Meteen naar de inhoud
ISMS.online

A.5.36 Naleving van beleid, regels en normen voor informatiebeveiliging – MSP Assurance

A.5.36 legt de lat hoger voor MSP's en eist bewijs dat informatiebeveiligingsbeleid daadwerkelijk wordt nageleefd – en niet alleen gedocumenteerd. Klanten en besturen willen de zekerheid dat uw controlemechanismen werken in de praktijk, in alle tools en teams. Wanneer u beleid, personeelsacties en bewijs op elkaar afstemt, bouwt u vertrouwen op, vermindert u het risico voor derden en onderscheidt u zich op een gereguleerde markt.

Auteur
Mark Sharron
Bijgewerkt december 1, 2025
4 / 5 sterren

Waarom A.5.36 van belang is voor MSP's die beheerde beveiligingsdiensten leveren

A.5.36 is van belang voor managed service providers omdat het test of uw beveiligingsregels daadwerkelijk worden nageleefd in de praktijk, en niet alleen op papier, en vereist bewijs dat uw mensen en systemen deze regels in hun dagelijkse werk volgen. U kunt zich niet langer verschuilen achter een beleidsbibliotheek; het verwacht van u dat u aantoont dat beleid, standaarden en regels worden begrepen, toegepast en gecorrigeerd wanneer dat niet het geval is, zowel in uw interne omgeving als in de services die u voor klanten uitvoert, en dat over meerdere tools, teams en tijdzones heen.

De informatie hier is algemeen en vormt geen juridisch, regelgevend of certificeringsadvies. Voor beslissingen over uw organisatie dient u gekwalificeerde professionals en de door u gekozen certificeringsinstantie te raadplegen.

Op hoog niveau vereist ISO/IEC 27001:2022 controle A.5.36 dat u drie dingen doet:

  • Definieer het informatiebeveiligingsbeleid, de regels en de normen die van toepassing zijn in uw organisatie.
  • Controleer regelmatig of mensen en activiteiten zich hieraan houden.
  • Onderneem actie als dat niet gebeurt en bewaar bewijs dat dit allemaal gebeurt.

Voor de meeste organisaties is dat een uitdaging. Voor een MSP die beheerde beveiligingsdiensten levert, is het veel lastiger. U bent niet alleen verantwoordelijk voor uw eigen personeel en systemen; u werkt ook binnen klantomgevingen, met klantgegevens, volgens klantbeleid en sectorvoorschriften. Uw "regels en standaarden" omvatten al snel:

  • Uw eigen informatiebeveiligingsbeleid en onderwerpspecifieke normen.
  • Beveiligingsschema's voor klanten, clausules voor acceptabel gebruik en vereisten voor gegevensverwerking.
  • Externe standaarden waar u zich aan committeert, zoals configuratiebasislijnen of branchespecifieke gedragscodes.

Een meerderheid van de respondenten van het ISMS.online State of Information Security-onderzoek uit 2025 gaf aan dat zij in het afgelopen jaar te maken hadden gehad met ten minste één beveiligingsincident van een derde partij of leverancier.

Als u diensten levert zoals een Security Operations Center (SOC), beheerde detectie en respons, kwetsbaarheidsbeheer of endpointbeheer, zien klanten A.5.36 steeds vaker als hun haakje om te vragen: "Hoe weten we dat u uw eigen regels en de onze volgt – en wat gebeurt er als u dat niet doet?"

Dat is een van de redenen waarom besturen en investeerders nu strengere vragen stellen over de governance van MSP's. Brancheonderzoek naar ISO 27001 en bredere cyberrisico's wijst ook op een toegenomen toezicht op beveiliging en governance op bestuursniveau, met name rond externe leveranciers en outsourcers. Dit weerspiegelt een bredere verschuiving in verwachtingen over hoe risico's worden beheerd. Eén onjuiste regel in uw SOC of platform voor remote monitoring en management (RMM) kan meerdere klanten tegelijk schade toebrengen. Daarom willen ze de zekerheid dat uw gedocumenteerde controles aansluiten op de operationele realiteit. Onafhankelijke analyse van cyberweerbaarheid en de menselijke factor benadrukt eveneens hoe zwakheden in gedeelde platforms of processen de impact van individuele fouten in veel organisaties kunnen versterken, met name waar menselijk gedrag en procesdiscipline cruciaal zijn.

Een platform zoals ISMS.online kan u helpen door u één plek te bieden waar u uw beleid en normen kunt definiëren, deze kunt koppelen aan diensten, verantwoordelijkheden kunt toewijzen en kunt koppelen aan concreet bewijs uit audits, reviews en operationele tools. Dat neemt de noodzaak tot zelfwerkzaamheid niet weg, maar het maakt de relatie tussen "wat we zeggen" en "wat we kunnen bewijzen" zichtbaar en beheersbaar.

Compliance levert vertrouwen op als uw bewijsmateriaal laat zien wat er werkelijk gebeurt, en niet wat u hoopt dat er gebeurt.

Wat A.5.36 in feite vereist in begrijpelijke taal

A.5.36 vereist dat u de beveiligingsregels duidelijk houdt, controleert of mensen ze naleven en problemen oplost wanneer dat niet het geval is, en dat u auditors en klanten kunt laten zien dat deze lus in de praktijk werkt door middel van tastbaar bewijs, niet alleen met intenties. In de praktijk betekent dit dat u aantoont dat de naleving van uw informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels, regels en normen regelmatig wordt beoordeeld en dat niet-naleving op passende wijze wordt afgehandeld als onderdeel van een actieve controlelus die regels, gedrag, controles en verbeteringen met elkaar verbindt.

Voor een MSP ziet die lus er doorgaans als volgt uit:

  • Bepalen: U hanteert een helder en actueel reglement dat van toepassing is op uw personeel, contractanten en, indien relevant, de omgeving van uw klanten.
  • Communiceren: Mensen kennen de regels en maken zich er via trainingen, briefings en onboarding bewust van.
  • Monitor: Met technische monitoring, procescontroles en interne audits controleert u of de regels worden nageleefd.
  • Reageren: Wanneer u constateert dat er sprake is van non-compliance, registreert u dit, beoordeelt u de impact en onderneemt u indien nodig corrigerende of disciplinaire maatregelen.
  • Verbeteren: U onderzoekt patronen van niet-naleving en past beleid, trainingen of controles aan.

Auditors verwachten geen perfectie. Ze verwachten een gecontroleerde, onderbouwde cyclus. Zakelijke klanten verwachten hetzelfde, vooral wanneer uw service deel uitmaakt van hun kritieke infrastructuur of regelgeving. A.5.36 sluit direct aan bij de Plan-Do-Check-Act-cyclus van ISO 27001: u plant de regels, voert controles uit, controleert de naleving en handelt naar aanleiding van wat u leert.

Waarom de controle zwaarder weegt voor MSP's

A.5.36 is een zwaardere uitdaging voor MSP's, omdat kleine zwakke punten in de handhaving van regels zich kunnen uitbreiden naar meerdere services en klanten. Als uw interne governance losjes is, kan één zwakke standaard of uitzondering in één keer meerdere beheerde beveiligingsoplossingen ondermijnen.

Voor veel providers brengt A.5.36 een verborgen mismatch aan het licht: verkoop en contracten beloven één niveau van controle, beleid beschrijft een ander niveau en operations levert iets heel anders. Omdat uw services multi-tenant en toolgestuurd zijn, kunnen zwakke punten zich snel verspreiden:

  • Een lakse beheerdersaccountregel in uw eigen omgeving kan elke beheerde beveiligingsservice die u levert, verzwakken.
  • Een patchstandaard die niet consistent wordt toegepast door alle klanten, kan leiden tot herhaalde bevindingen bij klantaudits.
  • Een gedeeld runbook dat niet wordt bijgewerkt wanneer het beleid verandert, kan ongemerkt niet meer aan de regels voldoen.

Ongeveer 41% van de organisaties in de ISMS.online-enquête van 2025 noemde het beheersen van risico's van derden en het bijhouden van de naleving door leveranciers als een van hun grootste uitdagingen op het gebied van informatiebeveiliging.

Klanten en toezichthouders zijn zich hier steeds meer van bewust. Ze gebruiken vragen die aansluiten bij A.5.36 om te onderzoeken hoe u uw personeel en onderaannemers aanstuurt, hoe u de naleving van regels in multi-tenant tools bewaakt en hoe u omgaat met uitzonderingen. Een oppervlakkig antwoord - we hebben een beleid en we trainen personeel - voldoet niet meer.

Door A.5.36 te behandelen als een kerncontrole voor MSP-governance, in plaats van een strikte documentatievereiste, krijgt u de kans om beloftes, beleid en werkwijzen op elkaar af te stemmen. Wanneer u die afstemming betrouwbaar kunt aantonen, wordt dit een onderscheidend kenmerk in concurrerende biedingen, vooral voor klanten die hun MSP's als onderdeel van hun eigen regelgevingskader beschouwen.

