💼 Management Samenvatting
Een Annual Security Review (ASR) is het formele moment waarop Nederlandse bestuursorganen aantonen dat alle Microsoft 365-beveiligingsmaatregelen aansluiten op wetgeving, risicobereidheid en maatschappelijke opdracht. Het combineert technische metingen, procesbewijslast en bestuurlijke besluiten tot één dossier dat het hele jaar als referentie geldt.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
280u (tech: 120u)
Van toepassing op:
✓ Microsoft 365
✓ Entra ID
✓ Microsoft Defender
✓ Microsoft Purview
✓ Azure
✓ Nederlandse publieke sector
✓ Entra ID
✓ Microsoft Defender
✓ Microsoft Purview
✓ Azure
✓ Nederlandse publieke sector
Toezichthouders verlangen aantoonbaarheid dat bestuurders zelf toezicht houden op cloudrisico's. NIS2 artikel 20, de BIO hoofdstukken 9 en 12 en de Archiefwet schrijven voor dat publieke organisaties jaarlijks kunnen verklaren hoe identiteiten, data en detectie zijn geborgd. Zonder gestructureerde ASR blijven maatregelen versnipperd, worden bevindingen ad hoc opgevolgd en ontbreekt een eenduidige bron voor parlementaire vragen of forensisch onderzoek. De review maakt inzichtelijk welke controles daadwerkelijk werken, welke uitzonderingen lopen, welke leverancierskritisch zijn en welk budget nodig is om kwetsbaarheden binnen overeengekomen termijnen te reduceren.
PowerShell Modules Vereist
Primary API: Microsoft Graph, Microsoft Purview, Microsoft Defender for Cloud Apps
Connection:
Required Modules: Microsoft.Graph, ExchangeOnlineManagement, Defender, Az.Accounts
Connection:
Connect-MgGraph, Connect-IPPSSession, Connect-MDE, lokale CSV/JSON datasetsRequired Modules: Microsoft.Graph, ExchangeOnlineManagement, Defender, Az.Accounts
Implementatie
Dit artikel bevat een volledig draaiboek voor een Microsoft 365 Annual Security Review. We beschrijven het bestuurlijk mandaat, de datavereisten, de uitvoering per controledomein en de manier waarop bevindingen worden vertaald naar verbeterprogramma's en auditklare rapportages. Het bijbehorende PowerShell-script automatiseert inventarisaties, planning en rapportage in Local Debug-modus of, indien gewenst, direct tegen Microsoft Graph en Purview. Zo ontstaat een herhaalbare methode waarmee CISO, CIO, FG en bestuur met één stem spreken over de beveiligingsstatus van de digitale werkplek.
Bestuurlijke opdracht, scope en risicokaders
Een Annual Security Review begint bij een helder mandaat. Bestuurders leggen in een formeel besluit vast dat de ASR het enige geldige instrument is om Microsoft 365-beveiliging integraal te beoordelen. Dat besluit beschrijft de rollen van CISO, CIO, FG, proceseigenaren en leveranciers, inclusief de regel dat alleen bevindingen die in het ASR-dossier staan, worden gebruikt om risicobesluiten te nemen. Door deze governance-afspraak ontstaat rust in de organisatie: teams weten dat hun inspanningen op vaste momenten worden beoordeeld in plaats van doorlopend op ad-hocverzoeken in te moeten gaan. Het mandaat benoemt eveneens welke wettelijke kaders leidend zijn – bijvoorbeeld BIO, AVG, Archiefwet, Wet open overheid en specifieke sectorregelingen – zodat discussies over prioriteit of definities worden voorkomen en auditvragen direct naar het juiste hoofdstuk kunnen verwijzen.
