ISO 27001 is een wereldwijd erkende standaard voor organisaties om beheersystemen voor informatiebeveiliging op te zetten. Als uw organisatie ISO 27001-naleving wil bereiken en als zodanig gecertificeerd wil worden, moet u een “Verklaring van Toepasselijkheid” opstellen – een samenvatting van uw ISO 27001-maatregelen en een van de belangrijkste documenten die u nodig hebt om compliant te worden.
Meer weten over ISO 27001? Lees dan onze pagina over de ISO 27001 certificering.
Wat is een Verklaring van Toepasselijkheid?
Een Verklaring van Toepasselijkheid (VvT) is een document dat vereist is voor ISO 27001-certificering. Het is een document dat de Annex A maatregelen vermeldt waarvan uw organisatie heeft vastgesteld dat ze noodzakelijk zijn voor het beperken van risico’s voor informatiebeveiliging en de Annex A maatregelen die zijn uitgesloten.
Dit is een intern document dat u normaal gesproken alleen deelt met uw organisatie en uw certificeringsinstantie. Het is echter essentieel om het goed te doen – als u dit niet doet, kan dit het certificeringsproces vertragen.
Hoe stel ik een Verklaring van Toepasselijkheid op?
Hier volgt een overzicht van de stappen die u moet nemen om een VvT voor uw organisatie samen te stellen.
1. De vereisten begrijpen
De eerste stap bij het schrijven van een ISO 27001 Verklaring van Toepasselijkheid is het begrijpen van de vereisten, wat overweldigend kan zijn als u nieuw bent op het gebied van informatiebeveiliging of ISO 27001.
Niettemin zal het begrijpen van deze vereisten helpen om ervoor te zorgen dat uw VvT nauwkeurig en volledig is. Een overzicht van de vereisten van ISO 27001 is beschikbaar via de officiële website van ISO. Wilt u liever zonder kosten worden ingelicht over de vereisten van ISO 27001? Neem dan vrijblijvend contact op met een van onze specialisten.
2. Een risicoanalyse uitvoeren
Om te beginnen met het schrijven van een ISO 27001 Verklaring van Toepasselijkheid, moet u een risicobeoordeling uitvoeren. Het doel van deze stap is het evalueren van de informatiebeveiligingsrisico’s die uw organisatie schade of verlies kunnen berokkenen.
Als u al een risicobeoordeling hebt uitgevoerd, gebruik die informatie dan als uitgangspunt. Zo niet, begin dan met:
Een geschikte methode bepalen
Uw risicobeoordeling moet worden afgestemd op de omgeving en omstandigheden van uw organisatie. Met andere woorden, u moet een risicobeoordelingsmethode kiezen die de informatie verzamelt die u nodig hebt over de specifieke risico’s die uw bedrijf treffen.
De meeste risicobeoordelingen kunnen een kwalitatieve aanpak volgen waarbij het oordeel wordt gebruikt om risico’s te categoriseren op een lage tot hoge schaal van waarschijnlijkheid, of een kwantitatieve aanpak waarbij wiskundige formules worden gebruikt om verwachte monetaire verliezen van bepaalde risico’s te berekenen. Deze methodes kunnen ook worden gecombineerd met andere methodes zoals asset-based of threat-based.
Zowel de ISO 27005 als de NIST SP 800-30 standaarden kunnen richtlijnen bieden voor het bepalen van de meest geschikte risicomethodologie.
Ondersteuning opzoeken
Als u geen cyberbeveiligingsexpert in uw team hebt, kunt u een consultant inhuren om te helpen bij het opsporen van bedreigingen die van invloed kunnen zijn op het vermogen of het succes van uw organisatie om haar doelen te bereiken. Ze kunnen strategieën of hulpmiddelen voorstellen die ze hebben gebruikt bij het werken met bedrijven in uw branche. Hiermee kunnen ze helpen bij het opstellen van een doelmatige benadering voor uw organisatie.
Nogmaals, dit kan vooral nuttig zijn als uw organisatie niet veel ervaring heeft met risicobeoordelingen. Inbreng van ervaren specialisten kan helpen om een completer risicoprofiel op te stellen.
Risicoanalysetool
Bent u bezig met het realiseren van ISO 27001 compliance? Wij hebben een hulpmiddel voor uw risicoanalyse ontwikkeld dat gratis en vrijblijvend te gebruiken is. De informatie die u invoert kunt u downloaden als PDF, maar wordt niet opgeslagen.
Open de Risicoanalysetool
3. Een risicobeheerstrategie bepalen
Dit is het punt waarop u uw risicobeheerstrategie definieert, beveiligingsrisico’s identificeert en bepaalt wat u moet implementeren om die risico’s effectief te beheren. Een organisatie kan bijvoorbeeld besluiten om een encryptieoplossing te implementeren om gevoelige gegevens te beveiligen.
Zodra u alle onderdelen van uw risicomanagementstrategie hebt gedefinieerd, hebt u een duidelijker beeld van welk(e) type(n) maatregele(n) het meest geschikt is (zijn) om elk onderdeel binnen het IT-systeem van uw organisatie aan te pakken.
4. Het selecteren van de beveiligingsmaatregelen die het meest relevant zijn voor uw organisatie
Elke organisatie is anders en dat betekent dat de maatregelen die u uitvoert uniek kunnen zijn voor uw industrie of branche.
Als u een groot productiebedrijf heeft met meerdere magazijnen waar voorraden altijd worden verzonden of teruggebracht naar de opslag, dan kan fysieke toegangscontrole deel uitmaken van uw ISO 27001 certificeringsproces.
Andere bedrijven zullen echter merken dat ze niet veel fysieke beveiligingsrisico’s lopen en dat een andere reeks maatregelen bovenaan hun prioriteitenlijst staat.
5. De VvT voltooien
U beschikt nu over alle vereisten om uw Verklaring van Toepasselijkheid op te stellen.
Als u ervoor hebt gekozen om een maatregel uit Bijlage A uit te sluiten, is het belangrijk om deze beslissing te rechtvaardigen. U dient de risico’s op te nemen die zijn overwogen en waarvan is vastgesteld dat ze geen hoge prioriteit hebben. Leg indien mogelijk uit waarom een bepaald risico ongeschikt werd geacht voor opname.
U moet ook de reden documenteren voor het opnemen van Bijlage A maatregelen. De reden voor het opnemen van Annex A maatregelen is meestal omdat er is vastgesteld dat deze maatregelen noodzakelijk zijn voor het beperken van een specifiek informatiebeveiligingsrisico.
6. Jaarlijkse updates inplannen
Zodra u uw Verklaring van Toepasselijkheid en risicobeoordeling hebt voltooid, moet u deze goed in de gaten houden. U moet het document regelmatig controleren om er zeker van te zijn dat u nog steeds voldoet aan de vereisten die in de norm worden beschreven.
Zorg er bovendien voor dat u op de hoogte blijft van alle technologische veranderingen die van invloed kunnen zijn op uw programma en risicobehandelingsplan.