Demo boeken


De pijn: point-in-time, alleen op papier gebaseerde naleving voor MSP's

Conformiteit op het moment zelf, met veel papier, zorgt ervoor dat u audits met succes aflegt, terwijl de reële risico's, kosten en stress tussen beoordelingsdata ongemerkt toenemen. Richtlijnen van Europese cybersecurityorganisaties over ISO 27001 waarschuwen dat checklistgestuurde of puur auditgerichte benaderingen vaak operationele risico's en stress achterlaten, omdat ze niet weerspiegelen hoe systemen en services zich gedragen tussen formele beoordelingen. Het concentreert de inspanning in korte periodes in plaats van het opzetten van routinematige controles die de naleving het hele jaar door volgen.

Als u eerlijk bent over de manier waarop u momenteel met A.5.36 omgaat, is de kans groot dat de meeste inspanning bestaat uit korte, intensieve sessies rondom externe audits, klantbeoordelingen of belangrijke RFP's, en niet zozeer uit de dagelijkse werkzaamheden.

Een typisch patroon ziet er als volgt uit: meerdere keren per jaar laten uw security- en operationsmanagers alles vallen om bewijsmateriaal te verzamelen. Ze jagen op exporteerbare rapporten van ticketing-, RMM- en SIEM-tools (Security Information and Event Management), halen trainingslogs op uit HR-systemen en maken presentaties op maat voor specifieke klanten. Buiten deze piekmomenten vindt er weinig systematische controle plaats, afgezien van wat individuele engineers en managers zich herinneren.

Deze aanpak brengt verschillende kosten met zich mee. Het kost tijd die besteed had kunnen worden aan het verbeteren van de controles. Het is sterk afhankelijk van een paar sleutelfiguren. Het verbergt echte zwakheden achter momentopnames die op de dag zelf acceptabel lijken. Het stelt je ook kwetsbaar op als een klant of toezichthouder op korte termijn om zekerheid vraagt.

Compliance die pas tijdens een audit aan het licht komt, houdt meestal geen rekening met de daadwerkelijke uitvoering van uw dienstverlening.

Waar point-in-time-naleving tekortschiet

Point-in-time bewijs blijft onderdeel van externe audits en due diligence-onderzoeken, maar het vertrouwen erop als primair assurance-model laat voorspelbare hiaten achter, en voor MSP's komen drie zwakke punten steeds weer naar voren. Het meest voor de hand liggend is dat point-in-time naleving ervoor zorgt dat overtredingen van regels lange tijd onopgemerkt blijven: incidenten en non-conformiteiten hebben vaak betrekking op bekende regels die niet werden nageleefd, omdat de regels weliswaar bestonden, maar er geen regelmatige, risicogebaseerde controles plaatsvonden.

Afhankelijkheid van last-minute heldendaden en versnipperd bewijs is een andere zwakte. Compliance is afhankelijk van een handvol engineers en managers die, naast hun normale werk, het juiste doen, zonder gestructureerde prompts of controles. Ze halen artefacten uit verspreide tools en zetten ze in haastig samengestelde pakketten. Wanneer die mensen vertrekken, ziek worden of overbelast raken, verslechteren de controles langzaam en wordt het verhaal dat je aan klanten vertelt moeilijker te reconstrueren.

Als u actief bent in sterk gereguleerde sectoren, of klanten bedient die dat doen, kunnen deze zwakke punten bijdragen aan gemiste deals, ernstigere auditbevindingen of uitgebreide herstelplannen, vooral wanneer ze samenvallen met andere tekortkomingen in het beheersplan of toezicht. Zelfs in minder gereguleerde markten vergroten ze de kans dat een klant uw professionaliteit in twijfel trekt als u moeite heeft aan te tonen hoe u uw eigen regels handhaaft.

Het erkennen van deze pijnpunten is ongemakkelijk, maar het legt de basis voor een andere manier van denken over A.5.36: niet als een incidentele hindernis, maar als een voortdurende discipline die klanten en uw eigen reputatie beschermt.

Verborgen kosten in mensen, tools en klantvertrouwen

De verborgen kosten van point-in-time compliance komen tot uiting in mensen, tools en relaties. Teams ervaren compliancewerk als onvoorspelbare last-minute druk, wat het moreel ondermijnt en de perceptie versterkt dat regels overbodig zijn en geen onderdeel van goede engineering- en servicepraktijken. Na verloop van tijd leidt die perceptie tot burn-outs en personeelsverloop in belangrijke functies.

Veel middelgrote MSP's geven bijvoorbeeld aan dat ze veel tijd – vaak wekenlang – besteden aan het handmatig verzamelen van logs, screenshots en trainingsrecords vóór een belangrijke RFP of klantenaudit. Het werk is stressvol, de resultaten zijn moeilijk te hergebruiken en het team komt naar buiten met weinig besef dat er iets is verbeterd in de manier waarop de services daadwerkelijk worden uitgevoerd.

Er zijn ook toolingkosten. MSP's investeren fors in Professional Services Automation (PSA), RMM, SIEM, identiteits- en loggingplatforms. Als het bewijs dat u voor A.5.36 levert voornamelijk uit spreadsheets en screenshots bestaat, haalt u niet de volledige zekerheid uit die tools. Mogelijk betaalt u zelfs twee keer: één keer voor de tools en nog een keer voor de handmatige inspanning om relevante informatie te extraheren en te combineren.

Uit het ISMS.online-onderzoek van 2025 blijkt dat klanten steeds vaker van hun leveranciers verwachten dat zij zich houden aan formele kaders zoals ISO 27001, ISO 27701, AVG, Cyber ​​Essentials, SOC 2 en opkomende AI-normen.

Klanten merken het eindelijk. Beveiligingsvragenlijsten vragen tegenwoordig vaak niet alleen: "Hebt u een beleid?", maar ook: "Hoe controleert u de naleving ervan?" en "Welke statistieken houdt u bij?" De berichtgeving in gespecialiseerde publicaties over beveiliging en governance laat hetzelfde patroon zien: steeds meer inkoop- en risicoteams vragen hoe controles worden gehandhaafd en gemeten, in plaats van dat ze het bij simpele ja/nee-beleidsvragen houden. Als uw antwoorden vaag zijn, of als u zonder wekenlange voorbereiding geen voorbeelden kunt geven, zullen risico- en inkoopteams hun eigen conclusies trekken over uw volwassenheid.

Afstappen van het punt-in-de-tijd-denken betekent accepteren dat sommige regels niet perfect zullen worden nageleefd, maar erop staan ​​dat afwijkingen zichtbaar, verklaarbaar en gebruikt worden om verbetering te stimuleren in plaats van verborgen te blijven tot de volgende audit. Die verschuiving is wat continue assurance beoogt te ondersteunen.



ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Herkaderen: van statische naleving naar continue zekerheid

Door A.5.36 te herformuleren als een ontwerpprobleem, verandert het van een jaarlijks checkboxje in een beheersbaar onderdeel van uw MSP-activiteiten. In plaats van te vragen hoe u de volgende audit overleeft, vraagt ​​u zich af hoe u een redelijk niveau van voortdurende zekerheid in uw dagelijkse werkzaamheden kunt inbouwen.

Continue borging betekent niet dat elke regel in realtime in elk systeem moet worden gemonitord. Het betekent dat verstandige cadansen en mechanismen moeten worden gekozen, zodat belangrijke regels vaak genoeg worden gecontroleerd, controles worden ingebed in normale workflows en tools en bewijs wordt verzameld als een bijproduct van het werk in plaats van als een aparte rapportage.

Een ruime meerderheid van de organisaties die deelnamen aan het ISMS.online State of Information Security-onderzoek van 2025 gaf aan dat de snelheid en omvang van de veranderingen in de regelgeving het moeilijker maken om aan de regelgeving te voldoen.

Deze mentaliteit sluit goed aan bij de structuur van ISO 27001 zelf. De norm vraagt ​​u al om uw managementsysteem te plannen, te beheren, te monitoren en te verbeteren. A.5.36 richt zich in die cyclus op de vraag of u uw eigen regels en normen volgt, en of u reageert wanneer dat niet het geval is.

Een kleine vergelijking maakt de verschuiving duidelijker. Point-in-time compliance concentreert de inspanning op een paar stressvolle piekmomenten en laat lange periodes met weinig zichtbaarheid achter. Continue assurance spreidt de inspanning, vermindert verrassingen en maakt het gemakkelijker om problemen vroegtijdig te signaleren. De onderstaande tabel vat de belangrijkste verschillen samen.