De scope van de ASR is breder dan alleen Microsoft 365-configuraties. Het dossier omvat alle identiteiten in Entra ID, alle data die via Microsoft Purview of SharePoint wordt beheerd, alle workloads die gebruikmaken van Defender for Office 365 en Defender for Endpoint, en iedere integratie met Power Platform, Azure of derde partijen die toegang krijgen via API's of serviceprincipals. Daarnaast zijn de ondersteunende processen – change, incident, crisiscommunicatie, aanbesteding en leveranciersselectie – expliciet onderdeel van de review. Door deze holistische scope wordt zichtbaar of technische maatregelen samen optrekken met procedures en contractuele verplichtingen. Het voorkomt de klassieke situatie waarin beheerteams excellente techniek leveren maar governance, archivering of juridische componenten achterblijven.
Een volwassen ASR koppelt scope aan risicobereidheid. Voor elk domein (identiteit, data, toegang, detectie, respons, leveranciers, continuïteit) definieert de organisatie concrete drempelwaarden zoals maximale doorlooptijd voor privileged reviews, toegestane afwijking op DLP-dekking of het minimumpercentage workloads met gecontroleerde Conditional Access. Deze drempelwaarden worden vastgesteld door de raad of het college en gekoppeld aan het financieel kader, zodat duidelijk is welke investeringen nodig zijn om ze te halen. Tijdens de review wordt per KPI vastgelegd of de drempel wel of niet is gehaald, welke afwijking acceptabel is en welke aanvullende controls worden vereist. Door risicobereidheid meetbaar te maken, ontstaat consistentie in besluitvorming en worden discussies over detailcijfers vervangen door strategische dialoog over impact en prioriteit.
Tot slot bepaalt het mandaat hoe het ASR-proces aansluit op planning-en-controlcycli. De review start direct na afronding van de jaarrekening zodat dezelfde gegevens kunnen worden gebruikt voor verantwoording richting gemeenteraad, Provinciale Staten of ministeries. Bevindingen worden vertaald naar het meerjarenprogramma voor digitalisering, zodat budget gekoppeld is aan meetbare beveiligingsdoelen. Het dossier bevat altijd een managementletter, risicoregister en besluitenregister waarin precies staat welke maatregelen worden uitgevoerd, wie eigenaar is en hoe de voortgang wordt gemonitord. Daarmee is de Annual Security Review niet alleen een compliance-instrument, maar een strategisch stuurmiddel binnen de Nederlandse Baseline voor Veilige Cloud.
Dataverzameling, bronnen en kwaliteitsborging
Gebruik PowerShell-script annual-security-review.ps1 (functie Invoke-AnnualSecurityAssessment) – Verzamelt configuratie- en procesindicatoren uit Microsoft Graph, Purview en lokale datasets, normaliseert de gegevens en berekent de compliancegraad per controledomein. De functie kan volledig lokaal worden getest via -LocalDebug..
Een betrouwbare ASR steunt op consistente data. Het reviewteam legt eerst een bronnenregister aan waarin per indicator staat welke API of dataset wordt gebruikt, hoe vaak deze wordt ververst en wie verantwoordelijk is voor de inhoud. Denk aan Purview-retentieconfiguraties, Privileged Identity Management-logs, Defender Secure Score, Intune compliance, Power Platform DLP, Azure AD sign-in rapportages en leveranciersregisters. Door per bron te documenteren welke filters, tijdsperioden en exportformaten worden gebruikt, kunnen auditors de metingen reproduceren en ontstaat een eenduidige waarheid. Dit register is onderdeel van het ASR-dossier en wordt jaarlijks herzien.
Datakwaliteit vraagt om meetprocedures. Voor elke indicator definieert het team validatieregels, zoals het minimumaantal records dat moet worden aangeleverd, welke kruiscontroles verplicht zijn en hoe outliers worden afgehandeld. Een rapportage over Conditional Access wordt bijvoorbeeld pas geaccepteerd als de aantallen overeenkomen met het Entra ID-tenantoverzicht en als uitzonderingsbeleiden expliciet zijn benoemd. De review bevat tevens een logging van wie de dataset heeft aangeleverd, wanneer dat is gebeurd en welke correcties zijn uitgevoerd. Daarmee ontstaat een auditeerbare keten van gegevensverwerking die voldoet aan AVG en Archiefwet.
