De verklaring van toepasselijkheid (bijlage A van de ISO 27001) wordt nog wel eens beschouwd als een noodzakelijk kwaad. Wat is het eigenlijk en wat kun je ermee?
Verklaring van toepasselijkheid toegelicht
De verklaring van toepasselijkheid zelf is een bijlage (annex a) bij de ISO 27001. Binnen de ISO 27001 wordt er vanuit paragraaf 6.1.3 lid c naar verwezen. De tekst luidt:
Een verklaring van toepasselijkheid op te stellen die de benodigde beheersmaatregelen bevat, een rechtvaardiging voor het opnemen ervan, de informatie of ze zijn geïmplementeerd of niet, en de rechtvaardiging om beheersmaatregelen van bijlage A uit te sluiten.”
Deze paragraaf beschrijft dat een bedrijf nog te nemen beheersmaatregelen dient vast te stellen. Ter voorkoming van een blinde vlek moeten die maatregelen worden vergeleken met de lijst standaardmaatregelen uit de verklaring van toepasselijkheid. De verklaring van toepasselijkheid, ook wel conformiteitsverklaring, is een formele opsomming daarvan. Per maatregel geef je aan of je daaraan voldoet of niet. In beide gevallen dient u dit toe te lichten.
Zo kan bijvoorbeeld een bedrijf dat geen software ontwikkelt of laat ontwikkelen, de eisen aan softwareontwikkeling als ‘niet van toepassing’ verklaren. Een bedrijf dat volledig in de Cloud werkt en geen eigen serverkast meer heeft, zal mogelijk regels voor beveiligde zones uitsluiten. Let daarbij wel op dat je niet teveel wilt uitsluiten. De certificeerder zal nagaan of het uitsluiten wel ‘van toepassing’ is. Wanneer de externe auditor terecht van mening is dat je die bepaalde maatregel niet mag uitsluiten zul je dat moeten herstellen. dat betekent natuurlijk niet alleen het aanpassen van de verklaring van toepasselijkheid. Ook zul je de genoemde beheersmaatregelen moeten gaan invoeren.
Relatie met de ISO 27002
Wist je dat de verklaring van Toepasselijkheid een afgeleide is van de ISO 27002? Dat is ook de reden geweest dat de ISO 27001 moest worden geüpdatet nadat de ISO 27001 was gewijzigd.
Rol verklaring van toepasselijkheid
Doordat het een nogal complete opsomming is kun je deze bijlage meteen als een soort van GAP-analyse gebruiken. Het is verstandig om daar vrij snel mee te beginnen. Vaak is het zinvol om dat meteen te doen nadat je het risicobehandelplan heeft opgesteld. Wellicht brengt het je zelfs nog op nieuwe inzichten en kun je het risicobehandelplan daar nog op aanpassen.
De verklaring beschrijft dus voor welke onderdelen de organisatie aantoonbaar ‘in control’ is, zonder daar inhoudelijk op in te gaan. Dit maakt het bijzonder geschikt als communicatiedocument. In contracten tussen organisaties wordt vaak verwezen naar deze Verklaring van toepasselijkheid. Bijvoorbeeld in verwerkersovereenkomsten die nodig zijn in het kader van de Algemene Verordening Gegevensbescherming (AVG).
Een hele klus maar geeft wel houvast
Het is een hele klus om uit te voeren. De verklaring van Toepasselijkheid behandelt immers een paar honderd onderwerpen. Het geeft je echter wel houvast. Na het afwerken van deze volledige checklist weet je in ieder geval dat u een complete set van beheersmaatregelen heeft. Samen met uw risico-inventarisatie en uw risicobehandelplan vormt dit de basis van jullie informatiebeveiligingssysteem.
Binnen onze ISO 27001 pakket hebben wij de verklaring van toepasselijkheid voor u opgenomen. Dat scheelt in ieder geval veel typewerk. Ook kun je binnen onze software de beheersingsmaatregelen die voortvloeien uit de Verklaring van Toepasselijkheid opnemen. Daarmee leg je al een flinke basis voor jullie informatiemanagementsysteem.
