# Audit Bewijsset

## Overzicht

Dit document beschrijft de standaard audit bewijsset die Noveu levert voor compliance audits en certificeringen.

## Bewijscategorieën

### 1. Governance & Organisatie

| Bewijs | Beschrijving | Frequentie |
|--------|--------------|------------|
| Security Policy | Actueel security beleid | Jaarlijks |
| ISMS Scope | Scope van informatiebeveiliging | Jaarlijks |
| Risk Register | Geïdentificeerde risico's en mitigaties | Kwartaal |
| Management Review | Notulen management review | Halfjaarlijks |
| Roles & Responsibilities | RACI matrix security | Jaarlijks |

### 2. Toegangsbeheer

| Bewijs | Beschrijving | Frequentie |
|--------|--------------|------------|
| User Access List | Alle gebruikers en rechten | On demand |
| Admin Account List | Geprivilegieerde accounts | Maandelijks |
| Access Reviews | Periodieke rechtenreviews | Kwartaal |
| MFA Coverage | Percentage MFA-enabled | Maandelijks |
| Password Policy | Wachtwoordvereisten | Jaarlijks |
| Session Logs | Login/logout events | Dagelijks |

**Voorbeeld Export (Users):**
```csv
UserId,Email,Department,Role,MFAEnabled,LastLogin,Created
u001,jan@example.com,IT,Admin,true,2026-01-15,2025-06-01
u002,lisa@example.com,Finance,User,true,2026-01-14,2025-07-15
```

### 3. Infrastructuur & Netwerk

| Bewijs | Beschrijving | Frequentie |
|--------|--------------|------------|
| Network Diagram | Actuele architectuur | Jaarlijks |
| Firewall Rules | Regelset per zone | Kwartaal |
| Hardening Status | Compliance met baselines | Maandelijks |
| Patch Status | Vulnerability en patch levels | Wekelijks |
| Encryption Status | Encryptie configuratie | Maandelijks |

**Voorbeeld Export (Patch Status):**
```json
{
  "reportDate": "2026-01-15",
  "systems": [
    {
      "hostname": "app-server-01",
      "os": "Ubuntu 22.04",
      "patchLevel": "current",
      "criticalVulns": 0,
      "highVulns": 2,
      "lastScan": "2026-01-14"
    }
  ],
  "summary": {
    "totalSystems": 50,
    "fullyCurrent": 48,
    "pendingPatches": 2
  }
}
```

### 4. Operaties & Monitring

| Bewijs | Beschrijving | Frequentie |
|--------|--------------|------------|
| Uptime Reports | Beschikbaarheid per service | Maandelijks |
| Incident Log | Alle security incidents | On demand |
| Change Log | Alle wijzigingen | On demand |
| Backup Reports | Backup success/failure | Wekelijks |
| DR Test Results | Disaster recovery tests | Halfjaarlijks |

### 5. Vendor & Supply Chain

| Bewijs | Beschrijving | Frequentie |
|--------|--------------|------------|
| Subprocessor List | Alle leveranciers | Kwartaal |
| Vendor Assessments | Security beoordelingen | Jaarlijks |
| Contracts | DPAs en security addenda | On demand |

### 6. Awareness & Training

| Bewijs | Beschrijving | Frequentie |
|--------|--------------|------------|
| Training Records | Wie wat wanneer getraind | On demand |
| Phishing Results | Resultaten phishing tests | Kwartaal |
| Policy Acknowledgments | Ondertekende policies | Jaarlijks |

## Framework Mappings

### NIS2

| NIS2 Artikel | Bewijscategorie | Documenten |
|--------------|-----------------|------------|
| Art. 21(a) - Risicoanalyse | Governance | Risk Register |
| Art. 21(b) - Incidentbeheer | Operaties | Incident Log, Runbooks |
| Art. 21(c) - Continuïteit | Operaties | DR Test Results, Backup Reports |
| Art. 21(d) - Supply chain | Vendor | Subprocessor List, Assessments |
| Art. 21(e) - Netwerk security | Infrastructuur | Firewall Rules, Hardening |
| Art. 21(f) - Toegangsbeheer | Toegangsbeheer | Access Reviews, MFA Coverage |
| Art. 21(g) - Cryptografie | Infrastructuur | Encryption Status |

