Onderdeel van een managementsysteem is het uitvoeren van interne audits. Organisaties zoeken naar manieren om dit te organiseren. In de praktijk komen wij hierbij vier scenario’s tegen.
Scenario 1. Pool van informatiebeveiligingsauditoren
In dit scenario wordt een pool met van medewerkers opgezet. De medewerkers worden getraind in kennis van de norm. Ook volgen zij een trainingen voor het uitvoeren van audits. Vervolgens voeren deze medewerkers door het jaar heen binnen verschillende afdelingen audits uit. Ervaringen met het auditen worden onderling gedeeld, zodat iedereen in de pool beter wordt.
Scenario 2. Externe auditor
In dit scenario is de organisatie zelf niet in staat om een pool van medewerkers voor het uitvoeren van audits op te zetten. Het is dan een bewuste keuze om een externe auditor in te huren. Dit is vaak een auditor die gekwalificeerd is en ook in staat om kennis en ervaring over te dragen.
Scenario 3. Audits combineren
In dit scenario kiest de organisatie ervoor om audits te combineren. Door bijvoorbeeld tijdens een kwaliteitsaudit ook te kijken naar de aspecten van informatiebeveiliging. De auditoren krijgen hiervoor een checklist mee die zij kunnen aflopen en invullen. Zodat er op deze wijze een beeld ontstaat van de status van informatiebeveiliging op een locatie en/of afdeling.
Scenario 4. Self assessments en veiligheidsrondes
In dit scenario kiest de organisatie ervoor om gebruik te maken van self assessments. Dit zijn geen audits zoals door de norm wordt bedoeld. Maar soms is er niet de mogelijkheid om een interne audit uit te voeren (bijvoorbeeld vanwege de Coronasituatie) en geeft een self assessment toch een beeld van de situatie op een locatie en/of afdeling.