Steekproef of volledige access review: wat accepteert de auditor?
Op grotere schaal is een volledige review onwerkbaar. Risk-based steekproeven kunnen — mits je goed kunt uitleggen hoe je hebt bemonsterd.
Voor een 200-mans MKB met 40 systemen zijn 8.000 rijen per review. Dat werkt niet. Een risk-based steekproef is dan het antwoord — maar alleen als je hem kunt verdedigen.
Wanneer volledig?
- Minder dan 500 cellen totaal (bij ±15 personen × ±10 systemen).
- Jaarlijkse "grote" review — ook als kwartalen steekproef zijn, eens per jaar alles door.
- Na een major incident.
Wanneer steekproef?
- Meer dan 1.000 cellen.
- Kwartaal-reviews bij grotere organisaties.
Hoe bemonster je risk-based?
- Prioriteer privileged access. 100%.
- Inactieve of net-actieve gebruikers. 100%.
- Hoog-risico systemen (boekhouding, HR, klant-data). 100% van de access-rijen.
- Rest: 20% steekproef per rol, gericht op rolwissels afgelopen kwartaal + ouderdom van last-verified.
Documentatie
Auditor wil je bemonsterings-strategie zien — geschreven beleid, niet ad-hoc bij elke review anders. Zie bewijsvoering.
Zie ook: review-pillar.
Volledige gids: Periodieke access reviews: proces, frequentie, bewijsvoering
Dit artikel is onderdeel van onze uitgebreide Access reviews-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →