Waarom aantoonbaarheid ertoe doet
De meeste IT-dienstverleners leveren goede techniek. Maar als een auditor vraagt "laat zien dat dit werkt", dan stopt het vaak. Geen rapportages, geen historische data, geen traceerbaarheid.
Dat is een probleem als je voldoet aan ISO 27001 of de Cyberbeveiligingswet. Beide vragen niet alleen dat je maatregelen hebt genomen, maar dat je kunt aantonen dat ze structureel werken. Auditors noemen dat "objective evidence" verifieerbaar bewijs dat maatregelen niet alleen op papier staan.
Bij ClickOn is aantoonbaarheid geen extra stap achteraf. Het zit verweven in hoe we je IT beheren.
Wat we rapporteren
Onze SLA-rapportages zijn opgebouwd op control-niveau, niet op KPI-niveau. Dat betekent dat we niet alleen rapporteren of we binnen de afspraken zitten, maar laten zien hoe de maatregelen in de praktijk werken.
Maandelijks rapporteren we onder andere over:
- beschikbaarheid en stabiliteit van servers en diensten
- patchniveaus, ondersteuningsstatus en lifecycle-beheer
- back-ups, retentie, encryptie en hersteltests
- MFA, Conditional Access en toegangsbeheer
- endpoint- en apparaatbeveiliging
- netwerk- en perimeterbescherming
- SOC-meldingen en opvolging (PremiumOn)
- incident- en wijzigingsafhandeling
- documentatie en configuratiebeheer
En als iets niet perfect is? Dan staat dat er ook in. Ontbrekende data, tijdelijke beperkingen of afhankelijkheden van leveranciers worden expliciet benoemd. Juist dat maakt een rapportage betrouwbaar.
Wat een auditor verwacht
Bij een ISO 27001-audit of controle vanuit de Cyberbeveiligingswet draait alles om één vraag: kun je aantonen dat je informatiebeveiliging beheerst, structureel toepast en bewaakt?
Een auditor vraagt bijvoorbeeld:
"Laat mij deze rapportage ook van drie maanden geleden zien."
"Wat gebeurt er als monitoring een afwijking detecteert?"
"Hoe weet je dat back-ups ook daadwerkelijk te herstellen zijn?"
"Is dit structureel vastgelegd, of een momentopname?"
Als je rapportages structureel zijn opgebouwd met maand-op-maand data, beantwoord je die vragen zonder te zoeken. De rapportage is het bewijs.
Onze rapportages worden daardoor in de praktijk onderdeel van het auditdossier. Niet omdat een SLA-rapportage op zichzelf een ISO-control is, maar omdat de inhoud laat zien hoe technologische maatregelen werken in de dagelijkse praktijk.
Wij schuiven aan bij je audit
Hier zit het echte verschil. De meeste IT-dienstverleners leveren de rapportages en laten je vervolgens alleen met de auditor.
Wij niet!
Bij zowel interne als externe ISO 27001-audits kunnen we aanschuiven om het technische deel toe te lichten. Vragen over patchmanagement, back-ups, EDR, toegangsbeheer of monitoring? Wij beantwoorden ze, met de rapportages als onderbouwing.
Zo hoef je als directie of ISO-verantwoordelijke niet zelf uit te leggen hoe je IT-maatregelen technisch zijn ingericht. Dat doen wij.
Audit-ondersteuning is een optionele add-on bij ons PremiumOn pakket.
Wat dit je oplevert
Grip
Je weet wat er daadwerkelijk gebeurt in je IT-omgeving. Niet op basis van aannames, maar op basis van maandelijkse data.
Rust bij audits
Audits kosten minder tijd en minder uitleg. De technische onderbouwing ligt er al en wij lichten het toe.
Bewijs op het juiste moment
Je hebt de technische onderbouwing direct beschikbaar voor je auditor, je Statement of Applicability of een klantvraag.
Vertrouwen
Gebaseerd op feiten, niet op aannames. Zowel voor jou als voor je klanten en opdrachtgevers.
Zo werken we samen
1. IT-scan: We brengen de huidige situatie in kaart – wat al aantoonbaar is en waar nog gaten zitten.
2. Inrichting: We zorgen dat de technische maatregelen staan en structureel worden vastgelegd in onze rapportages.
3. Maandelijkse rapportage: Je ontvangt een rapportage op control-niveau met maand-op-maand data.
4. Audit-ondersteuning (optioneel): Bij interne of externe audits schuiven we aan om het technische deel toe te lichten.