De verklaring van toepasselijkheid (bijlage A van de ISO 27001) wordt nog wel eens beschouwd als een noodzakelijk kwaad. Wat is het eigenlijk en wat kun je ermee?
Verklaring van toepasselijkheid toegelicht
De verklaring van toepasselijkheid zelf is een bijlage (annex a) bij de ISO 27001. Binnen de ISO 27001 wordt er vanuit paragraaf 6.1.3 lid d naar verwezen. De tekst luidt:
Een verklaring van toepasselijkheid op te stellen die de benodigde beheersmaatregelen bevat, een rechtvaardiging voor het opnemen ervan, de informatie of ze zijn geïmplementeerd of niet, en de rechtvaardiging om beheersmaatregelen van bijlage A uit te sluiten.”
Deze paragraaf beschrijft dat een bedrijf nog te nemen beheersmaatregelen dient vast te stellen. Ter voorkoming van een blinde vlek moeten die maatregelen worden vergeleken met de lijst standaardmaatregelen uit de verklaring van toepasselijkheid. De verklaring van toepasselijkheid, ook wel conformiteitsverklaring, is een formele opsomming daarvan. Per maatregel geeft u aan of u daaraan voldoet of niet. In beide gevallen dient u dit toe te lichten.
Zo kan bijvoorbeeld een bedrijf dat geen software ontwikkelt of laat ontwikkelen, de eisen aan softwareontwikkeling als ‘niet van toepassing’ verklaren. Een bedrijf dat volledig in de Cloud werkt en geen eigen serverkast meer heeft, zal mogelijk regels voor beveiligde zones uitsluiten. Let daarbij wel op dat u niet teveel wilt uitsluiten. De certificeerder zal nagaan of het uitsluiten wel ‘van toepassing’ is. Wanneer de externe auditor terecht van mening is dat u die bepaalde maatregel niet mag uitsluiten zult u dat moeten herstellen. dat betekent natuurlijk niet alleen het aanpassen van de verklaring van toepasselijkheid. Ook zult u de genoemde beheersmaatregelen moeten gaan invoeren.
Rol verklaring van toepasselijkheid
Doordat het een nogal complete opsomming is kunt u deze bijlage meteen als een soort van GAP-analyse gebruiken. Het is verstandig om daar vrij snel mee te beginnen. Vaak is het zinvol om dat meteen te doen nadat u het risicobehandelplan heeft opgesteld. Wellicht brengt het u zelfs nog op nieuwe inzichten en kunt u het risicobehandelplan daar nog op aanpassen.
De verklaring beschrijft dus voor welke onderdelen de organisatie aantoonbaar ‘in control’ is, zonder daar inhoudelijk op in te gaan. Dit maakt het bijzonder geschikt als communicatiedocument. In contracten tussen organisaties wordt vaak verwezen naar deze Verklaring van toepasselijkheid. Bijvoorbeeld in verwerkersovereenkomsten die nodig zijn in het kader van de Algemene Verordening Gegevensbescherming (AVG).
Een hele klus maar geeft wel houvast
Het is een hele klus om uit te voeren. De verklaring van Toepasselijkheid behandelt immers een paar honderd onderwerpen. Het geeft u echter wel houvast. Na het afwerken van deze volledige checklist weet u in ieder geval dat u een complete set van beheersmaatregelen heeft. Samen met uw risico-inventarisatie en uw risicobehandelplan vormt dit de basis van uw informatiebeveiligingssysteem.
Binnen onze ISO 27001 pakket hebben wij de verklaring van toepasselijkheid voor u opgenomen. Dat scheelt in ieder geval veel typewerk.