Verklaring van toepasselijkheid ISO 27001

Verklaring van Toepasselijkheid ISO 27001: Wat Je Moet Weten

De Verklaring van Toepasselijkheid is de bijlage A van de ISO 27001. Feitelijk is het de opsomming van alle beheersmaatregelen die binnen de ISO 27002 worden genoemd. Dit is ook meteen de reden dat de ISO 27001 moest worden herzien nadat de ISO 27002 was gewijzigd. De Verklaring van Toepasselijkheidwordt vaak gezien als een noodzakelijk kwaad, maar biedt tegelijkertijd onmisbare houvast voor de inrichting van een gedegen informatiebeveiligingssysteem. In dit artikel leggen we uit wat de Verklaring van Toepasselijkheid inhoudt en hoe je deze effectief kunt gebruiken.

Wat is een Verklaring van Toepasselijkheid?

De Verklaring van Toepasselijkheid is een formeel document dat onderdeel is van het informatiebeveiligingsmanagementsysteem (ISMS) van een organisatie. Het geeft een overzicht van:

  • Beveiligingsmaatregelen (controls) uit ISO de 27001 die relevant en van toepassing zijn op de organisatie.
  • Redenen waarom bepaalde maatregelen zijn gekozen of juist zijn uitgesloten.
  • De huidige implementatiestatus van deze maatregelen.

Kort gezegd is de Verklaring van Toepasselijkheid een samenvatting van de beveiligingsstrategie van een organisatie, afgestemd op de specifieke risico’s en bedrijfscontext.

Het doel van de Verklaring van Toepasselijkheid

De Verklaring van Toepasselijkheid heeft meerdere belangrijke functies:

  1. Verantwoordelijkheid en transparantie:  Het document toont aan welke beveiligingsmaatregelen zijn genomen om risico’s te beheersen en waarom bepaalde keuzes zijn gemaakt.

  2. Ondersteuning bij audits. Tijdens een ISO 27001-audit wordt de Verklaring van Toepasselijkheid vaak gebruikt als leidraad om te beoordelen of de beveiligingsmaatregelen aanwezig en effectief zijn.

  3. Risicobeheer. Het helpt organisaties risico’s systematisch te identificeren, beoordelen en mitigeren.

  4. Continuïteit. Het document zorgt ervoor dat beveiligingsmaatregelen consistent blijven, ook bij veranderende bedrijfsomstandigheden.

Hoe stel je een Verklaring van Toepasselijkheid op?

Het opstellen van een Verklaring van Toepasselijkheid (VvT) vereist een gestructureerde aanpak:

  1. Risicoanalyse uitvoeren. Voordat de Verklaring van Toepasselijkheid wordt opgesteld, voer je meestal eerst een uitgebreide risicoanalyse uit. Deze analyse identificeert potentiële bedreigingen en kwetsbaarheden die impact kunnen hebben op de organisatie. Je kunt echter ook de verklaring van Toepasselijkheid gebruiken als leidraad om die risico-inventarisatie op te stellen. Daarna ga je dan na of er nog potentiële dreigingen over het hoofd zijn gezien.

  2. Selectie van maatregelen. Mede op basis van de risicoanalyse stel je per beveiligingsmaatregel vast hoe jullie daaraan gaan voldoen.  De Verklaring van Toepasselijkheid bevat 93 beveiligingsmaatregelen (na de ISO 27001:2022 update), verdeeld over thema’s zoals beleidsontwikkeling, toegang tot systemen, en incidentbeheer.

  3. Uitsluitingen documenteren. Als je besluit bepaalde maatregelen niet toe te passen, moet je dit in de Verklaring van Toepasselijkheid onderbouwen. Het is essentieel om een duidelijke en objectieve reden op te geven. de certificeerder gaat zeker na of de uitsluiting terecht is.

  4. Beheersmaatregelen implementeren. De maatregelen die worden opgenomen in de Verklaring van Toepasselijkheid moeten daadwerkelijk worden geïmplementeerd en onderhouden. dat is natuurlijk logisch, maar toch.