Afmeting Point-in-time-naleving Continue zekerheid
Cadans Piekmomenten vóór audits en grote vragenlijsten Regelmatige, risicogebaseerde controles gedurende het jaar
Inspanningsprofiel Handmatige, stressvolle uitbarstingen Kleinere, voorspelbare activiteiten in normale stromen
Risicoblootstelling Gaten tussen audits blijven gemakkelijk onopgemerkt Afwijkingen kwamen sneller aan het licht en werden sneller opgelost
Bewijs kwaliteit Gereconstrueerd uit verspreide bronnen Gegenereerd als onderdeel van routinematig werk en monitoring

Het doel is niet perfectie, maar een eenvoudige lus die meestal werkt en kan worden uitgelegd aan auditors, klanten en interne stakeholders. Wanneer u die lus zorgvuldig ontwerpt, vermindert u stress en voelt naleving van het beleid als onderdeel van het uitvoeren van goede services, niet als een extra project.

Hoe continue zekerheid er in de praktijk uitziet

Continue assurance koppelt uw regels, controles, bewijs en beslissingen aan elkaar, zodat ze elkaar versterken. Elk onderdeel van de cyclus kan worden aangepast naarmate uw dienstverlening zich ontwikkelt.

Een eenvoudig patroon maakt gebruik van vier bouwstenen:

  • Ingangen: Beleid, normen en klantvereisten die definiëren hoe dingen gedaan moeten worden.
  • Controleactiviteiten: Technische controles en procedurele stappen die deze regels in het dagelijkse werk verankeren.
  • Bewijsstukken: Logboeken, tickets, rapporten en aftekeningen die laten zien wat er daadwerkelijk is gebeurd.
  • Feedbacklussen: Bestuursforums, risicoregisters en managementbeoordelingen die de bevindingen gebruiken om veranderingen door te voeren.

Een regel dat ‘alle wijzigingen met een hoog risico moeten worden goedgekeurd door zowel een technisch eigenaar als een vertegenwoordiger van de klant’ kan bijvoorbeeld worden opgenomen in uw workflow voor wijzigingsbeheer, worden afgedwongen door uw ticketsysteem, worden aangetoond door goedkeuringsrecords en periodiek worden beoordeeld in een interne audit of managementbeoordeling.

U hoeft niet elke regel in een dagelijks monitoringschema op te nemen. Een risicogebaseerde aanpak werkt goed:

  • Regels met een grote impact (geprivilegieerde toegang, productiewijzigingen, afhandeling van incidenten) worden mogelijk continu of wekelijks gecontroleerd.
  • Regels met een gemiddelde impact (patchtijdlijnen, back-uptests, voltooiing van trainingen) kunnen maandelijks of per kwartaal worden bemonsterd.
  • Regels met een lage impact kunnen worden gemonitord door middel van incidentele audits en tijdens managementbeoordelingen.

Waar het om gaat, is dat u uw redenering kunt toelichten en kunt aantonen dat de gekozen mechanismen in de praktijk daadwerkelijk werken. Wanneer klanten of auditors vragen waarom een ​​regel maandelijks in plaats van wekelijks wordt gecontroleerd, wilt u een duidelijk, risicogebaseerd antwoord.

Prioriteren en afstemmen op governance

De meeste MSP's kunnen niet alles in één keer overzetten naar een model met continue zekerheid, dus prioritering is belangrijk. U boekt sneller vooruitgang door u te concentreren op de regels die de meeste schade zouden veroorzaken als ze worden genegeerd, en daar eerst vertrouwen in te kweken.

Een pragmatische aanpak is om:

  • Bepaal de vijf tot tien regels waarvan het niet naleven de meeste schade zou toebrengen aan uw klanten of uw eigen bedrijf.
  • Richt de initiële ontwerp- en automatiseringsinspanningen op die regels.
  • Kies voor monitoring-, rapportage- en escalatieprocessen die direct aansluiten op het bestaande bestuur.

U kunt bijvoorbeeld als volgt beginnen:

  • Koppel regels voor bevoorrechte toegang aan uw identiteits- en ticketsystemen, zodat elke verhoging wordt goedgekeurd, geregistreerd en beoordeeld.
  • Koppel patchnormen aan uw RMM-tool, met dashboards die de naleving van vereisten voor verschillende klanten weergeven en uitzonderingen markeren.
  • Rapporteer belangrijke statistieken, zoals het aantal beleidsovertredingen en de leeftijd van openstaande uitzonderingen, aan uw ISMS-commissie en managementbeoordelingen.

Door dit te doen, maakt u A.5.36 onderdeel van uw normale planning en toezicht, in plaats van een aparte taal die alleen het ISO-team spreekt. Medewerkers en klanten zien dan een consistent verhaal: regels, controles, bewijs en verbeteringen, allemaal met elkaar verbonden op een manier die aansluit bij de Plan-Do-Check-Act-cyclus.



Een praktisch A.5.36-raamwerk voor MSP's

Een praktisch A.5.36-framework geeft structuur aan hoe regels, eigenaren, controles en reacties binnen uw MSP samenhangen. Het zet verspreide beleidsregels en gewoonten om in een duidelijk overzicht van wie waarvoor verantwoordelijk is, hoe naleving wordt gecontroleerd en hoe u reageert als er iets misgaat.

Dit raamwerk vormt de brug tussen het beleid op hoog niveau en de operationele stappen die engineers en servicemanagers volgen. Het biedt u ook een herhaalbare manier om vragen van klanten en auditors te beantwoorden zonder telkens opnieuw uitleg te hoeven geven.

Het bouwen van een MSP-specifiek A.5.36-controlekader

Een MSP-specifiek A.5.36-framework begint meestal met een eenvoudig register dat laat zien hoe belangrijke regels in de praktijk worden toegepast, gecontroleerd en bewezen. Elk item koppelt een regel aan services, eigenaren, monitoring en bewijs.

Een nuttig startpunt is een register dat voor elke belangrijke regel het volgende vastlegt:

  • Het beleid of de standaard waaruit het afkomstig is.
  • De services en klantomgevingen waarop het van toepassing is.
  • De controle-eigenaar is verantwoordelijk voor de handhaving.
  • De proceseigenaar die verantwoordelijk is voor het ontwerp en de effectiviteit.
  • Het controlemechanisme en de frequentie.
  • De bronnen van het bewijs, zoals rapporten of tickettypen.
  • Het uitzonderingsproces, inclusief goedkeurings- en beoordelingsdata.

Voor MSP's moet dit register expliciet klantspecifieke vereisten bevatten, niet alleen uw algemene bedrijfsbeleid. Als een grote klant van u verlangt dat u voldoet aan bepaalde logstandaarden of regels voor wijzigingsbeheer, moeten die verplichtingen als regels in uw framework worden weergegeven, met eigenaren, controles en bewijsbronnen.

Een regel voor 'geprivilegieerde toegang' kan bijvoorbeeld worden vastgelegd als afkomstig uit uw toegangscontrolebeleid en een belangrijk klantenschema. Deze regel kan van toepassing zijn op SOC- en infrastructuurdiensten, eigendom zijn van het hoofd beveiliging, wekelijks worden gemonitord via identiteits- en ticketrapporten, worden aangetoond door toegangscontroles en wijzigingsgoedkeuringen, en tijdgebonden uitzonderingen hebben die door de CISO worden goedgekeurd.

U hebt geen honderden vermeldingen nodig. Begin met de regels die het belangrijkst zijn voor beveiliging en zekerheid, vooral waar uw contracten en marketingclaims het sterkst zijn. Na verloop van tijd kunt u het register naar behoefte uitbreiden, op basis van risico's en klantverwachtingen.

Een ISMS-platform zoals ISMS.online kan dit verder versterken door het register bij te houden, regels te koppelen aan risico's en controles, en herzieningsdata en wijzigingen bij te houden. Dit gedeelde beeld vermindert verwarring en maakt het gemakkelijker om de afstemming te behouden naarmate uw diensten zich ontwikkelen.

Het definiëren van de reikwijdte, het eigenaarschap en de criteria voor inbreuken

Twee onderdelen van het raamwerk verdienen bijzondere aandacht: eigenaarschap en wat als een overtreding geldt. Beide bepalen of je regels theoretisch blijven of daadwerkelijk gedrag beïnvloeden.

Sterk eigenaarschap betekent dat elke belangrijke regel:

  • A controle-eigenaar, verantwoordelijk voor het waarborgen dat de regel wordt nageleefd in alle relevante diensten.
  • A proceseigenaarverantwoordelijk voor het waarborgen van het controleontwerp en de monitoringaanpak die passen bij veranderende technologie, klanten en regelgeving.

Even belangrijk zijn duidelijke inbreukcriteria. Je hebt een overeengekomen manier nodig om onderscheid te maken tussen:

  • Kleine afwijkingen kunnen lokaal worden afgehandeld en als onderdeel van de normale werkzaamheden worden vastgelegd.
  • Ernstige inbreuken die moeten worden geregistreerd als non-conformiteiten, geëscaleerd en mogelijk behandeld als incidenten.