Het PowerShell-script in deze repository versnelt de dataverzameling. In Assessment-modus leest het script lokale CSV- of JSON-bestanden in, of maakt het – zodra LocalDebug is uitgeschakeld – verbinding met Microsoft Graph om realtime data op te halen. Het script berekent automatisch kernstatistieken zoals het aantal controls dat buiten termijn loopt, de gemiddelde doorlooptijd van remediaties en de verdeling van risico's per organisatieonderdeel. Dankzij Select-MgProfile en gestroomlijnde scope-requests blijft de uitvoering binnen enkele seconden, zodat het script veilig kan worden opgenomen in CI/CD-pipelines of GitHub Actions die het ASR-dossier periodiek bijwerken.
Kwaliteitsborging krijgt vorm via peer reviews en automatische checks. Zodra datasets zijn ingeladen, valideert het script of alle verplichte velden aanwezig zijn, of datumsrangschikkingen logisch zijn en of de documentatie verwijst naar een actueel beleidsdocument. Vervolgens voert een tweede lijn (bijvoorbeeld internal audit of informatiebeveiligingsdienst) steekproeven uit waarin datasets worden vergeleken met ruwe exports uit Microsoft 365. Alleen wanneer deze dubbelcheck positief uitvalt, wordt de dataset vrijgegeven voor opname in de review. Zo waarborgt de organisatie dat de Annual Security Review gebaseerd is op feiten in plaats van interpretaties.
Uitvoering, besluitvorming en rapportageflow
Gebruik PowerShell-script annual-security-review.ps1 (functie Invoke-AnnualSecurityPlanning) – Genereert een reviewkalender, wijst controles toe aan eigenaars, plant workshops met bestuurders en exporteert een overzicht van deadlines en deliverables in CSV of JSON..
De uitvoeringsfase start met een kick-off waarin bestuur, CISO, CIO, FG en belangrijkste leveranciers de planning bevestigen. Tijdens deze sessie worden risico's opnieuw geijkt, worden lessons learned uit incidenten besproken en wordt vastgesteld welke prioriteiten gelden voor de komende review. Daarna volgen per domein thematische deep dives waarbij datasets worden gepresenteerd, bevindingen worden gevalideerd en voorlopige maatregelen worden geformuleerd. Deze sessies worden gestandaardiseerd met templates voor agenda, notulen en bewijslijsten zodat iedereen weet welke informatie nodig is om besluiten te kunnen nemen.
Het PowerShell-script ondersteunt de planning door automatisch een reviewkalender te bouwen uit de aangeleverde datasets en beschikbaarheid van betrokkenen. Elke controle krijgt een eigenaar, een uiterste reviewdatum, de benodigde documenten en een link naar relevante dashboards of runbooks. Dankzij de planningsfunctie wordt duidelijk waar capaciteit ontbreekt en welke afhankelijkheden tussen teams bestaan. Het script kan optioneel een Markdown- of CSV-export genereren, waardoor het eenvoudig wordt om de planning te delen via Teams, Planner of Project for the web.
Op basis van de deep dives stelt het reviewteam een conceptmanagementletter op. Deze brief bevat per domein een samenvatting van geconstateerde sterktes, tekortkomingen, risico's en afhankelijkheden. Besluiten met aanzienlijke impact – bijvoorbeeld het versneld uitfaseren van legacy-authenticatie of het verplichten van customer lockbox voor alle tenants – worden beschreven inclusief budgettaire consequenties. Bestuurders ontvangen de brief minimaal drie weken voordat de definitieve review wordt vastgesteld, zodat zij vragen kunnen stellen, aanvullende informatie kunnen opvragen of externe experts kunnen raadplegen. Het reviewproces eindigt met een bestuurlijke sessie waarin besluiten worden bekrachtigd, uitzonderingen formeel worden goedgekeurd en opdracht wordt gegeven voor de geprioriteerde verbetermaatregelen.
