Wat is audit evidence?
Control owner vs evidence owner draait om aantonen dat je ISMS niet alleen op papier bestaat. Auditors steekproeven op beleid → uitvoering → monitoring. Evidence zijn versies, tickets, logextracties, screenshots (data-minimal), goedkeuringen en meetingnotulen met besluiten.
Control owner vs evidence owner
De control owner ontwerpt en onderhoudt de maatregel; de evidence owner levert het bewijs op tijd. Zonder scheiding verzandt security in ad-hoc zoeken. In ISO Ready koppel je acties, uploads en deadlines aan controls of risico’s.
Interne audit en CAP
Interne audit is je generale repetitie. Corrective action plans (CAP) moeten oorzaak, eigenaar, deadline en verificatie bevatten. Sluit major non-conformities vóór de externe audit — anders betaal je dubbel.
Veelgemaakte fouten
Map vol met PDF’s zonder verhaal; bewijs ouder dan het beleid; geen spoor tussen risico en control; management review zonder besluiten; evidence alleen in mail.
Controlelijst
- Evidence-map per control/risico
- Eigenaren en reviewcadans
- Interne audit met steekproeven
- CAP bijhouden tot verificatie
- Management review met besluiten
Praktische vervolgstap
Voor control owner evidence owner helpt ISO Ready om acties, bewijs, risico’s en leveranciers in één lijn te houden richting audit of toezicht. Start met de readiness-scan op iso-ready.nl.
Geen certificeringsgarantie — je houdt eigenaarschap op scope, risico’s en besluiten.
Verdieping in dit cluster
- Controls Effectief Bewijzen
- Audit Evidence Iso 27001
- Iso 27001 Management Review
- Risicoregister Voorbeeld
- Business Continuity Iso
- Iso 27701 Privacy Management