Periodieke access reviews: proces, frequentie, bewijsvoering
Een access review is een audit-vereiste waar bijna elk MKB mee worstelt. De tweede keer hoef je er geen week meer voor uit te trekken — als je het de eerste keer goed opzet.
Access reviews — het periodiek doorlopen van wie waar toegang heeft en waarom — zijn voor ISO 27001 Annex A.9 niet optioneel. Ook zonder audit-druk is het de enige manier om je toegangsmatrix up-to-date te houden.
Frequentie: kwartaal of half jaar
MKB-norm: per kwartaal. Heb je minder dan 20 mensen en lage turnover? Half jaar mag ook. Jaarlijks is niet genoeg voor ISO-doelen. Zie ook ISO 27001 Annex A.9.
De zes stappen
- Snapshot. Bevries een kopie van de huidige matrix.
- Scope bepalen. Zie scope afbakenen.
- Per rij besluiten. Keep, revoke, of change. Betrek managers, zie managers betrekken.
- Bulk-acties voor zekere gevallen. 80% is "keep". Zie bulk-beslissingen.
- Follow-up-acties. Elke "revoke" en "change" wordt een concrete actie voor IT.
- Bewijs bewaren. Zie bewijsvoering voor audit.
Valkuilen
- "Er is tijd nog niet." Plan hem in Outlook, anders gaat hij niet door.
- Review door één persoon. Missen = meeste eigen toegang wordt onterecht goedgekeurd.
- Besluiten NIET uitvoeren. Revoke op papier is niks.
Automatisering
Onze AccessGuard-tool maakt een review-snapshot in 1 klik. De demo toont een lopende cyclus.
Zie ook: kwartaal-cadans, AI bij reviews, steekproef of volledig.