Verklaring van toepasselijkheid ISO 27001

De verklaring van toepasselijkheid (bijlage A van de ISO 27001) wordt nog wel eens beschouwd als een noodzakelijk kwaad. Wat is het eigenlijk en wat kun je ermee?

Wat is de verklaring van toepasselijkheid?

Een Verklaring van Toepasselijkheid is een document waarmee een organisatie vastlegt welke Beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiliging. De ISO27001 zegt er in hoofdstuk 6.1.3, lid d het volgende over:

"Een verklaring van toepasselijkheid op te stellen die de benodigde beheersmaatregelen bevat, een rechtvaardiging voor het opnemen ervan, de informatie of ze zijn geïmplementeerd of niet, en de rechtvaardiging om beheersmaatregelen van bijlage A uit te sluiten.”

Het vormt dus een overzicht van alle onderwerpen waarvan de norm aangeeft dat u daar beheersmaatregelen op moet uitvoeren.

Bij elke beheersmaatregel uit de annex van de ISO 27001 geeft u de volgende informatie:

• De toepasselijkheid: is de Beheersmaatregel wel of niet van toepassing op uw organisatie?
• Onderbouwing toepasselijkheid: Aan de hand van de risicobeoordeling, wet- en regelgeving, contractuele verplichtingen legt u uit waarom de Beheersmaatregel wel of niet van toepassing is.
• Uitwerking: Hier legt u uit hoe u voldoet aan de U geeft hier ook aan of er specifieke Maatregelen zijn die u heeft genomen en die passen bij deze Beheersmaatregel.
• Implementatie: geef aan wanneer de Beheersmaatregel volledig is geïmplementeerd.

Het is een hele klus om uit te voeren. De verklaring van Toepasselijkheid behandelt immers een paar honderd onderwerpen. Het geeft u echter wel houvast. Na het afwerken van deze volledige checklist weet u in ieder geval dat u een complete set van beheersmaatregelen heeft. Samen met uw risico-inventarisatie en uw risicobehandelplan vormt dit de basis van uw informatiebeveiligingssysteem.

Binnen onze ISO 27001 pakket hebben wij de verklaring van toepasselijkheid voor u opgenomen. Dat scheelt in ieder geval veel typewerk.