### BIO

| BIO Controle | Bewijscategorie | Documenten |
|--------------|-----------------|------------|
| 9.x - Toegang | Toegangsbeheer | User Lists, Access Reviews |
| 11.x - Fysiek | Infrastructuur | DC Audit Reports |
| 12.x - Operaties | Operaties | Change Log, Incident Log |
| 14.x - Ontwikkeling | - | SDLC Documentation |
| 16.x - Incidenten | Operaties | Incident Log, Runbooks |
| 18.x - Compliance | Governance | Audit Reports |

### ISO 27001

| ISO Clause | Bewijscategorie | Documenten |
|------------|-----------------|------------|
| A.5 - Policies | Governance | Security Policy, ISMS Scope |
| A.6 - Organization | Governance | Roles & Responsibilities |
| A.7 - HR | Training | Training Records |
| A.8 - Asset Mgmt | Infrastructuur | Asset Register |
| A.9 - Access | Toegangsbeheer | All access documentation |
| A.12 - Operations | Operaties | All operations logs |
| A.16 - Incident | Operaties | Incident Log |
| A.18 - Compliance | Governance | Audit Reports |

## Standaard Deliverables

### Per Audit

| Document | Formaat | Inhoud |
|----------|---------|--------|
| Executive Summary | PDF | Samenvatting status |
| Full Evidence Pack | ZIP | Alle documenten |
| Control Matrix | Excel | Status per controle |
| Gap Analysis | PDF | Bevindingen en aanbevelingen |

### Self-Service Portal

Via het Compliance Console:
1. Selecteer framework
2. Selecteer periode
3. Genereer rapport
4. Download evidence pack

## Exportformaten

| Type | Formaat | Gebruik |
|------|---------|---------|
| Reports | PDF | Management, auditors |
| Data | CSV/JSON | Analyse, SIEM |
| Logs | JSON/Syslog | Security tools |
| Evidence | ZIP | Complete pack |

## Voorbeeld Evidence Pack Structuur

```
audit-evidence-2026-Q1/
├── README.md
├── executive-summary.pdf
├── control-matrix.xlsx
│
├── 01-governance/
│   ├── security-policy-v2.3.pdf
│   ├── risk-register-q1.xlsx
│   └── management-review-notes.pdf
│
├── 02-access-control/
│   ├── user-list-20260115.csv
│   ├── admin-accounts.csv
│   ├── access-review-q1.pdf
│   └── mfa-coverage-report.pdf
│
├── 03-infrastructure/
│   ├── network-diagram.pdf
│   ├── firewall-rules.json
│   ├── hardening-report.pdf
│   └── patch-status.json
│
├── 04-operations/
│   ├── uptime-report-jan.pdf
│   ├── incident-log-q1.csv
│   ├── change-log-q1.csv
│   └── backup-reports/
│
├── 05-vendor/
│   ├── subprocessor-list.xlsx
│   └── vendor-assessments/
│
└── 06-training/
    ├── training-records.csv
    └── phishing-results-q1.pdf
```

## Retentie

| Document Type | Retentie | Reden |
|---------------|----------|-------|
| Audit packs | 7 jaar | Wettelijk |
| Access logs | 2 jaar | Security |
| Policies | 5 jaar na vervanging | Context |
| Incident reports | 7 jaar | Wettelijk |
| Training records | Duur dienstverband + 2 jaar | HR |

## Contact

**Audit Requests**: compliance@noveu.eu

**Turnaround Times:**
- Standaard audit pack: 5 werkdagen
- Custom requests: 10-15 werkdagen
- Urgente requests: Overleg

---

*Laatste update: Januari 2026*  
*Evidence packs worden per klant gegenereerd*