Wie met ISO 27001 werkt, ontkomt niet aan de Verklaring van Toepasselijkheid — internationaal de Statement of Applicability (SoA). Het is het document dat auditors als eerste opvragen: één overzicht van alle beheersmaatregelen, met per maatregel of hij van toepassing is en hoe het ervoor staat.
Wat staat er per maatregel in?
- Of de maatregel van toepassing is op uw organisatie — en zo niet, waarom niet (de motivering van uitsluitingen is verplicht en wordt kritisch gelezen).
- Waarom de maatregel van toepassing is: het risico of de eis (wettelijk, contractueel) waaruit dat volgt.
- De implementatiestatus: geïmplementeerd, in uitvoering of nog niet gestart.
De 93 maatregelen van Annex A
De 2022-versie van de norm ordent de beheersmaatregelen van Annex A in vier thema’s: organisatorische maatregelen, maatregelen voor personeel, fysieke maatregelen en technologische maatregelen — samen 93 stuks. De SoA loopt ze allemaal langs. Dat klinkt als veel, maar het dwingt tot de juiste gesprekken: wat is bij ons belegd, waar zit bewijs, en wat is bewust niet van toepassing?
De valkuil: een statisch document
De meeste SoA’s worden één keer opgesteld voor de audit en verouderen daarna in een map. Terwijl juist de actualiteit de waarde bepaalt: een SoA die meebeweegt met uw zelfevaluatie laat op elk moment zien waar u staat. Genereer het document daarom uit een bijgehouden register in plaats van het met de hand bij te werken.
Ook zonder certificeringsambitie
Certificering gebeurt door een onafhankelijke certificerende instelling — maar ook zonder dat traject is een actuele SoA het beste antwoord op beveiligingsvragenlijsten van klanten en de NIS2-zorgplicht: één document dat laat zien wat u geregeld heeft.