Verklaring van toepasselijkheid bij ISO 27001
De verklaring van toepasselijkheid is een verplicht document bij ISO 27001 . Het Engelse begrip is Statement of Applicability, afgekort SoA. In dit document leg je per beheersmaatregel uit Annex A vast of je hem toepast en waarom. De SoA volgt direct uit je risicoanalyse en is een van de eerste documenten die de auditor opvraagt.
De verklaring van toepasselijkheid is uniek voor ISO 27001. Andere managementsysteemnormen kennen dit document niet. De NEN-versie van de norm vereist het expliciet in hoofdstuk 6.1.3.
Wat is de verklaring van toepasselijkheid?
De verklaring van toepasselijkheid is een overzicht van alle 93 beheersmaatregelen uit Annex A van ISO 27001:2022. Voor elke maatregel noteer je drie dingen: of je hem toepast, waarom wel of niet, en hoe ver je bent met de invoering.
Het document koppelt je risico’s aan concrete maatregelen. Je risicoanalyse laat zien welke risico’s je wilt verkleinen. De SoA laat zien met welke maatregelen je dat doet. Zo kan de auditor in één oogopslag zien of je keuzes onderbouwd zijn.
De SoA is geen losse checklist. Het is de brug tussen je risicoanalyse en de maatregelen die je daadwerkelijk hebt ingevoerd. Zonder onderliggende risicoanalyse is een SoA waardeloos.
Welke onderdelen zijn verplicht?
ISO 27001 schrijft voor wat er in de verklaring van toepasselijkheid moet staan. Per maatregel uit Annex A leg je het volgende vast:
| Onderdeel | Wat je noteert |
|---|---|
| Maatregel | Het nummer en de titel uit Annex A (bijv. A.8.5) |
| Toepasselijk | Ja of nee |
| Rechtvaardiging | Waarom je de maatregel wel of niet toepast |
| Implementatiestatus | Geïmplementeerd, in uitvoering of gepland |
| Verwijzing | Naar het beleid, de procedure of het bewijs |
Het belangrijkste is de rechtvaardiging. Voor elke maatregel die je niet toepast, moet je uitleggen waarom niet. “Niet van toepassing” zonder onderbouwing is een veelvoorkomende reden voor een auditbevinding.
Voorbeeld van een SoA-rij
Zo ziet een ingevulde rij in de verklaring van toepasselijkheid eruit. Stel: je hebt uit je risicoanalyse het risico “ongeautoriseerde toegang tot klantgegevens”.
| Maatregel | Toepasselijk | Rechtvaardiging | Status | Verwijzing |
|---|---|---|---|---|
| A.8.5 Veilige authenticatie | Ja | Risico R001: ongeautoriseerde toegang. MFA verkleint de kans. | Geïmplementeerd | Toegangsbeleid v2.1 |
| A.7.4 Fysieke beveiligingsmonitoring | Nee | Volledig cloud, geen eigen serverruimte | N.v.t. | Scope-document |
De tweede rij laat zien hoe je een uitsluiting onderbouwt. Een softwarebedrijf zonder eigen datacenter heeft geen fysieke beveiligingsmonitoring nodig, maar legt dat wel netjes vast.
Hoe stel je de verklaring van toepasselijkheid op?
Je stelt de SoA op nadat je de risicoanalyse hebt afgerond. De stappen hieronder volgen de logische volgorde.
Voer eerst je risicoanalyse uit
De SoA bouwt op je risicoanalyse. Begin daar dus mee. Lees hoe je dat doet op de pagina over de ISO 27001 risicoanalyse.
Zet alle 93 Annex A-maatregelen op een rij
Maak een overzicht met alle maatregelen uit Annex A. De nummers en titels mag je vrij gebruiken. De volledige normtekst koop je via NEN . Een eenvoudig spreadsheet volstaat.
Bepaal per maatregel of hij van toepassing is
Loop elke maatregel langs. Vraag je af: helpt deze maatregel om een van mijn risico’s te verkleinen? Zo ja, dan is hij van toepassing. Zo nee, leg uit waarom niet.
Noteer de rechtvaardiging en status
Vul per maatregel de rechtvaardiging in en geef aan hoe ver je bent met invoeren. Verwijs naar het beleid of de procedure waarin de maatregel is uitgewerkt.
Laat de SoA goedkeuren
De directie keurt de SoA goed als onderdeel van de risicobehandeling. Daarmee bevestigt het management de gemaakte keuzes.
Een veelgemaakte fout is het kopiëren van een standaard-SoA van internet. De auditor prikt hier doorheen. De SoA moet reflecteren hoe jouw organisatie de norm heeft ingevuld, niet hoe een template eruitziet.
De relatie met Annex A en de risicoanalyse
De verklaring van toepasselijkheid staat niet op zichzelf. Drie documenten horen bij elkaar:
- De risicoanalyse bepaalt welke risico’s je wilt aanpakken.
- Annex A levert de catalogus van 93 maatregelen waaruit je kiest.
- De verklaring van toepasselijkheid legt vast welke maatregelen je kiest en waarom.
De SoA is een levend document. Verandert je risicoprofiel, dan kunnen maatregelen relevant of irrelevant worden. Review de SoA daarom regelmatig, samen met je risicoanalyse, als onderdeel van je ISMS-onderhoud.
Meer informatie
- Annex A – De 93 beheersmaatregelen uitgelegd
- Risicoanalyse – Van risico naar maatregel
- Eisen van de norm – Hoofdstuk 6.1.3 over de SoA
- Verplichte documenten – Volledig overzicht van alle documenten die de norm eist
- Stappenplan – De SoA in het totale traject
- Wat is ISO 27001? – Terug naar de hub