieuwe map” om een hoofdmap aan te maken, of het +-pictogram op een bestaande map om een submap toe te voegen.
    • Indelingsmodus - klik op de knop “Indelen” om de drag-and-dropmodus te openen. Elke beheersmaatregel wordt een versleepbare rij. Sleep een beheersmaatregel naar een mapkop om deze te verplaatsen, of sleep naar de zone “Niet gecategoriseerd” om deze uit een map te verwijderen. Klik op “Klaar” wanneer u klaar bent.
    • Sjabloonimports - bij het importeren uit de Sjabloonbibliotheek worden beheersmaatregelen automatisch in frameworkhoofstukmappen geplaatst (bijv. “ISO 27001:2022 / A.5 Organisatorische beheersmaatregelen”).
    • Maptelling - elke map toont het totale aantal beheersmaatregelen dat deze bevat, inclusief alle submappen.

    Testfrequentie

    De testfrequentie definieert hoe vaak een beheersmaatregel moet worden getest. Opties zijn dagelijks, wekelijks, maandelijks, per kwartaal en jaarlijks.

    Als er geen frequentie is ingesteld, wordt de beheersmaatregel als ad-hoc beschouwd (getest op aanvraag). De frequentie helpt auditors en complianceteams te waarborgen dat beheersmaatregelen met de vereiste regelmaat worden geverifieerd.

    Review vereist

    Wanneer review is ingeschakeld op een beheersmaatregel, doorloopt elke testuitvoering een reviewworkflow. Nadat een tester zijn resultaat heeft ingediend, moet een andere gebruiker de test goedkeuren of afwijzen voordat deze als gezaghebbend wordt beschouwd. Dit biedt vier-ogentoezicht voor kritieke beheersmaatregelen. Zie Beheersmaatregeltests voor de volledige reviewworkflow.

    Gekoppelde resources

    • Entiteit - elke beheersmaatregel behoort tot één entiteit.
    • Configuratie-items - beheersmaatregelen kunnen worden gekoppeld aan de assets die ze beschermen.
    • Bedrijfsprocessen - beheersmaatregelen kunnen worden gekoppeld aan de bedrijfsprocessen die ze beveiligen. Deze koppeling wordt gebruikt in risicoblootstellingsberekeningen.

    Testgeschiedenis

    Elke beheersmaatregel houdt een volledig logboek bij van alle testuitvoeringen. U kunt eerdere resultaten, bewijs en reviewuitkomsten bekijken vanuit de detailpagina van de beheersmaatregel. Zie Beheersmaatregeltests voor hoe tests worden aangemaakt en gereviewd.