Om informatieassets te beschermen tijdens een audit MOETEN onderstaande richtlijnen in overweging worden genomen en gedocumenteerd
Stem verzoeken voor toegang tot systemen en data voor auditdoeleinden altijd af met de betreffende product owner en/of systeembeheerder.
Voer auditactiviteiten die de systeembeschikbaarheid kunnen beïnvloeden uit rekening houdende met de beschikbaarheidsklasse van de te auditen systemen/informatie.
Definieer en controleer het toepassingsgebied van technische audits.
Vanaf informatieklasse 1 (integriteit) beperk toegang tot audit records tot ‘read-only’.
Sta alleen ‘read-write’ toegang toe op geïsoleerde kopieën van systeembestanden. Verwijder deze bestanden veilig na afronding van de audit of bescherm ze adequaat indien bewaring vereist is.
Stel en verifieer beveiligingseisen voor de apparaten waarmee toegang tot systemen wordt verkregen, zoals laptops, alvorens toegang te verlenen.
Evalueer verzoeken voor aanvullende of aangepaste verwerkingen, zoals het gebruik van audittools.
Monitor en log alle toegangen voor audit- en testdoeleinden.
Zorg ervoor dat auditactiviteiten enkel worden uitgevoerd door gekwalificeerde, ervaren professionals met technische expertise en kennis van informatiebeveiliging, die daarnaast onafhankelijk zijn van de te auditen omgeving. Wees bewust dat er verschillende soorten audits zijn die worden uitgevoerd door verschillende partijen. Audit Vlaanderen is de interne auditdienst van de Vlaamse overheid en kent geen restricties. Zij hebben het mandaat om alles te bekijken en te bevragen.
Voor informatieassets met informatieklasse 5:
Pas het 4-ogenprincipe toe
Voorzie waarschuwingen (alarmen) wanneer de opslagcapaciteit voor audits is bereikt.
Voorzie real-time waarschuwingen (alarmen) bij problemen in de auditfunctie.