U kunt niet afdwingen wat u niet als inbreuk hebt gedefinieerd. Door vooraf drempels te definiëren, kunt u tools eenvoudiger configureren, zoals hoe waarschuwingen worden geclassificeerd en gerouteerd, en ervoor zorgen dat disciplinaire en contractuele maatregelen consistent en eerlijk worden toegepast. Het maakt het ook eenvoudiger om A.5.36 te koppelen aan uw incidentmanagement- en non-conformiteitsprocessen, zodat ernstige inbreuken hetzelfde gestructureerde pad volgen als andere beveiligingsincidenten.

Een dergelijk raamwerk vermindert het aantal herhalingen tijdens een audit. Wanneer auditors of klanten vragen: "Hoe zorgen jullie ervoor dat deze regel wordt nageleefd?", kun je verwijzen naar een duidelijke beschrijving van de regel, de controles, de monitoring en het bewijs, en vervolgens een paar steekproeven nemen om aan te tonen dat de cyclus werkt.



beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


Inbedding van A.5.36 in het ISMS, Governance en SOP's

Door A.5.36 te integreren in uw ISMS, governancestructuren en standaardwerkprocedures, vertaalt u frameworks naar praktijkgericht gedrag. Het doel is om beleidsnaleving onderdeel te maken van routinematige besluitvorming en dienstverlening, en niet een geïsoleerde complianceactiviteit die alleen vóór audits aan bod komt.

Veel van de benodigde mechanismen bestaan ​​al in een typische ISO 27001-conforme MSP: risicoregisters, veranderingsmanagementprocessen, incidentmanagement, disciplinaire procedures, interne audits en managementreviews. De taak is om A.5.36 expliciet in deze mechanismen te integreren, zodat niet-naleving van regels als een primair risico wordt behandeld, en niet als een bijzaak.

A.5.36 koppelen aan risico- en managementprocessen

Door A.5.36 te koppelen aan bestaande risico- en managementprocessen wordt het eenvoudiger om non-compliance consistent te beheren. In plaats van een apart spoor te creëren, brengt u beleidsovertredingen samen met andere risico- en controleproblemen aan het licht.

Stap 1 – Integreer regelovertredingen in het risicomanagement

Voeg typische scenario's van 'beleidsschendingen' toe aan uw risicoregister, zoals het niet naleven van regels voor toegangscontrole of wijzigingsbeheerprocessen. Koppel deze aan bestaande risico's – bijvoorbeeld datalekken of serviceonderbrekingen – zodat u monitoring- en mitigatie-inspanningen kunt rechtvaardigen en ervoor kunt zorgen dat de verantwoordelijkheid duidelijk is.

Stap 2 – Maak van A.5.36 een terugkerend auditthema

Zorg ervoor dat interne audits en compliance reviews regelmatig testen of geselecteerde regels worden nageleefd. Neem jaarlijks een klein aantal regels onder de loep en controleer of gedocumenteerde controles, monitoring en bewijsvoering werken zoals beschreven. Gebruik bevindingen om corrigerende maatregelen en verbeteringen aan te sturen, niet alleen om gedrag uit het verleden te benoemen.

Stap 3 – Voer statistieken in bij managementbeoordelingen

Neem A.5.36-gerelateerde meetgegevens – aantallen beleidsovertredingen, uitzonderingstrends, voltooiing van geplande controles – op als standaardinput voor managementbeoordelingen. Bespreek wat zij zeggen over cultuur, controles en werkdruk, en bepaal waar de verbeteringsinspanningen op gericht moeten zijn. Door dit consequent te doen, laten we auditors en klanten zien dat non-compliance actief wordt aangepakt.

Het is ook belangrijk om ervoor te zorgen dat uw ISMS-scopeverklaring en contextanalyse expliciet de aan klanten geleverde diensten en de tools die daarvoor worden gebruikt, omvatten. Zo bestaat er geen onduidelijkheid over de vraag of A.5.36 van toepassing is op multi-tenantplatforms, klantomgevingen en uitbestede diensten.

A.5.36 onderdeel maken van dagelijkse workflows

Het integreren van A.5.36 in de dagelijkse werkzaamheden gaat uiteindelijk over het afstemmen van runbooks en gedragingen op het framework, zodat naleving onderdeel wordt van 'hoe we de dingen hier doen'.

Nuttige technieken zijn onder meer:

  • Runbooks annoteren: Markeer stappen in onboarding-, wijzigings-, incident- en onderhoudsrunbooks die bedoeld zijn om aan specifieke regels te voldoen. Eenvoudige identificatiegegevens, zoals regel-ID's of beleidsreferenties, maken het eenvoudiger om de afstemming te behouden wanneer beleid en standaarden veranderen.
  • Formulieren en workflows bijwerken: Zorg ervoor dat de belangrijkste processen de informatie vastleggen die u nodig hebt voor A.5.36-bewijs, zoals op welk beleid een afwijking betrekking heeft, welke corrigerende maatregelen zijn genomen en of er een uitzondering is verleend.
  • Rolgebaseerde training: Ga verder dan generieke cursussen over 'beveiligingsbewustzijn'. Bied korte, rolspecifieke begeleiding over wat A.5.36 betekent voor engineers, servicemanagers, accountmanagers en verkopers. Laat zien hoe hun acties bewijs genereren of gebruiken en hoe dat klanten ondersteunt.

Na verloop van tijd voelt compliance hierdoor minder als een extra taak en meer als onderdeel van de manier waarop u kwaliteitsdiensten levert. Het maakt het ook gemakkelijker om controles en rapportages te automatiseren, omdat de benodigde gegevens al op een gestructureerde manier door uw tools stromen.

Een ISMS-platform kan hierbij helpen door het raamwerk te huisvesten, regels te koppelen aan risico's, controles, runbooks en bewijsmateriaal, en door een gemeenschappelijke plek te bieden voor non-conformiteiten, corrigerende maatregelen en managementreview-rapporten. Deze gedeelde context verkleint het risico dat verschillende teams met verschillende versies van de waarheid werken en maakt A.5.36 zichtbaar voor zowel technische als niet-technische belanghebbenden.



Tooling: Beleid omzetten in machine-controleerbare regels (SIEM, RMM, ITSM)

Het omzetten van beleid in machine-controleerbare regels betekent dat u belangrijke onderdelen van uw beleidsset uitdrukt als voorwaarden die uw tools kunnen bewaken en afdwingen. Zo vermindert u handmatige controle en krijgt u meer zekerheid dat regels worden nageleefd. Zodra u duidelijke regels, eigenaarschap en processen hebt, kunt u een aantal van die regels gaan uitdrukken als technische voorwaarden die uw tools kunnen controleren. Zo versterken A.5.36 en uw security-operations stack elkaar, waardoor beleid wordt omgezet in machine-controleerbare signalen.

Het doel is niet om een ​​apart 'compliancesysteem' te bouwen, maar om de systemen die u al gebruikt – SIEM, RMM, identiteitsplatforms, endpoint management en ticketing – zo te configureren dat ze bewijs en waarschuwingen genereren die aansluiten bij uw regels en standaarden. Goed uitgevoerd, vermindert dit de handmatige inspanning en vergroot het de zekerheid dat regels daadwerkelijk worden gehandhaafd.

Het uitdrukken van beleid als technische voorwaarden

Je drukt een beleid uit als een technische voorwaarde door van een regel in gewone taal over te gaan naar specifieke signalen en controles in je tools. Het patroon is eenvoudig, maar het consequent toepassen ervan vereist discipline.

Om beleidstekst te vertalen naar iets waar tools mee kunnen werken, is het handig om een ​​patroon te gebruiken dat taal en configuratie met elkaar verbindt:

  1. Begin met een regel: bijvoorbeeld: "alle beheerde eindpunten moeten goedgekeurde eindpuntbeveiliging uitvoeren" of "geen gedeelde beheerdersaccounts zijn toegestaan".
  2. Signalen identificeren: bepalen welke logboeken, configuratiegegevens of gebeurtenissen laten zien of de regel wordt gevolgd of overtreden.
  3. Voorwaarden definiëren: schrijf duidelijke voorwaarden die getest kunnen worden, zoals ‘agent aanwezig en gezond’ of ‘meer dan één persoon die hetzelfde bevoorrechte account gebruikt’.
  4. Controles configureren: implementeer deze voorwaarden in uw monitoring- en beheertools, met dashboards of rapporten die de naleving samenvatten en uitzonderingen markeren.
  5. Verbinding maken met workflows: routeovertredingen in ticketwachtrijen plaatsen met de juiste categorieën, prioriteiten en SLA's, zodat ze worden afgehandeld als elk ander operationeel probleem.

Neem bijvoorbeeld de regel "alle beheerde endpoints moeten goedgekeurde endpointbeveiliging gebruiken". De signalen kunnen bestaan ​​uit agentstatusgegevens van uw RMM en antivirusconsole. De voorwaarde is "agent geïnstalleerd en rapportage binnen de afgelopen 24 uur". U configureert controles en dashboards om ontbrekende of verouderde agents te markeren en automatisch tickets aan te maken, zodat niet-conforme apparaten zichtbaar, gevolgd en hersteld worden.

