Wanneer een assessor of auditor vraagt hoe uw organisatie beveiligd is, ligt een groot deel van het antwoord al in Microsoft 365. De controls bestaan, de logs worden vastgelegd, en de instellingen worden afgedwongen. De kloof zit zelden in de technologie. Het gaat erom dat u kunt wijzen naar de exacte instelling die aan een control voldoet, en daar bewijs voor kunt produceren zonder een week handmatig werk.
Deze gids koppelt gangbare Microsoft 365-, Microsoft Entra- en Microsoft Intune-instellingen aan de Cyber Essentials-controls en aan een handvol ISO 27001:2022 Annex A-controls. De formulering van de controls volgt de NCSC Cyber Essentials-vereisten en ISO/IEC 27001:2022. Behandel deze koppeling als richtlijn voor het afbakenen van uw bewijs, niet als vervanging van de vereisten van uw certificerende instelling, want hoe een control van toepassing is, hangt altijd af van uw eigen scope en configuratie.
Waarom auditors om Microsoft 365-bewijs vragen
Cyber Essentials en ISO 27001 zijn beide evidence-led. Een control op papier telt weinig, tenzij u kunt aantonen dat deze wordt toegepast en werkt. Voor de meeste organisaties die Microsoft 365 gebruiken, is het platform waar identiteit, apparaten, e-mail en updates worden beheerd, waardoor het de rijkste bewijsbron in de beoordeling wordt. De praktische vraag is hoe u dat bewijs overzichtelijk, op aanvraag en in een vorm die een assessor accepteert, naar boven haalt.
Cyber Essentials: de vijf controls in Microsoft 365
Cyber Essentials definieert vijf technische controls. Elke control koppelt aan concrete Microsoft 365-, Entra- of Intune-configuratie, en elke control levert bewijs op dat u kunt exporteren.
| Cyber Essentials-control | Waar het zich bevindt in Microsoft 365 | Bewijs dat u kunt exporteren |
|---|---|---|
| Firewalls | Microsoft Defender Firewall, beheerd via Intune endpoint security-firewallbeleid op geregistreerde apparaten; de servicegrens ligt bij Microsoft voor het cloudplatform | Firewallbeleidconfiguratie en firewallstatus van apparaten vanuit het Intune-beheercentrum |
| Secure configuration | Intune-configuratieprofielen en Windows-beveiligingsbaselines, Microsoft Secure Score, en het blokkeren van legacy-verificatie in Entra | Baseline-toewijzing en compliance-rapporten, Secure Score-geschiedenis, aanmeldrapport voor legacy-verificatie |
| User access control | Microsoft Entra-accounts, Conditional Access, multifactor authentication, least-privilege-rollen, en processen voor instroom, doorstroom en uitstroom | Export van Conditional Access-beleid, aanmeldlogs, lijsten met roltoewijzingen, registraties van accountreviews |
| Malware protection | Microsoft Defender Antivirus en Defender for Endpoint, beheerd via Intune, plus Defender for Office 365 Safe Attachments en Safe Links | Configuratie van antivirus- en Defender-beleid, beschermingsstatus van apparaten, en instellingen voor e-mailbeveiligingsbeleid |
| Security update management | Windows Autopatch of Windows Update for Business update rings, Intune quality-updatebeleid, en het updatekanaal van Microsoft 365 Apps | Configuratie van update rings en compliance-rapporten van Windows Update of Autopatch met patchniveaus |
Twee punten verdienen aandacht. Ten eerste richt Cyber Essentials zich op de endpoint-firewall en secure configuration van de apparaten die u beheert, niet alleen op de clouddienst, waardoor het Intune-deel van de koppeling het zwaarst weegt. Ten tweede werd security update management vroeger patch management genoemd; de bedoeling is hetzelfde, en Windows Autopatch is de duidelijkste manier om dit te bewijzen.
ISO 27001:2022 Annex A: geselecteerde controls en bewijsbronnen
ISO 27001 is breder dan Cyber Essentials en omvat governance, mensen en proces naast technologie. De onderstaande controls zijn een subset van de technologische en organisatorische Annex A-controls waarbij Microsoft 365 een primaire bewijsbron is. Ze vormen een startpunt voor uw Statement of Applicability, niet de volledige set.