De uiteindelijke rapportage bestaat uit meerdere lagen: een publieke samenvatting, een vertrouwelijk hoofdstuk met technische details en audittrail, en een archiefpakket met alle onderliggende datasets. Het script helpt bij het samenstellen van deze lagen door de relevante bestanden te bundelen, hashes te berekenen voor integriteitscontrole en een manifest te genereren waarmee later kan worden aangetoond dat niets is gewijzigd. Hierdoor voldoet de organisatie aan de eisen van toezichthouders en kan het dossier snel worden gedeeld met auditors, rekenkamers of parlementaire onderzoeken.
Verbeterprogramma, monitoring en assurance
Gebruik PowerShell-script annual-security-review.ps1 (functie Invoke-AnnualSecurityReporting) – Zet bevindingen om in een geprioriteerde verbetermatrix, maakt een auditklaar dossier met bewijsbestanden en kan resultaten exporteren naar JSON, CSV of Markdown voor bestuur en toezichthouders..
Een review zonder opvolging verliest zijn waarde. Daarom wordt iedere bevinding uit de ASR vertaald naar een actie met eigenaar, budget en deadline. Deze acties worden opgenomen in het centrale verbeterprogramma voor informatiebeveiliging en gekoppeld aan bestaande portfolioprocessen, zodat voortgang zichtbaar is in reguliere stuurinformatie. Hoog-risicoacties krijgen wekelijkse monitoring; medium en low risico's worden minimaal maandelijks beoordeeld. Door acties te koppelen aan risico-appetite en KPI's kunnen bestuurders direct zien welke maatregelen het meeste effect hebben op het verlagen van de dreigingsscore.
Monitoring vindt plaats via Power BI-dashboards en Microsoft Sentinel-rapportages waarin indicatoren uit de ASR realtime worden gevolgd. Het script kan periodiek worden aangeroepen door Azure Automation om datasets opnieuw te verzamelen en deltas te berekenen ten opzichte van de vorige review. Zo ontstaat een levend dossier waarin zichtbaar is of maatregelen zijn afgerond, welke nieuwe risico's zijn ontdekt en hoe volwassenheid zich ontwikkelt. Wanneer een indicator opnieuw buiten de bandbreedte valt, wordt automatisch een escalatie gestuurd naar de verantwoordelijke proceseigenaar en, indien nodig, naar de auditcommissie.
Assurance wordt geborgd door onafhankelijke toetsen. Internal audit of een externe partij voert een toets uit op de opzet, bestaan en werking van het ASR-proces. Hierbij wordt gekeken naar volledigheid van het bronnenregister, de kwaliteit van de data-analyses, de tijdigheid van besluiten en de effectiviteit van de opvolging. De bevindingen van deze assurance worden opgenomen in het volgende reviewjaar, zodat het proces zichzelf continu verbetert. Daarnaast wordt minimaal eens per twee jaar een ketenoefening gehouden waarin leveranciers laten zien hoe zij bijdragen aan de ASR-bewijslast.
Door verbeterprogramma, monitoring en assurance te combineren ontstaat een gesloten kwaliteitssysteem. Het bestuur beschikt over actuele inzichten, auditors zien dat maatregelen aantoonbaar werken en operationele teams weten precies welke acties prioriteit hebben. De Annual Security Review wordt zo een vast onderdeel van de Nederlandse Baseline voor Veilige Cloud, waarbij feitelijke data en bestuurlijke besluitvorming elkaar versterken en waarbij de publieke sector proactief kan aantonen dat cloudbeveiliging onder controle is.
Compliance & Frameworks
- BIO: 9.1, 12.1, 12.4, 16.1 - De BIO vereist aantoonbare risicobeoordeling, changebeheer, logging en periodieke evaluaties; de Annual Security Review levert dit dossiermatig bewijs.
