Access review scope: wat valt erin, wat niet?

Niet elke gebruiker, niet elk systeem hoeft in elke review. Hier hoe je scope afbakent zodat het behapbaar blijft én audit-verdedigbaar.

Review-scope bepalen is de eerste stap van het review-proces. Fout hier = of te veel werk, of mist je iets belangrijks.

Personen binnen scope

• Actieve medewerkers: altijd.
• Scheduled-in: nog niet begonnen, geen scope yet.
• Scheduled-out: wel in scope — laatste check voor vertrek.
• Inactief sinds de vorige review: één-keer-nog in scope om te verifiëren dat toegang echt is ingetrokken.
• Contractors en externe partijen: apart review-spoor met eigen cadans (vaak maandelijks).

Systemen binnen scope

• Alle tier-1 (kritiek): altijd.
• Tier-2: standaard elke review.
• Tier-3 (nice-to-have SaaS): half-jaarlijks, tenzij specifieke aanleiding.

Documenteer je scope-keuze

Scope-beleid in je ISMS. Per review: scope-snapshot die zegt wat erin zat. Zo kan een auditor vergelijken tussen reviews en zien dat je consistent bent.

Zie ook: steekproef of volledig, SaaS-inventaris.