Dezelfde logica geldt voor procesgebaseerde regels. Een regel die bijvoorbeeld stelt dat "alle wijzigingen met een hoog risico een formele goedkeuringsworkflow moeten doorlopen", kan worden gecontroleerd door wijzigingstickets te correleren met implementatielogboeken en afwijkingen te markeren.

Begin met een klein aantal regels met een grote impact en stem de drempels zorgvuldig af. Overgevoelige controles die voortdurend waarschuwingen genereren, verliezen snel hun geloofwaardigheid en kunnen de zekerheid eerder verslechteren dan verbeteren.

Gebruik uw tools om regels te detecteren en af ​​te dwingen

Veel MSP's beschikken al over de tools die nodig zijn om A.5.36 te ondersteunen. Wat vaak ontbreekt, is een expliciete koppeling van regels aan toolconfiguratie en rapporten, en de discipline om die koppeling up-to-date te houden.

Nuttige mogelijkheden zijn onder meer:

  • Externe bewaking en eindpuntbeheer: Gebruik deze om patchstandaarden, encryptie, implementatie van endpoint protection en lokale beheerdersrechten voor klanten af ​​te dwingen en erover te rapporteren. Uitzonderingen worden zichtbare, gekwantificeerde input voor risico- en governanceprocessen.
  • Beveiligingsanalyses en logging: Configureer correlatieregels die waarschijnlijke beleidsovertredingen – zoals toegang buiten kantooruren of configuratiewijzigingen zonder bijbehorende tickets – groeperen in gerichte dashboards. Deze kunnen worden bekeken in dagelijkse of wekelijkse routines.
  • Identiteits- en toegangsbeheer: Gebruik groepslidmaatschap, beleid voor voorwaardelijke toegang en rolgebaseerde toegangscontrole om regels af te dwingen over wie wat, waar en wanneer mag doen. Logboeken en rapporten maken vervolgens deel uit van het bewijsmateriaal voor regels met betrekking tot toegangscontrole.
  • Ticketing en IT-servicemanagement (ITSM): Zorg ervoor dat tickets die non-compliance vertegenwoordigen, worden voorzien van de relevante regel, worden gevolgd tot aan de afsluiting en worden bewaard voor analyse. Zo ontstaat na verloop van tijd een gestructureerde geschiedenis van hoe regels worden toegepast en gehandhaafd.

Geautomatiseerde handhaving – zoals het blokkeren van acties die belangrijke regels schenden of het in quarantaine plaatsen van niet-conforme apparaten – kan effectief zijn voor de gebieden met het hoogste risico. Wanneer u dergelijke controles implementeert, biedt het documenteren van het ontwerp, de reikwijdte en de monitoring ervan u krachtig materiaal voor zowel auditors als klanten onder A.5.36.

ISMS.online vervangt deze operationele tools niet, maar kan er wel boven staan, de regels opslaan, koppelen aan services en controles en koppelen aan de rapporten, dashboards en tickets die laten zien hoe ze werken. Dit voorkomt de noodzaak om monitoring opnieuw te implementeren en biedt u een coherent compliance-verhaal dat technologie en governance combineert.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


KPI's, registraties en bewijsmateriaal voor accountants en zakelijke klanten

Een kleine, goed samengestelde set metrieken en records doet meer voor A.5.36-borging dan tientallen losjes samenhangende grafieken en screenshots, omdat de juiste metingen u helpen aantonen dat regels ertoe doen, gecontroleerd worden en leiden tot actie wanneer ze niet worden nageleefd. Het raadplegen van richtlijnen over ISO 27001 en breder cyberrisicomanagement geeft ook vaak de voorkeur aan gerichte, beslissingsrelevante metrieken boven grote hoeveelheden ongestructureerde data, en wel om precies deze reden: die combinatie is gemakkelijker te interpreteren voor besturen, auditors en klanten.

Zodra de regels zijn vastgelegd en de controles zijn uitgevoerd, kunt u de resulterende gegevens omzetten in maatregelen en bewijsmateriaal waarmee u twee veeleisende doelgroepen tevreden kunt stellen: certificeringsauditors en zakelijke klanten.

Bijna alle respondenten van de ISMS.online-enquête uit 2025 gaven aan dat het behalen of behouden van beveiligingscertificeringen, zoals ISO 27001 of SOC 2, hun hoogste prioriteit had.

Het doel is een overzichtelijke set van metingen en artefacten die drie dingen aantonen:

  • Jij weet welke regels belangrijk zijn.
  • U controleert of deze worden nageleefd.
  • Je onderneemt actie op basis van wat je ontdekt, en je leert.

De sterkste verhalen over betrouwbaarheid zijn de verhalen die u consequent kunt vertellen, niet de verhalen die u voor iedere klant opnieuw moet vertellen.

Het ontwerpen van een lean A.5.36-metriekset

Een lean A.5.36-metriekset richt zich op een handvol indicatoren die duidelijk inzicht geven in risico, gedrag en verbetering. Te veel metingen vertroebelen de aandacht en zijn moeilijk te onderhouden.

Je hebt geen lange lijst met KPI's nodig. Een kleine, zorgvuldig gekozen set kan krachtiger en gemakkelijker te onderhouden zijn, vooral wanneer je deze herhaaldelijk moet uitleggen aan auditors, directies en klanten.

Voorbeelden die goed werken voor MSP's zijn:

  • Beleids- en opleidingsdekking: Percentage van het personeel en de belangrijkste functies die een training over relevante beleidslijnen en normen hebben erkend en afgerond.
  • Overtredingspercentages: Aantal en ernst van vastgestelde overtredingen van belangrijke regels over een bepaalde periode, uitgesplitst per dienst of functie.
  • Tijd voor herstel: Gemiddelde tijd tussen het detecteren van een inbreuk of non-conformiteit en de oplossing ervan.
  • Uitzonderingslandschap: Het aantal goedgekeurde uitzonderingen op de regels, hun leeftijd en wanneer ze herzien moeten worden.
  • Monitoring van de dekking: Percentage van de systemen of klanten binnen het toepassingsgebied die onder de gedefinieerde controles vallen.

Deze statistieken kunnen voor verschillende doelgroepen verschillend worden gepresenteerd. Bestuurders en leidinggevenden hechten waarde aan trends en de impact op de business. Technische teams vinden het belangrijk waar ze hun inspanningen op moeten richten. Klanten hechten waarde aan de zekerheid dat regels worden nageleefd en in de loop der tijd worden verbeterd. Door statistieken zoals de leeftijd van uitzonderingen of de monitoringdekking te koppelen aan commerciële resultaten – bijvoorbeeld hoe ze due diligence-bevindingen of contractverlengingen beïnvloeden – wordt hun relevantie duidelijker.

Regelmatige interne evaluaties van deze maatregelen helpen bij het identificeren van systemische problemen, zoals herhaaldelijke overtredingen van dezelfde regel of specifieke diensten die moeite hebben om binnen de normen te blijven. Deze inzichten moeten worden gebruikt voor gerichte verbeteringen in training, processen of tools.

Het bouwen van herbruikbare bewijspakketten

Met herbruikbare bewijspakketten kunt u snel en consistent reageren op assurance-verzoeken. In plaats van onder druk ad-hocbundels samen te stellen, onderhoudt u een A.5.36-kernlaag die kan worden aangepast aan elke auditor of klant.

Zowel auditors als klanten waarderen gestructureerd, herbruikbaar bewijs. In plaats van voor elke beoordeling helemaal opnieuw te beginnen, kunt u een A.5.36 "bewijspakket" samenstellen dat u periodiek bijwerkt en aanpast aan de doelgroep.

Een typisch pakket kan het volgende bevatten:

  • Een beknopte uitleg van hoe A.5.36 in uw MSP is geïmplementeerd, met diagrammen die het raamwerk en de belangrijkste processen weergeven.
  • Uittreksels uit uw beleid- en normenregister, waarin de regels worden gemarkeerd die van toepassing zijn op de services die binnen het toepassingsgebied vallen.
  • Voorbeelden van opleidings- en erkenningsgegevens voor relevante medewerkers.
  • Geselecteerde monitoringrapporten die controles op basis van belangrijke regels aantonen.
  • Een kleine set geredigeerde tickets waarin wordt aangegeven hoe niet-naleving wordt geregistreerd en opgelost.
  • Samenvattingen van interne audits of nalevingsbeoordelingen waarbij A.5.36-gerelateerde controlemaatregelen zijn getest.
  • Bewijs dat het management de nalevingscriteria voor het beleid heeft beoordeeld en beslissingen over verbeteringen heeft genomen.