- ISO 27001:2022: A.5.1, A.5.30, A.8.29, A.10.1 - ISO 27001 benadrukt leiderschap, continue verbetering, beheer van technische kwetsbaarheden en compliance-rapportage; deze review koppelt al deze elementen.
- NIS2: Artikel - NIS2 verplicht bestuurders om toezicht te houden op risicobeheer en verifieerbare rapportages te leveren; de Annual Security Review documenteert dit toezicht.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Annual Security Review (ASR) automatisering voor Microsoft 365 governance.
.DESCRIPTION
Ondersteunt Nederlandse overheidsorganisaties bij het verzamelen, plannen en rapporteren
van controlegegevens voor de Annual Security Review binnen het programma
"Nederlandse Baseline voor Veilige Cloud". Het script kan datasets inlezen uit CSV/JSON,
lokaal voorbeelddata genereren of – wanneer LocalDebug wordt uitgeschakeld –
verbinding maken met Microsoft Graph en gerelateerde beheer-API's.
.NOTES
Filename : annual-security-review.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Created : 2025-11-27
Related : content/m365/governance/annual-security-review.json
Modules : Microsoft.Graph.Authentication, ExchangeOnlineManagement, Az.Accounts, Defender
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\annual-security-review.ps1 -Assessment -LocalDebug
Voert een beoordeling uit met voorbeelddata zonder cloudverbinding.
.EXAMPLE
.\annual-security-review.ps1 -Planning -InputPath .\controls.csv
Genereert een reviewkalender op basis van een CSV-bestand.
.EXAMPLE
.\annual-security-review.ps1 -Reporting -OutputPath .\exports -WhatIf
Produceert een rapportagestructuur en toont welke bestanden zouden worden weggeschreven.
#>
#Requires -Version 5.1
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Planning')]
[switch]$Planning,
[Parameter(ParameterSetName = 'Reporting')]
[switch]$Reporting,
[string]$InputPath,
[string]$OutputPath,
[switch]$LocalDebug,
[switch]$WhatIf
)
Set-StrictMode -Version Latest
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Write-NbvcHeader {
param(
[string]$Title
)
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Annual Security Review - $Title" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
}
function Test-NbvcModuleAvailability {
if ($LocalDebug) {
Write-Verbose "LocalDebug actief: modulecontrole overgeslagen."
return
}
$required = @(
'Microsoft.Graph.Authentication',
'ExchangeOnlineManagement',
'Az.Accounts',
'Defender'
)
foreach ($module in $required) {
if (-not (Get-Module -ListAvailable -Name $module)) {
throw "Vereist PowerShell-module '$module' ontbreekt. Installeer het module voordat u de review uitvoert."
}
}
}
function Initialize-NbvcSecurityContext {
if ($LocalDebug) {
Write-Verbose "LocalDebug actief: er worden geen cloudverbindingen opgezet."
return
}
Test-NbvcModuleAvailability
try {
if (-not (Get-MgContext)) {
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Gray
Connect-MgGraph -Scopes @(
'Policy.Read.All',
'Directory.Read.All',
'Reports.Read.All',
'SecurityEvents.Read.All'
) -ErrorAction Stop | Out-Null
}
if (-not (Get-Module -Name ExchangeOnlineManagement -ListAvailable)) {
throw "ExchangeOnlineManagement module ontbreekt ondanks eerdere controle."
}
}
catch {
throw "Kon context niet initialiseren: $($_.Exception.Message)"
}
}
function Get-AsrSampleData {
$today = Get-Date
return @(
[pscustomobject]@{
ControlId = 'ID-01'
Domain = 'Identity & Access'
Owner = 'CISO Office'
Framework = 'BIO 12.1 / NIS2 Art.21'
Status = 'Achterstallig'
LastReview = $today.AddDays(-190)
TargetDate = $today.AddDays(-30)
RiskScore = 85
RequiredActions = 'Voltooi PIM access reviews, documenteer uitzonderingen, rapporteer aan auditcommissie.'
