ISO 27001 Verklaring van Toepasselijkheid: Complete gids

Inleiding

De Verklaring van Toepasselijkheid (VvT) is het belangrijkste document in een ISO 27001-implementatie. Het verbindt uw risicobeoordeling met de geïmplementeerde maatregelen en dient als primaire referentie voor certificeringsauditors.

Wat is de Verklaring van Toepasselijkheid?

De VvT is formeel vereist door ISO 27001 Clausule 6.1.3(d). Voor elk van de 93 Annex A-maatregelen moet worden gedocumenteerd: Toepasselijkheid, Rechtvaardiging voor opname, Implementatiestatus en Implementatiewijze.

De drie beslissingen voor elke maatregel

Beslissing 1 — Is het van toepassing? Uitsluitingen moeten worden gerechtvaardigd. Beslissing 2 — Waarom is het opgenomen? Koppel elke maatregel aan een risico, wettelijke vereiste of contractuele verplichting. Beslissing 3 — Wat is de status? Gepland, In uitvoering of Geïmplementeerd.

Uw Verklaring van Toepasselijkheid opbouwen

Stap 1: Beginnen met het risicobehandelingsplan. Stap 2: Maatregelen toevoegen vanuit wettelijke vereisten. Stap 3: Resterende maatregelen beoordelen. Stap 4: Uitsluitingen zorgvuldig documenteren. Stap 5: Managementgoedkeuring verkrijgen.

Veelvoorkomende VvT-fouten die audits doen mislukken

Algemene rechtvaardigingen: "N.v.t." zonder uitleg is een waarschuwingssignaal. Ontkoppeling van risicoregister: Maatregelen zonder koppeling aan specifieke risico's. Optimistisch statusrapport: Maatregelen als "geïmplementeerd" markeren terwijl ze slechts gedeeltelijk aanwezig zijn. Statisch document: VvT niet bijwerken bij wijzigingen.

De VvT actueel houden

De VvT moet minimaal jaarlijks worden herzien en bij significante wijzigingen: nieuwe diensten, nieuwe risico's, statuswijzigingen of auditbevindingen.

Behandel de VvT-herziening als vast agendapunt in uw kwartaalse ISMS-directiebeoordeling.

Belangrijkste punten

De VvT is de ruggengraat van uw ISO 27001 ISMS. Een kwalitatief goede VvT versnelt de certificering, vereenvoudigt surveillanceaudits en biedt een duidelijke routekaart voor verbetering.