We hebben SIEM is geen auditargument. Certificerende instellingen willen weten: welke bronnen, hoe lang bewaard, wie monitort, welke alerts worden opgevolgd en hoe dat aan incidenten koppelt.
Minimale set voor ISO 27001
- authenticatie (IdP, VPN, admin);
- autorisatie-wijzigingen en privileged access;
- kritieke systemen en netwerk (firewall, WAF, cloud audit logs);
- backup/restore en change management waar relevant.
Retentie en review
Leg bewaartermijnen vast en toon dat logs opvraagbaar zijn in steekproefperiode. Quarterly review van alert-regels. Verdieping: logging ISO 27001 en bewijslast.
Auditors in 2026 vragen steekproeven op privileged access logs: wie heeft admin-rechten gewijzigd, was dat goedgekeurd via change proces en binnen welke tijd werd afwijkend gedrag gealert? Zonder die keten lijkt logging decoratief.
SIEM buiten de EU voor aggregatie raakt datasoevereiniteit en AVG — documenteer regio, subverwerkers en encryptie in leveranciersregister en SoA. Enterprise-klanten en toezicht vragen daar expliciet naar.
False positives en alert-fatigue zijn auditthema: toon dat u quarterly rules reviewt en dat kritieke alerts een documented response hebben — wie on-call is en binnen welke SLA tickets worden geopend.
Van logbron naar auditsteekproef
Begin met een overzicht van logbronnen per systeem: welke bron levert welk event, wie beheert de connector en wat is de fallback als de bron uitvalt? Auditors pikken één kritiek systeem en volgen de keten van bron tot SIEM of centrale opslag. Gaten in die keten leiden vaker tot bevindingen dan een te kleine licentie.
Leg in het controleplan vast wie verantwoordelijk is voor monitoring buiten kantooruren. On-call zonder gedocumenteerde SLA is in surveillance vaak onvoldoende. Koppel alert-afhandeling aan tickets zodat u in de steekproefperiode kunt tonen: alert → ticket → actie → sluiting.
Cloud-auditlogs (Microsoft 365, AWS, Azure) horen in dezelfde retentie- en reviewcyclus als on-prem firewalls. Veel organisaties vergeten SaaS-bronnen in de SoA — terwijl daar juist de meeste identiteits- en datatoegang plaatsvindt.
Test jaarlijks of u logs kunt exporteren binnen de tijd die uw incidentproces vereist. Een restore-oefening voor logging is net zo nuttig als een restore-oefening voor back-ups.
Maak voor surveillance een sample pack: één week logs per bron met uitleg wie destijds on-call was. Auditors waarderen voorbereiding meer dan perfecte tooling. Documenteer ook welke logs u bewust niet centraliseert — met risico-motivatie in de SoA.
Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.