EvidenceSource = 'Entra ID access reviews, PIM export'
},
[pscustomobject]@{
ControlId = 'ID-02'
Domain = 'Data & Purview'
Owner = 'FG / Privacy Office'
Framework = 'AVG Art.32'
Status = 'Op koers'
LastReview = $today.AddDays(-60)
TargetDate = $today.AddDays(15)
RiskScore = 42
RequiredActions = 'Actualiseer retentiebeleid voor hoog-risicosites en koppel aan verwerkingsregister.'
EvidenceSource = 'Purview label export, SharePoint site inventory'
},
[pscustomobject]@{
ControlId = 'ID-03'
Domain = 'Threat Protection'
Owner = 'SOC / Operations'
Framework = 'ISO27001 A.5.30'
Status = 'Kritiek'
LastReview = $today.AddDays(-300)
TargetDate = $today.AddDays(-120)
RiskScore = 92
RequiredActions = 'Implementeer EDR coverage > 98%, documenteer resterende uitzonderingen, lever roadmap.'
EvidenceSource = 'Defender for Endpoint coverage report'
}
)
}
function Import-AsrDataset {
if ($LocalDebug -or -not $InputPath) {
Write-Verbose "Voorbeelddataset wordt gebruikt."
return Get-AsrSampleData
}
if (-not (Test-Path -Path $InputPath -PathType Leaf)) {
throw "Inputbestand '$InputPath' bestaat niet."
}
$extension = [IO.Path]::GetExtension($InputPath)
switch ($extension.ToLower()) {
'.csv' { return Import-Csv -Path $InputPath }
'.json' { return Get-Content -Path $InputPath -Raw | ConvertFrom-Json }
default { throw "Ondersteunde formaten: CSV of JSON. Aangeleverd: $extension" }
}
}
function Invoke-AnnualSecurityAssessment {
Write-NbvcHeader -Title "Assessment"
Initialize-NbvcSecurityContext
$dataset = Import-AsrDataset
if (-not $dataset -or $dataset.Count -eq 0) {
throw "Geen dataset beschikbaar voor assessment."
}
$metrics = [pscustomobject]@{
TotalControls = $dataset.Count
OnTrack = ($dataset | Where-Object { $_.Status -match 'Op koers|Compleet' }).Count
AtRisk = ($dataset | Where-Object { $_.Status -match 'Achterstallig' }).Count
Critical = ($dataset | Where-Object { $_.Status -match 'Kritiek' }).Count
AverageRisk = [math]::Round(($dataset | Measure-Object -Property RiskScore -Average).Average, 1)
}
Write-Host "Totaal aantal controles : $($metrics.TotalControls)" -ForegroundColor White
Write-Host "Op koers : $($metrics.OnTrack)" -ForegroundColor Green
Write-Host "Achterstallig : $($metrics.AtRisk)" -ForegroundColor Yellow
Write-Host "Kritiek : $($metrics.Critical)" -ForegroundColor Red
Write-Host "Gemiddelde risico score : $($metrics.AverageRisk)" -ForegroundColor Cyan
$topFindings = $dataset | Sort-Object RiskScore -Descending | Select-Object -First 5
Write-Host "`nTop bevindingen:" -ForegroundColor Cyan
foreach ($finding in $topFindings) {
Write-Host (" - [{0}] {1} ({2}) --> {3}" -f $finding.ControlId, $finding.Domain, $finding.Owner, $finding.RequiredActions) -ForegroundColor Gray
}
return [pscustomobject]@{
Dataset = $dataset
Metrics = $metrics
}
}
function Invoke-AnnualSecurityPlanning {
Write-NbvcHeader -Title "Planning"
$assessment = Invoke-AnnualSecurityAssessment
$plan = foreach ($control in $assessment.Dataset) {
$priority = switch ($control.Status) {
{ $_ -match 'Kritiek' } { 'P1 - Hoog' ; break }
{ $_ -match 'Achterstallig'} { 'P2 - Middel'; break }
default { 'P3 - Laag' }
}
[pscustomobject]@{
ControlId = $control.ControlId
