ISO 27001 is een wereldwijd erkende standaard voor organisaties om beheersystemen voor informatiebeveiliging op te zetten. Als uw organisatie ISO 27001-naleving wil bereiken en als zodanig gecertificeerd wil worden, moet u een "Verklaring van Toepasselijkheid" opstellen - een samenvatting van uw ISO 27001-maatregelen en een van de belangrijkste documenten die u nodig hebt om compliant te worden.
Want to know more about ISO 27001? Then read our page on the ISO 27001 certification.
What is a Statement of Applicability?
Een Verklaring van Toepasselijkheid (VvT) is een document dat vereist is voor ISO 27001-certificering. Het is een document dat de Annex A maatregelen vermeldt waarvan uw organisatie heeft vastgesteld dat ze noodzakelijk zijn voor het beperken van risico's voor informatiebeveiliging en de Annex A maatregelen die zijn uitgesloten.
Dit is een intern document dat u normaal gesproken alleen deelt met uw organisatie en uw certificeringsinstantie. Het is echter essentieel om het goed te doen - als u dit niet doet, kan dit het certificeringsproces vertragen.
How do I draft a Statement of Applicability?
Here is an overview of the steps you need to take to put together an AoA for your organization.
1. Understand the requirements
The first step in writing an ISO 27001 Statement of Applicability is to understand the requirements, which can be overwhelming if you are new to information security or ISO 27001.
Nevertheless, understanding these requirements will help ensure that your AoA is accurate and complete. An overview of the requirements of ISO 27001 is available through the official website of ISO. Would you prefer to be briefed on the requirements of ISO 27001 at no cost? Then take contact one of our specialists without obligation.
2. Conduct a risk analysis
Om te beginnen met het schrijven van een ISO 27001 Verklaring van Toepasselijkheid, moet u een risicobeoordeling uitvoeren. Het doel van deze stap is het evalueren van de informatiebeveiligingsrisico's die uw organisatie schade of verlies kunnen berokkenen.
If you have already conducted a risk assessment, use that information as a starting point. If not, start with:
Determining an appropriate method
Uw risicobeoordeling moet worden afgestemd op de omgeving en omstandigheden van uw organisatie. Met andere woorden, u moet een risicobeoordelingsmethode kiezen die de informatie verzamelt die u nodig hebt over de specifieke risico's die uw bedrijf treffen.
De meeste risicobeoordelingen kunnen een kwalitatieve aanpak volgen waarbij het oordeel wordt gebruikt om risico's te categoriseren op een lage tot hoge schaal van waarschijnlijkheid, of een kwantitatieve aanpak waarbij wiskundige formules worden gebruikt om verwachte monetaire verliezen van bepaalde risico's te berekenen. Deze methodes kunnen ook worden gecombineerd met andere methodes zoals asset-based of threat-based.
Both the ISO 27005 and NIST SP 800-30 standards can provide guidance for determining the most appropriate risk methodology.
Look up support
If you don't have a cybersecurity expert on your team, you can hire a consultant to help identify threats that could affect your organization's ability or success in achieving its goals. They can suggest strategies or tools they have used when working with companies in your industry. With this, they can help establish an effective approach for your organization.
Again, this can be especially helpful if your organization does not have much experience with risk assessments. Input from experienced specialists can help create a more complete risk profile.
Risk analysis tool
Are you in the process of achieving ISO 27001 compliance? We have developed a tool for your risk analysis that is free and non-binding to use. The information you enter can be downloaded as a PDF, but will not be saved.
Open the Risk analysis tool
3. Define a risk management strategy
Dit is het punt waarop u uw risicobeheerstrategie definieert, beveiligingsrisico's identificeert en bepaalt wat u moet implementeren om die risico's effectief te beheren. Een organisatie kan bijvoorbeeld besluiten om een encryptieoplossing te implementeren om gevoelige gegevens te beveiligen.
Once you have defined all the components of your risk management strategy, you will have a clearer picture of what type(s) of measure(s) are best suited to address each component within your organization's IT system.
4. Selecting the security measures most relevant to your organization
Every organization is different, which means the measures you implement may be unique to your industry or branch.
If you have a large manufacturing company with multiple warehouses where inventory is always being shipped or returned to storage, physical access control can be part of your ISO 27001 certification process.
Andere bedrijven zullen echter merken dat ze niet veel fysieke beveiligingsrisico's lopen en dat een andere reeks maatregelen bovenaan hun prioriteitenlijst staat.
5. Completing the VvT
You now have all the requirements to prepare your Statement of Applicability.
Als u ervoor hebt gekozen om een maatregel uit Bijlage A uit te sluiten, is het belangrijk om deze beslissing te rechtvaardigen. U dient de risico's op te nemen die zijn overwogen en waarvan is vastgesteld dat ze geen hoge prioriteit hebben. Leg indien mogelijk uit waarom een bepaald risico ongeschikt werd geacht voor opname.
You should also document the rationale for including Annex A measures. The reason for including Annex A measures is usually because it has been determined that these measures are necessary to mitigate a specific information security risk.
6. Schedule annual updates
Once you have completed your Statement of Applicability and Risk Assessment, you should keep a close eye on it. You should check the document regularly to ensure that you are still meeting the requirements outlined in the standard.
In addition, be sure to stay abreast of any technological changes that may affect your program and risk treatment plan.