Voor klanten kunt u dit materiaal verder anonimiseren en aanpassen, met de nadruk op de regels en services die voor hen relevant zijn en op hoe uw MSP-brede governance hun specifieke vereisten ondersteunt. Een geanonimiseerd voorbeeld van een vergelijkbare klant – zoals een middelgrote MSP met SOC en beheerde detectie- en responsservices – kan illustreren hoe uw framework in de praktijk werkt zonder vertrouwelijke details prijs te geven.

ISMS.online helpt u bij het opslaan van controlebeschrijvingen, het koppelen ervan aan bewijsstukken, het bijhouden van beoordelingsdata en het exporteren van consistente weergaven wanneer nodig. Het ondersteunt ook uw eigen interne zekerheid, omdat u in één oogopslag kunt zien welke regels actueel bewijsmateriaal bevatten en welke aandacht behoeven vóór de volgende audit of klantbeoordeling.



Boek vandaag nog een demo met ISMS.online

ISMS.online biedt uw MSP een praktische manier om A.5.36 om te zetten van een papieren oefening naar een zichtbare, beheersbare controle over al uw services. Het helpt u de overstap te maken van point-in-time, mensafhankelijke compliance naar continue assurance die aansluit bij de manier waarop u uw beveiligingsactiviteiten al uitvoert.

In de praktijk betekent dit dat u:

  • Houd uw beleid en normen op één plek bij, gekoppeld aan services, risico's en ISO 27001-maatregelen.
  • Wijs duidelijke verantwoordelijkheden toe voor regels en controles, met taken en workflows die beoordelingen en verbeteringen bijhouden.
  • Koppel regels aan praktijkgegevens, zoals audits, controlerapporten en tickets, zonder operationele gegevens te dupliceren.
  • Maak en onderhoud herbruikbare bewijspakketten voor auditors en klanten, waardoor de voorbereidingstijd wordt verkort en stress wordt verminderd.
  • Ondersteun beoordelingen door het management en bestuursrapportages met actuele weergaven van beleidsnalevingsstatistieken en non-conformiteiten.

Dit bekijken in de context van uw eigen diensten is veel effectiever dan er abstract over te lezen. Een demo geeft u de kans om uw A.5.36-uitdagingen te doorlopen, te zien hoe deze zich verhouden tot het platform en te ontdekken hoe een meer continu, tool-ondersteund assurancemodel er voor uw organisatie uit zou zien.

Als u de leiding hebt over beveiliging, operations of compliance binnen een MSP en u wilt de manier waarop u A.5.36 aantoont aan auditors en zakelijke klanten, is het boeken van een demo een praktische volgende stap. Hiermee kunt u testen of ISMS.online u kan helpen aantonen – en niet alleen zeggen – dat u voldoet aan uw beleid, regels en normen voor informatiebeveiliging voor elke beheerde service die u levert.


Veelgestelde Vragen / FAQ

Wat vereist ISO 27001:2022 A.5.36 nu echt van een MSP in de dagelijkse praktijk?

A.5.36 verwacht dat uw MSP aantoont dat mensen uw beveiligingsregels daadwerkelijk naleven in hun dagelijkse werk en dat u routinematig non-compliance detecteert, beoordeelt en verhelpt in uw eigen omgeving, uw toolchain en de omgevingen van uw klanten.

Waar wordt A.5.36 weergegeven in een echte MSP?

Voor een managed service provider heeft deze controle op drie punten tegelijk gevolgen:

Uw interne omgeving

Dit is alles wat uw team gebruikt om services uit te voeren en te ondersteunen:

  • Toegang tot PSA-, RMM-, SIEM-, backup-, identiteits- en ticketplatforms.
  • Laptops, servers, VPN's en SaaS die worden gebruikt door technici en backofficepersoneel.
  • Hoe mensen omgaan met klantgegevens via e-mail, chat, documentatie en schermdeling.

A.5.36 vraagt ​​hier: zijn er duidelijke regels voor de manier waarop medewerkers toegang hebben tot dit domein en hoe zij dit beschermen? Begrijpen zij deze regels? En kunt u laten zien hoe u deze regels in de loop van de tijd controleert en verbetert?

De multi-tenant service stack die u beheert

Dit is de gedeelde toollaag die u namens meerdere klanten beheert:

  • RMM, EDR, SIEM, identiteit, cloudbeheerconsoles, back-upplatforms en ticketing.
  • Regels voor MFA op consoles, ontwerp van beheerdersrollen, gebruik van break-glass-accounts, toegang van leveranciers en goedkeuring van wijzigingen.
  • Afstemming tussen uw servicecatalogus, runbooks en wat er daadwerkelijk gebeurt met tickets en wijzigingen buiten kantoortijden.

De verwachting hier is eenvoudig: gedocumenteerde regels, duidelijke eigenaren, gedefinieerde beoordelingsritmes en bewijs dat uitzonderingen worden vastgelegd, beoordeeld en ofwel worden gesloten ofwel geaccepteerd als risico's.

Klantomgevingen in scope

Dit zijn de infrastructuur en cloud-workloads die u onder contract beheert:

  • Apparaten, netwerken, tenants, abonnementen en beveiligingsmaatregelen waarvoor u verantwoordelijk bent.
  • SLA's en runbooks die definiëren wat 'veilig genoeg' betekent voor elke service.
  • Bewijs dat patching, monitoring, back-upcontroles, toegangscontroles en incidentafhandeling voldoen aan wat u hebt beloofd.

Op deze drie niveaus letten auditors, cyberverzekeraars en zakelijke kopers vooral op drie dingen:

  • MSP-specifieke regels: die gaan over externe toegang, multi-tenant tooling, verwerking van klantgegevens en het gebruik van onderaannemers.
  • Bewijs dat mensen zich aan deze regels houden: – training, beleidsbevestigingen, voorbeelden van uitgewerkte tickets en runbooks, toegangsbeoordelingsrecords.
  • Een traceerbare lus: laat zien dat u, wanneer regels worden overtreden, dit registreert, het risico inschat, actie onderneemt en de controles of trainingen aanpast.

Wanneer u die lus in begrijpelijke taal kunt uitleggen en dit kunt ondersteunen met een aantal goed gekozen voorbeelden, wordt A.5.36 een manier om klanten te laten zien dat u uw MSP met discipline runt, in plaats van slechts een extra selectievakje op de lijst in Bijlage A.

Hoe kan een MSP de overstap maken van jaarlijkse ‘papieren naleving’ naar continue controle zonder dat dit mensen overbelast?

U stapt over op continue zekerheid door af te stappen van de jaarlijkse controles en in plaats daarvan kleinere, op risico's gebaseerde controles te integreren in de tools en workflows die uw teams al gebruiken. Zo verschijnen er automatisch bruikbare bewijzen terwijl zij hun werk doen.

Hoe ziet continue borging eruit bij een MSP?

Een praktisch model berust meestal op drie zetten.

Gebruik risicogebaseerde cadansen in plaats van platte checklists

Niet elke regel verdient wekelijkse aandacht:

  • Domeinen met hoge impact: – bevoorrechte toegang, wijzigingen met een hoog risico, back-ups voor belangrijke huurders, toezicht op de dekking – rechtvaardigen continu, dagelijks of wekelijks cheques.
  • Domeinen met gemiddelde impact: – patch-compliance, configuratiebasislijnen, voltooiing van beveiligingstraining – fit maandelijks of per kwartaal cycli.
  • Gebieden met lagere impact: – sommige fysieke controles of niche-instrumenten – kunnen worden bemonsterd in interne audits en steekproeven.

Dit laat zien dat u A.5.36-inspanning levert waar het risico en vertrouwen van de klant dat vereisen, en niet alleen waar een sjabloon 'maandelijks' vermeldt.

Bouw controles in de tools die uw teams al gebruiken

Continue zekerheid bestaat alleen als controles onderdeel zijn van de normale werkzaamheden:

  • Goedkeuringen van wijzigingen, gebruik door beheerders buiten kantooruren en uitzonderingen worden afgedwongen via ticketworkflows met verplichte velden en goedkeuringen.
  • Basislijnen en patchregels worden afgedwongen en gerapporteerd in RMM en endpoint security tooling, niet gekopieerd naar spreadsheets.
  • Beheerders- en identiteitsgebeurtenissen – nieuwe bevoorrechte rollen, MFA-wijzigingen, riskante aanmeldingen – worden bijgehouden via auditlogs en SIEM-regels afgestemd op een klein aantal betekenisvolle patronen.

Het doel is dat uw ISMS en alle IMS'en die aan Annex L voldoen, gebruikmaken van deze bestaande signalen, in plaats van een parallel universum van handmatige logboeken te creëren die niemand vertrouwt.

Laat bewijs een bijproduct zijn van goede operaties

Wanneer cheques in uw platforms zijn geïntegreerd:

  • Tickets, dashboards, rapporten, wijzigingsrecords en beoordelingsnotities wordt standaard A.5.36 bewijs.
  • Uw ISO- of beveiligingsmanager stopt met het zijn van een ‘bewijsjager’ en wordt een bediening tuner, met behulp van deze stroom om drempels, cadans en training aan te passen.

