Een beleidsstuk of een doorwrochte risicoanalyse is pas echt waardevol als hij ook in de techniek zichtbaar wordt. In trajecten rondom ISO 27001 — en het verwante NEN 7510 — zien wij dat veel organisaties de papierkant op orde hebben, maar dat de vertaling naar de feitelijke ICT-omgeving achterblijft.
Begin niet bij de techniek — maar ga er wel naartoe
Een veelgemaakte fout is dat een organisatie meteen de tooling induikt. Wij beginnen met de scope (Statement of Applicability), de werkelijke architectuur en de aantoonbaarheid voor de auditor.
Drie veelvoorkomende beheersmaatregelen
1. Toegangsbeheer
Rollen en groepen in Entra ID, voorwaardelijke toegang met MFA, Privileged Identity Management en periodieke access reviews.
2. Veilige werkplek
CIS-hardening voor Windows, macOS en Linux via Microsoft Intune, Jamf of JumpCloud, geautomatiseerd patchbeheer en zero-touch on- en offboarding.
3. Logging en monitoring
Een baseline van Microsoft 365 en Entra ID audit logs, centrale endpoint- en netwerklogs en een korte set bruikbare alerts.
Heeft u zelf een traject in voorbereiding? Wij denken graag mee — pragmatisch en zonder hype.