  5. Periodieke herziening. De VvT is geen statisch document. Het moet regelmatig worden herzien en bijgewerkt om relevant te blijven in een veranderende bedrijfsomgeving. Plan dit bijvoorbeeld in als onderdeel van de directiebeoordeling. Per beveiligingsmaatregel ga je na of deze nog steeds actueel en effectief is. Het is slim om dit door middel van interne audits te doen.

Best practices voor een effectieve Verklaring van Toepasselijkheid

  • Houd het beknopt maar volledig. Geef alleen de noodzakelijke details, maar zorg ervoor dat alle belangrijke informatie wordt opgenomen.

  • Betrek stakeholders. Zorg dat afdelingen zoals IT, compliance en het management betrokken zijn bij het opstellen en actualiseren van de Verklaring van Toepasselijkheid.

  • Maak het controleerbaar. Zorg ervoor dat elke maatregel die in de Verklaring van Toepasselijkheid staat, kan worden gecontroleerd en getoetst tijdens audits.

Veelgemaakte fouten bij het opstellen van een Verklaring van Toepasselijkheid

  1. Geen duidelijke uitsluitingen.   Het niet goed documenteren waarom bepaalde maatregelen niet zijn opgenomen, gaan tijdens de externe audit problemen veroorzaken. De certificeerder zal eisen dat je dit eerst oplost voordat hij een positief advies kan gaan verstrekken over het behalen van het ISO 27001 certificaat.

  2. Geen periodieke updates.   Bedrijfsomgevingen veranderen. Een VvT die niet regelmatig wordt bijgewerkt, raakt snel verouderd.

  3. Te technische benadering.   Hoewel de Verklaring van Toepasselijkheid vaak door IT-afdelingen wordt opgesteld, moet het document ook begrijpelijk zijn voor niet-technische stakeholders. Sterker nog; het is vaak het gedrag van medewerkers die een bedreiging vormt voor de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. De beschreven beheersmaatregelen moeten dus voor iedere betrokkene begrijpbaar zijn.

Conclusie

De *Verklaring van Toepasselijkheid is een onmisbaar document voor organisaties die streven naar optimale informatiebeveiliging en ISO 27001-certificering. Het helpt bij het effectief beheren van risico’s en zorgt voor transparantie en controleerbaarheid van beveiligingsmaatregelen. Door de VvT zorgvuldig op te stellen, regelmatig te herzien en af te stemmen op de specifieke context van uw organisatie, versterk je niet alleen het beveiligingsbeleid, maar ook het vertrouwen van klanten en partners.

Natuurlijk is de Verklaring van Toepasselijkheid ook een onderdeel van onze ISO 27001 - systemen. Wij hebben de Verklaring van Toepasselijkheid opgenomen binnen de ISO-matrix. Deze matrix geeft een mooi overzicht van wat je waar hebt geregeld en is te gebruiken als een checklist en zelfs als een instrument om de risico-inventarisatie mee uit te voeren. Kijk hier voor meer informatie over onze ISO 27001 - systemen.

Meli
Door

Meli

op 19 Jul 2023

Hoelang is een verklaring van toepasselijkheid geldig?

J. van der Rijst
Door

J. van der Rijst

op 19 Jul 2023

Hallo Meli, Leuke vraag! De Verklaring van Toepasselijkheid is een document dat feitelijk nooit af is. Je maakt hem en meteen daarna kan hij al veroudert zijn. Dat ligt aan de omgeving waarin jouw organisatie werkt en de wijzigingen die jouw organisatie doorvoert. Denk aan een organisatorische wijziging, het toevoegen of wijzigen van een product of dienst etc. Je zal dan ook periodiek moeten nagaan of de Verklaring van Toepasselijkheid nog actueel is. De minimale frequentie is 1 maal per jaar. Bijvoorbeeld tijdens het uitvoeren van de directiebeoordeling. Maar tussentijdse wijzigingen zijn dus zeker denkbaar. Is dit zo duidelijk? Met warme groet, Hans

Reactie plaatsen