Als uw team al opziet tegen de weken voorafgaand aan surveillance audits of grote klantbeoordelingen, kunt u continue assurance inzetten als een manier om het leven rustiger en professioneler te maken, en niet als een extra laag compliance-administratie. ISMS.online is ontworpen om dit model te ondersteunen door risico's, beleid, interne audits en corrigerende maatregelen op één plek te koppelen, zodat continue controles in uw tools op natuurlijke wijze uw informatiebeveiligingsbeheersysteem voeden.

Op welke concrete controles en registraties moet een MSP zich eerst richten voor A.5.36?

Je hebt geen stapel ordners nodig. Je hebt een kleine, gedisciplineerde set controles en registraties nodig die aantonen dat er regels bestaan ​​rond risicovolle gebieden, dat deze in de praktijk worden toegepast en dat ze worden gecorrigeerd wanneer dat niet het geval is.

Welke domeinen zijn doorgaans het belangrijkst bij audits en due diligence?

Vijf gebieden wegen doorgaans het zwaarst voor een MSP.

1. Bevoorrechte en externe toegang

Dit is doorgaans de eerste plek waar accountants en klanten kijken.

  • Bepalen: wie beheerdersaccounts kan hebben, welke MFA- en apparaatnormen van toepassing zijn, hoe gedeelde inloggegevens worden vermeden en hoe noodtoegang wordt aangevraagd en ingetrokken.
  • Houden: export van beheerdersgroeplidmaatschappen, korte minuten van toegangscontrole en een paar geredigeerde tickets die laten zien dat noodtoegang is geopend en gesloten.

2. Patchen en configuratie

Hiermee wordt aangetoond of je basishygiëne op grote schaal kunt uitvoeren.

  • Bepalen: minimale patchcycli per systeemtype, basisconfiguraties voor eindpunten, servers en cloud en hoe uitzonderingen worden afgehandeld.
  • Houden: Rapporten over patches en kwetsbaarheden met een duidelijke reikwijdte en data, plus tickets waarin afwijkingen ten opzichte van de basislijn zijn geconstateerd, die op risico zijn beoordeeld en zijn opgelost.

3. Risicovol verandermanagement

Dit is waar veel ernstige incidenten beginnen.

  • Bepalen: welke wijzigingen formele goedkeuring vereisen (bijvoorbeeld firewallregels, identiteitswijzigingen, back-upbeleid), wie goedkeuring geeft en wat er moet worden vastgelegd.
  • Houden: een kleine set volledig ingevulde wijzigingstickets waarin het traject van aanvraag tot goedkeuring en, indien vereist, de beoordeling na implementatie wordt weergegeven.

4. Logging en monitoring van de dekking

Hiermee bewijs je dat je merkt dat er iets misgaat en dat je actie onderneemt.

  • Bepalen: welke gebeurtenissen moeten worden vastgelegd voor uw eigen domein en voor beheerde services, waar logboeken terechtkomen, hoe lang u ze bewaart en welke waarschuwingen van belang zijn.
  • Houden: eenvoudige dekkingsdiagrammen of samenvattingen, voorbeeldwaarschuwingen en vervolgtickets die laten zien hoe het probleem is onderzocht en gesloten.

5. Uitzonderingen en niet-naleving

Hier laat A.5.36 zien of u regels serieus neemt.

  • Bepalen: hoe uitzonderingen worden gemeld, goedgekeurd, in een tijdsbestek worden ingedeeld en beoordeeld, en hoe herhaaldelijke niet-naleving wordt aangepakt.
  • Houden: een actief uitzonderingenlogboek dat is gekoppeld aan uw risicoregister en een paar gevallen waarin u niet alleen het directe probleem hebt opgelost, maar ook een sjabloon hebt gewijzigd, een runbook hebt bijgewerkt of de training hebt aangepast.

Wanneer u deze samenvoegt in een compact A.5.36 "bewijspakket" en dit actueel houdt, kunt u auditors, cyberverzekeraars en inkoopteams van bedrijven snel antwoorden geven zonder telkens nieuw bewijs te hoeven verzinnen. In ISMS.online kunt u dat pakket naast uw relevante beleid, risico's, interne audits en managementreviews plaatsen, zodat uw team altijd weet waar ze terechtkunnen als iemand vraagt: "Laat me zien hoe u weet dat uw beleid wordt nageleefd."

Hoe kan een MSP A.5.36 in zijn ISMS en IMS integreren zodat het bestand is tegen personeelswisselingen?

A.5.36 gaat verder dan één ISO-lead wanneer u het behandelt als onderdeel van uw governance-ritme, en niet als een zijproject. Dit betekent dat u beleidsnaleving moet integreren in risicomanagement, interne audit, incident- en wijzigingsafhandeling en managementbeoordeling, zodat het regelmatig wordt besproken en er actie op wordt ondernomen.

Hoe ziet dat eruit in een MSP dat is afgestemd op Annex L?

Drie ontwerpkeuzes maken een merkbaar verschil.

1. Beschouw inbreukpatronen als risico's, niet als ruis

In plaats van herhaaldelijke beleidsovertredingen te behandelen als ‘vervelende eenmalige incidenten’:

  • Leg terugkerende thema's vast – onbeheerde beheerdersaccounts, niet-goedgekeurde wijzigingen, herhaalde patchvertragingen, back-upfouten – in uw risicoregister met een duidelijke impact op de klant en het bedrijf.
  • Beoordeel ze zoals elk ander ISO 27001-risico: waarschijnlijkheid, impact en effectiviteit van de beheersing. ‘We zijn ermee weggekomen’ is dus niet de maatstaf.
  • In een IMS dat is afgestemd op Annex L, koppelt u die risico's aan gerelateerde clausules in kwaliteits-, servicemanagement- of bedrijfscontinuïteitsnormen. Zo voorkomt u dat dezelfde zwakte op stille wijze meerdere certificaten ondermijnt.

2. A.5.36 op de agenda zetten voor management review en interne audit

Naleving van beleid zou een vast onderdeel moeten zijn, niet slechts een bijlage.

  • Neem in managementbeoordelingen eenvoudige, trendgevoelige indicatoren op: aantal en ernst van beleidsovertredingen, veroudering van uitzonderingen, achterstallige controles en bevindingen van interne audits met betrekking tot niet-naleving van regels.
  • Gebruik interne audits om voorbeelden van echte diensten, tools en klanten en controleer of de regels daar daadwerkelijk worden toegepast, en niet alleen op uw meest volwassen accounts.
  • Zet beoordelingsuitkomsten om in bij te houden acties: wie is verantwoordelijk voor een oplossing, wanneer deze moet worden opgelost, hoe de voortgang wordt gecontroleerd en hoe succes wordt gemeten.

ISMSonline ondersteunt dit patroon door u sjablonen voor managementbeoordelingen, gekoppelde risico's, interne audits en corrigerende maatregelen op één plek te bieden, zodat u het hele traject van probleem tot verbetering in beeld krijgt.

3. Koppel SOP's en runbooks rechtstreeks aan controles en contracten

Ingenieurs moeten inzicht hebben in hoe hun stappen aansluiten bij hun verplichtingen.

  • Geef aantekeningen bij onboarding-, wijzigings-, incident- en onderhoudsstappen met het beleid, de bijlage A-controle of de contractclausule waaraan ze voldoen.
  • Werk de formulieren bij, zodat ze de gegevens vastleggen waar u later op terugkomt: welke regel van toepassing was, wie de fout goedkeurde, welke huurder werd getroffen en wat er is gedaan om herhaling te voorkomen.
  • Zorg dat deze verwachtingen terugkomen in de rolgebaseerde training, zodat medewerkers begrijpen waarom bepaalde velden en goedkeuringen verplicht zijn en niet 'extra administratie'.

Wanneer deze structuur zich in uw ISMS en elk breder IMS bevindt – in plaats van verspreid over documenten en in de hoofden van mensen – verandert A.5.36 in "hoe we het MSP runnen", niet "wat we afstoffen voor de auditor". Met ISMS.online kunt u deze verbanden expliciet maken via gekoppelde werkzaamheden, risicoregistraties, interne audits en managementreviews, waardoor u continuïteit kunt aantonen, zelfs wanneer rollen veranderen.

Hoe kunnen SIEM-, RMM- en ticketingtools praktische handhavingsinstrumenten voor beleidsregels worden?

U transformeert bestaande platforms tot handhavingsmechanismen door een kleine set belangrijke regels te vertalen naar voorwaarden die deze tools automatisch kunnen controleren. Bovendien zorgt u ervoor dat eventuele fouten worden omgezet in een duidelijk, uitvoerbaar ticket met verantwoordelijkheidsgevoel en een feedbackpad naar uw ISMS.

Welk patroon kan een MSP volgen om regels machine-controleerbaar te maken?

Een eenvoudig patroon met zes stappen werkt in de meeste domeinen.