Owner = $control.Owner
Domain = $control.Domain
Priority = $priority
NextReview = if ($control.TargetDate) { [datetime]$control.TargetDate } else { (Get-Date).AddDays(30) }
RequiredSteps = $control.RequiredActions
}
}
$planView = $plan | Sort-Object Priority, NextReview | Format-Table ControlId, Owner, Priority, NextReview | Out-String
Write-Host $planView
if ($OutputPath) {
if (-not (Test-Path -Path $OutputPath)) {
New-Item -ItemType Directory -Path $OutputPath -Force | Out-Null
}
$planFile = Join-Path -Path $OutputPath -ChildPath ("ASR-Planning-{0:yyyyMMdd-HHmmss}.csv" -f (Get-Date))
if ($WhatIf) {
Write-Host "`nWhatIf: planning zou worden opgeslagen als $planFile" -ForegroundColor Yellow
}
else {
$plan | Export-Csv -Path $planFile -Encoding UTF8 -NoTypeInformation
Write-Host "`nPlanning geëxporteerd naar $planFile" -ForegroundColor Green
}
}
return $plan
}
function Invoke-AnnualSecurityReporting {
Write-NbvcHeader -Title "Reporting"
$assessment = Invoke-AnnualSecurityAssessment
$plan = Invoke-AnnualSecurityPlanning
$report = [pscustomobject]@{
GeneratedOn = Get-Date
Metrics = $assessment.Metrics
CriticalItems = $plan | Where-Object { $_.Priority -eq 'P1 - Hoog' }
Owners = ($plan | Group-Object Owner | Sort-Object Count -Descending | ForEach-Object {
[pscustomobject]@{
Owner = $_.Name
Controls = $_.Count
}
})
}
Write-Host "Rapportdatum: $($report.GeneratedOn)" -ForegroundColor White
Write-Host "Aantal kritieke acties: $($report.CriticalItems.Count)" -ForegroundColor Red
if ($OutputPath) {
if (-not (Test-Path -Path $OutputPath)) {
New-Item -ItemType Directory -Path $OutputPath -Force | Out-Null
}
$reportFile = Join-Path -Path $OutputPath -ChildPath ("ASR-Report-{0:yyyyMMdd-HHmmss}.json" -f (Get-Date))
if ($WhatIf) {
Write-Host "`nWhatIf: rapport zou worden opgeslagen als $reportFile" -ForegroundColor Yellow
}
else {
$report | ConvertTo-Json -Depth 5 | Out-File -FilePath $reportFile -Encoding UTF8
Write-Host "`nRapport opgeslagen naar $reportFile" -ForegroundColor Green
}
}
return $report
}
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' { Invoke-AnnualSecurityAssessment | Out-Null }
'Planning' { Invoke-AnnualSecurityPlanning | Out-Null }
'Reporting' { Invoke-AnnualSecurityReporting | Out-Null }
default { Invoke-AnnualSecurityAssessment | Out-Null }
}
}
catch {
Write-Host "Fout tijdens Annual Security Review: $($_.Exception.Message)" -ForegroundColor Red
exit 1
}
finally {
Write-Host "`n========================================" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder jaarlijks reviewproces ontbreekt een eenduidig beeld van Microsoft 365-risico's, worden compliance-eisen vanuit NIS2, BIO en AVG niet gehaald en kan het bestuur geen onderbouwde besluiten nemen bij incidenten of audits.
Management Samenvatting
Richt een formele Annual Security Review in met duidelijke scope, dataprocedures, planning en assurance. Gebruik het script `code/m365/governance/annual-security-review.ps1` om gegevens te verzamelen, planning te automatiseren en rapportages te genereren, zodat bestuurders aantoonbaar grip hebben op de Microsoft 365-omgeving.
- Implementatietijd: 280 uur
- FTE required: 0.5 FTE