9.1 - Monitoring, meting, analyse en evaluatie
YipYip monitort de werking van het ISMS via een controleprogramma en KPI’s. De IB-coördinator is verantwoordelijk voor het opstellen, uitvoeren en rapporteren.
Controleprogramma
Het controleprogramma draait in Jira (project: ISMS, board #133). Per controlepunt (C.01–C.17) wordt een recurring ticket aangemaakt. Na afronding wordt automatisch een nieuw ticket voor de volgende controleperiode aangemaakt.
Zie tools/jira/controleprogramma.md voor de volledige mapping van C.01–C.17 naar Annex A controls.
Soorten controles
| Soort | Beschrijving | Voorbeeld |
|---|---|---|
| Toetsen | Test of bespreking om naleving te controleren | Technische test, interview met eigenaar |
| Doornemen | Procedure walkthrough met betrokkenen | Interne audit van een proces |
| Meten | Nagaan of maatregelen effect hebben | KPI-meting, trendanalyse |
Bij afwijkingen worden maatregelen geregistreerd in het actieplan (Jira).
KPI’s
ISMS-effectiviteit
| KPI | Target | Frequentie |
|---|---|---|
| % assets met risicobeoordeling | 100% | Jaarlijks |
| % behandelplannen op schema | >90% | Maandelijks |
| Major non-conformiteiten | 0 | Jaarlijks |
| Management review gehouden | Ja | Jaarlijks |
Security operationeel
| KPI | Target | Frequentie |
|---|---|---|
| Tijd tot containment (critical incident) | <4 uur | Per incident |
| Critical patches binnen 7 dagen | 100% | Maandelijks |
| Succesvolle backups | >99.9% | Wekelijks |
| Uptime kritieke systemen | >99.9% | Maandelijks |
Awareness en toegang
| KPI | Target | Frequentie |
|---|---|---|
| Jaarlijkse training voltooid | 100% | Per kwartaal |
| MFA-dekking | 100% | Maandelijks |
| Access reviews uitgevoerd | 100% | Per kwartaal |
| Offboarding <24u afgehandeld | 100% | Maandelijks |
Monitoring-methoden
Automatisch: uptime-monitoring (real-time), backup-monitoring (dagelijks), cloud-audit logs (doorlopend), Dependabot (doorlopend)
Handmatig: KPI-verzameling (maandelijks, IB-coördinator), control reviews (kwartaal, eigenaren), controleprogramma uitvoeren (conform Jira-planning)
Analyse en evaluatie
| Frequentie | Wat | Output |
|---|---|---|
| Maandelijks | KPI-trends, open acties | Dashboard update |
| Per kwartaal | ISMS-prestaties, risico-evolutie | Kwartaalrapport aan directie |
| Jaarlijks | Totaalbeoordeling, doelstellingen review | Input directiebeoordeling |
Het controleprogramma wordt jaarlijks geëvalueerd tijdens de directiebeoordeling (09-evaluatie/9.3-directiebeoordeling.md).
Rapportage
| Rapport | Frequentie | Ontvanger |
|---|---|---|
| KPI-dashboard | Maandelijks | IB-coördinator |
| Kwartaalrapport | Per kwartaal | Directie |
| Management review input | Jaarlijks | Directie |
Gerelateerde controls
| Control | Onderwerp | Status |
|---|---|---|
| 8.15 | Logging | implemented |
| 8.16 | Monitoring | partial |
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-29