258 Management
258 Management, CISO as a Service
Kennismaken?
Download Profiel

Onafhankelijke audits
NEN 7510, ISO 27001


Audit as a Service

Onafhankelijke audits

NEN 7510 en ISO 27001

Een werkbespreking, geen examen.

Veel directies tekenen elk jaar het beleid voor informatiebeveiliging af zonder echt te weten of het werkt. Het managementsysteem staat op papier, de risicoanalyses zijn ingevuld, de medewerkers zijn ingelicht. En toch komen er bevindingen bij de externe auditor. Niet omdat het beleid slecht is, maar omdat niemand het systeem ooit kritisch heeft getoetst.

Een interne audit door een onafhankelijke buitenstaander vangt dat op.


Wat ik doe

Ik voer onafhankelijke interne audits uit tegen ISO 27001:2022 en NEN 7510-1:2024. De audit toetst zowel de documentatie als de praktijk. U krijgt een rapportage met een toepasbaarheidsverklaring per beheersmaatregel, drie tot vijf concrete verbeterpunten en een onderbouwd oordeel dat uw certificerende instantie herkent.

De aanpak is pragmatisch en proportioneel. Niet zwaarder dan nodig, ook niet lichter dan verantwoord.


Drie varianten

Audit ISO 27001

Voor softwarebedrijven, dienstverleners en MKB-organisaties die certificering nodig hebben omdat klanten erom vragen of voor aanbestedingen.

Audit NEN 7510

Voor zorginstellingen — gehandicaptenzorg, GGZ, ouderenzorg, eerstelijnszorg, kleinere ziekenhuizen — die hun managementsysteem voor informatiebeveiliging willen toetsen.

Combi ISO 27001 + NEN 7510

Voor softwareleveranciers in de zorg en organisaties met geïntegreerde managementsystemen. Veel beheersmaatregelen overlappen, dus een combi-audit is efficiënt.


Hoe het werkt

Het auditproces bestaat uit vijf stappen, verspreid over zes tot acht weken:

  1. Voorbereiding — kick-off met directie, scope vaststellen, documenten opvragen (1 dag)
  2. Deskresearch — beleid, procedures, risicoregister, Verklaring van Toepasselijkheid (2 dagen)
  3. Veldwerk — interviews op locatie, steekproeven, observatie (2 tot 3 dagen)
  4. Rapportage — bevindingen uitwerken, concept ter wederhoor (2 dagen)
  5. Afsluiting — eindrapport, presentatie aan stuurgroep, nazorg (1 dag)

Totaal: zes tot negen dagen werk van mij. Voor uw organisatie is de inzet ongeveer vier tot vijf dagdelen, verdeeld over de doorlooptijd.












Waarom dit nu telt

Drie ontwikkelingen versterken de vraag in 2026:

Cyberbeveiligingswet (Q2 2026)

De Tweede Kamer nam op 15 april 2026 de Cyberbeveiligingswet aan. Cyberveiligheid wordt formeel een bestuurstaak. Bij ernstige nalatigheid is persoonlijke aansprakelijkheid voor bestuurders mogelijk. Een werkend ISMS volgens ISO 27001 of NEN 7510 dekt het overgrote deel van de zorgplicht af.

Cyber Resilience Act (vanaf 11 september 2026)

Voor softwareleveranciers verplicht een 24-uurs meldplicht voor actief misbruikte kwetsbaarheden. Klanten gaan dit doorvragen aan hun software-leveranciers.

Aanbestedingen in de zorg

Gemeenten verlangen steeds vaker NEN 7510-certificering bij Wmo- en Jeugdwet-aanbestedingen. Wie nu begint, is op tijd voor de eerstvolgende ronde.


Wat krijgt u?

Voor de directie:

  • Een onafhankelijk oordeel over uw informatiebeveiliging, geschikt voor de directiebeoordeling
  • Onderbouwing voor de zorgplicht onder de Cyberbeveiligingswet
  • Drie tot vijf concrete verbeterpunten, geprioriteerd op risico en haalbaarheid
  • Vertrouwen om de externe auditor zonder verrassingen te ontvangen

Voor de organisatie:

  • Een herkenbaar rapport dat aansluit op de structuur van NEN 7510 of ISO 27001
  • Toepasbaarheidsverklaring per beheersmaatregel
  • Bewijslast voor de externe certificeringsaudit
  • Kennisoverdracht: uw medewerkers leren wat een audit echt inhoudt


" een verfrissende aanpak met snel resultaat,
precies wat mijn opdrachtgever eiste bij het verstrekken van een nieuw mantelcontract"


Over de auditor

Mijn naam is Guido Palm. Ik werk al meer dan 35 jaar in IT en informatiebeveiliging. Gecertificeerd C|CISO, CISA, CISM en CRISC.  


Ik werk als interim CISO en als auditor. Klanten in de afgelopen jaren waren onder andere Basic Pharma (farmaceutische industrie, GMP en ISO 27001), Stichting PSW (gehandicaptenzorg, NEN 7510) en Zuyderland Care (NEN 7510-nulmeting).

Mijn aanpak is bedrijfskundig. Normen zijn middelen, geen doel. Wat telt is dat het systeem in uw organisatie echt werkt — niet dat er een vinkje gezet wordt.


Een kennismakingsgesprek

Een gesprek geeft u snel duidelijkheid: past deze audit bij uw organisatie? Wat is de juiste scope? Welke variant past het best?

Plan een gesprek via de ""Plan een afspraak" knop, of stuur een e-mail naar info@258-management.nl. Bellen mag ook: +31 6 5269 8063.

Een offerte met vaste fixed price ontvangt u binnen drie werkdagen na het gesprek.

Whitepaper
Meer weten?
Plan een afspraak
258 Management, CISO as a Service
unsplash