1. Schrijf de regel zo dat zowel een mens als een hulpmiddel deze kunnen toepassen

Bijvoorbeeld:

  • "Alle beheerde Windows-servers moeten binnen 14 dagen na de release kritieke beveiligingsupdates toepassen, tenzij er een goedgekeurde uitzondering bestaat."
  • “Elke klanttenant moet minimaal twee benoemde globale beheerders hebben, die beide beschermd zijn door MFA en voorwaardelijke toegang.”

Vermijd dubbelzinnige zinnen als ‘waar mogelijk’ als u hulpmiddelen wilt gebruiken.

2. Bepaal welke signalen de regel juist of onjuist bewijzen

Kijk eens naar wat uw systemen al kunnen zien:

  • RMM- of kwetsbaarheidsscanner-patchgegevens.
  • CMDB- of activa-inventarisinhoud.
  • Directory- en SaaS-beheerdersrollen, aanmeldings- en configuratielogboeken.
  • Tickets en uitzonderingen in uw servicedesk.

Deze signalen definiëren wat automatisch gecontroleerd kan worden.

3. Zet de regel om in concrete, toetsbare voorwaarden

Voorbeelden:

  • “Elke server in scope verschijnt in de inventaris, heeft een actuele agent en vertoont geen kritieke ongepatchte kwetsbaarheden die ouder zijn dan 14 dagen.”
  • “Elke server met een te late patch heeft ofwel een openstaande, goedgekeurde uitzondering ofwel een herstelticket met een eigenaar en SLA.”
  • Elke tenant heeft minimaal twee unieke globale beheerders met afgedwongen MFA. Er zijn geen generieke accounts die beheerdersrollen hebben.

Deze stap creëert de brug tussen beleidswoorden en toollogica.

4. Bouw dashboards, query's en regels in uw tools

Implementeer deze voorwaarden op uw platforms:

  • Dashboards in RMM en kwetsbaarheidstools die niet-conforme activa aan het licht brengen, zodat teams deze kunnen analyseren.
  • SIEM-correlatie regels of geplande rapporten die beleidsrelevante anomalieën benadrukken, zoals nieuwe bevoorrechte accounts zonder MFA of grote wijzigingen buiten wijzigingsvensters.
  • Ticketworkflows die goedkeuringen afdwingen en de juiste velden vastleggen wanneer bepaalde categorieën worden opgeworpen.

Tegenwoordig is het controleren van de naleving een kwestie van het bekijken van liveweergaven, en niet van het samenstellen van ad-hoc spreadsheets.

5. Zet fouten om in zinvolle tickets

Wanneer iets de test niet doorstaat, moet er een ticket worden aangemaakt waarop actie kan worden ondernomen:

  • Voorzie tickets van een label met de regel en controle waarop ze betrekking hebben (bijvoorbeeld: “ISO 27001 A.5.36 – bevoorrechte toegang”).
  • Geef context: de naam van de klant, de ID van de activa, de ernst, hoe lang er al sprake is van een inbreuk en koppelingen naar eventuele gerelateerde uitzonderingen.
  • Stel realistische SLA's en eigenaren in, zodat deze tickets niet bedolven raken onder ruis van lage waarde.

Dat is waar A.5.36 om draait: u detecteert niet alleen overtredingen van uw eigen regels, u verhelpt ze ook op een gecontroleerde manier.

6. Zorg dat er voldoende geschiedenis is om trends en leerpunten te laten zien

Het bewijs dat controle over het werk werkt, komt uit de geschiedenis:

  • Bewaar dashboards, rapporten en tickets lang genoeg om verbeteringen of terugkerende thema's te laten zien en om interne audits te ondersteunen.
  • Gebruik een aantal goed gekozen cases, waaronder minstens één ongemakkelijk voorbeeld, in managementbeoordelingen, due diligence-onderzoeken van leveranciers en klantvergaderingen om aan te tonen dat beleidsovertredingen leiden tot actie en lessen.

Na verloop van tijd bouwt dit patroon een catalogus op van machine-controleerbare regels voor bevoorrechte toegang, back-upverificatie, EDR-implementatie, logdekking en meer. ISMS.online helpt u door deze controles en hun bewijs te koppelen aan uw beleid, risico's en Annex A-controles, zodat u ze kunt presenteren als onderdeel van een samenhangend informatiebeveiligingsbeheersysteem, en niet als een stapel losse schermafbeeldingen.

Hoe kan een MSP ISO 27001 A.5.36 omzetten in een duidelijk commercieel voordeel met ISMS.online?

U kunt A.5.36 omzetten in een commercieel voordeel door auditors en klanten rustig te begeleiden van "dit is de regel" naar "dit is hoe we deze handhaven en wat we doen bij overtreding" – en door dat te doen vanuit één gestructureerde omgeving die u kunt hergebruiken bij audits, aanbestedingen en reviews. ISMS.online is gebouwd om die omgeving te zijn.

Hoe ziet dat eruit bij audits, offerteaanvragen en klantbeoordelingen?

Er zijn drie eigenschappen waardoor MSP's zich keer op keer onderscheiden.

Gebruik één toegewezen weergave van regel naar service naar bewijs

In plaats van te jongleren met mappen en spreadsheets wanneer iemand A.5.36 noemt:

  • Handhaaf een enkelvoudig, gestructureerd register van beleid, normen en servicespecifieke regels in ISMS.online, met benoemde eigenaren, scopes en gekoppelde bewijsbronnen.
  • Koppel elke regel aan relevante bijlage A-controles, risico's, interne audits en corrigerende maatregelen met behulp van gekoppelde werkzaamheden.
  • Wanneer een auditor of zakelijke klant erom vraagt, opent u de kaart en klikt u op een paar live voorbeelden (beoordelingen bekijken, tickets wijzigen, trainingsbevestigingen) om het pad van geschreven regels naar daadwerkelijk gedrag te laten zien.

Door deze mate van traceerbaarheid lijk je op een MSP die op een echt ISMS draait, en niet alleen op goede bedoelingen.

Laat zien hoe je reageert als regels worden overtreden

Kopers willen steeds vaker weten hoe u zich gedraagt ​​op slechte dagen:

  • Met ISMS.online houdt u een gestructureerd logboek bij van beleidsovertredingen en uitzonderingen, met velden voor impact, hoofdoorzaak, eigenaar, behandeling en afsluiting.
  • Neem een ​​aantal zorgvuldig geredigeerde cases mee naar vergaderingen om te laten zien hoe problemen zijn vastgesteld, wat u direct hebt gedaan en hoe u de controles of trainingen naderhand hebt aangescherpt.

Als u deze voorbeelden goed toepast, wekken ze vertrouwen op. Ze laten zien dat u A.5.36 als een levende discipline beschouwt en niet als een marketingslogan.

Hergebruik uw A.5.36-werk in verschillende frameworks en klanten

Omdat ISMS.online geïntegreerde managementsystemen ondersteunt die zijn afgestemd op ISO 27001 en Annex L, heeft elke verbetering die u voor A.5.36 doorvoert een dubbele functie:

  • Andere kaders en regelgeving: – SOC 2, NIS 2, DORA of sectorspecifieke normen stellen vaak soortgelijke vragen over hoe u uw eigen regels volgt; u kunt antwoorden vanuit dezelfde gekoppelde records.
  • RFP's en cyberverzekeringen: – Beveiligingsvragenlijsten die de naleving van het beleid toetsen, kunnen vaak worden beantwoord door uw bestaande ISMS.online-bewijsmateriaal te exporteren of samen te vatten.
  • Klantbeoordelingen en QBR's: – U kunt delen van uw A.5.36-bewijsmateriaal hergebruiken om te laten zien hoe u de omgeving van elke klant in de loop van de tijd beschermt, niet alleen tijdens certificeringsmijlpalen.

Als u gezien wilt worden als de MSP die "werkelijk kan laten zien hoe ze werken", is het zinvol om uw team een ​​platform te bieden dat is ontworpen voor die mate van transparantie. Onderzoeken hoe ISMS.online uw A.5.36-aanpak kan ondersteunen – naast uw bredere informatiebeveiligingsmanagementsysteem en elk geïntegreerd managementsysteem in Annex L-stijl – is een praktische manier om van basiscertificering over te stappen naar een meer verdedigbaar, commercieel verhaal over hoe u de beveiliging voor uzelf en uw klanten regelt.

Mark Sharron

Mark Sharron leidt Search & Generative AI Strategy bij ISMS.online. Hij richt zich op het communiceren over hoe ISO 27001, ISO 42001 en SOC 2 in de praktijk werken - door risico's te koppelen aan controles, beleid en bewijs, met auditklare traceerbaarheid. Mark werkt samen met product- en klantteams om deze logica te integreren in workflows en webcontent - en helpt organisaties zo om beveiliging, privacy en AI-governance met vertrouwen te begrijpen en te bewijzen.

Twitter

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.