| Annex A-control | Wat het vraagt | Microsoft 365-bewijsbron |
|---|---|---|
| A.5.15 Access control | Regels om fysieke en logische toegang te beheersen op basis van bedrijfs- en beveiligingsvereisten | Conditional Access-beleid, Entra-roltoewijzingen, en registraties van access packages of access reviews |
| A.8.2 Privileged access rights | Toewijzing en gebruik van bevoorrechte toegang beperkt en beheerd | Microsoft Entra Privileged Identity Management in aanmerking komende rollen, activeringsgoedkeuringen, en downloadbare audit-geschiedenis |
| A.8.7 Protection against malware | Bescherming tegen malware, ondersteund door gebruikersbewustzijn | Beleidsconfiguratie van Defender for Endpoint en Defender for Office 365, en incident- en detectierapporten |
| A.8.8 Management of technical vulnerabilities | Informatie over technische kwetsbaarheden verkregen, blootstelling geëvalueerd en aangepakt | Microsoft Defender Vulnerability Management-blootstellingsrapporten plus patch-compliance via Autopatch of update rings |
| A.8.13 Information backup | Back-upkopieën onderhouden en getest in lijn met een overeengekomen beleid | Configuratie van Microsoft Purview retention policy, plus uw eigen registraties voor configuratie- en databack-up |
A.8.13 vraagt om zorgvuldigheid. Microsoft 365 biedt serviceredundantie en retentiecontrols zoals Purview retention policies, maar het is geen back-upproduct, en het gedeelde verantwoordelijkheidsmodel laat de bescherming van uw data en configuratie bij u. Onderbouw voor een ISO 27001-backupcontrol uw retentieconfiguratie en uw aparte aanpak voor het back-uppen van data en tenantconfiguratie, in plaats van te suggereren dat het platform zichzelf back-upt.
Hoe u bewijs verzamelt zonder screenshot-marathons
Screenshots zijn traag, verouderen snel, en een assessor kan ze niet verifiëren. Elke bron in de bovenstaande tabellen kan in plaats daarvan worden geëxporteerd.
- Microsoft Purview Audit log search exporteert activiteit in de hele tenant naar CSV, zodat u kunt tonen wat er wanneer gebeurde binnen Exchange, SharePoint en beheeracties.
- Microsoft Entra aanmeld- en auditlogs downloaden rechtstreeks als CSV of JSON, als bewijs voor access control, MFA en directorywijzigingen.
- Microsoft Intune rapportexports en weergaven van apparaatcompliance leveren bewijs voor secure configuration, firewall, antivirus en updatestatus op beheerde apparaten.
- Microsoft Entra Privileged Identity Management biedt downloadbare audit-geschiedenis voor activering en goedkeuring van bevoorrechte toegang.
- Microsoft Secure Score-exports volgen de verbetering van secure configuration in de tijd.
- Microsoft Purview Compliance Manager bevat verbeteracties en laat u bewijsbestanden koppelen aan controls, zodat u op één plek een evidence pack kunt samenstellen.
Voor bewijs van beheerde apparaten kan een Intune-rapportagetool compliance-, app-, update- en configuratiesignalen omzetten in herhaalbare audit-packs.
Geef voor alles wat u herhaalt de voorkeur aan een geplande export of een Microsoft Graph- of PowerShell-query boven handmatig doorklikken. Herhaalbare exports houden bewijs actueel tussen audit-cycli en nemen de jaarlijkse haast weg.
Waar EtherAssist en EtherInsights passen
Weten welke instelling aan welke control koppelt, is de helft van het werk. De andere helft is het organiseren van de workflow, het opstellen van de beleidslijnen en procedures die boven de instellingen staan, en het samenstellen van bewijs dat een assessor accepteert.
EtherAssist ondersteunt die compliance-workflow. Het helpt teams controls te koppelen aan Microsoft 365-bewijs, beleidslijnen en procedures op te stellen en te onderhouden, assessments te structureren, en een evidence pack voor te bereiden voor frameworks zoals ISO 27001, ISO 9001, ISO 42001 en Cyber Essentials. Het is gecontroleerde compliance en bewijsvoorbereiding met een mens in de loop; het organiseert en versnelt het werk, en het vervangt niet uw certificerende instelling en garandeert geen certificeringsresultaat.
EtherInsights dekt de posture-kant af. Het geeft u zicht op de Microsoft 365-beveiligingsconfiguratie, een baseline voor de tenant, en drift-detectie, zodat een control die u bij een audit heeft aangetoond, daarna niet stilletjes verandert. Configuratiebackup, drift en herstel houden de estate stabiel tussen beoordelingen door, en dat is precies wat bewijs betrouwbaar houdt in de tijd.
Instellingen koppelen aan controls is de snelste manier om een Microsoft 365-tenant die u al beheert, om te zetten in audit-klaar bewijs. Begin met de vijf Cyber Essentials-controls, breid uit naar de Annex A-controls die voor uw scope relevant zijn, en vervang screenshots door exports die u kunt herhalen.
Ontdek ISO-compliance en auditgereedheid om te zien hoe een gecontroleerde compliance-workflow en bewijsvoorbereiding samenkomen.
