Als een organisatie start met een ISO 27001 of NEN 7510 certificeringstraject, dan is zij verplicht een Verklaring van Toepasselijkheid (VvT) op te stellen. Dat kan een behoorlijke klus zijn, meer dan 100 onderwerpen moeten behandeld worden. Sommige organisaties schrikken hier van. Onze consultants krijgen dan ook geregeld de vraag of echt alle beheersmaatregelen behandeld moeten worden. Reden om deze Verklaring van Toepasselijkheid eens in dit blog toe te lichten.
Wat is de Verklaring van Toepasselijkheid?
De Verklaring van Toepasselijkheid is een document, waarin een organisatie vastlegt welke beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiliging. In feite beschrijft de VvT het toepassingsgebied en de reikwijdte van het informatiebeveiligings–systeem. Het invullen van een VvT is verplicht vanuit zowel de ISO 27001 als NEN 7510 norm.
Voor elke beheersmaatregel uit Annex A van de ISO 27001 of NEN 7510 moet een organisatie de toepasselijkheid aangeven. Het is belangrijk dat je de beheersmaatregel in zijn geheel opneemt en niet alleen de titel noteert. Een beheersmaatregel kan van toepassing zijn als gevolg van een wettelijke eis, een contractuele eis, best practices, een organisatorische eis en/of de risicoanalyse. Deze toepasselijkheid wordt aangegeven aan de hand van een bolletjesmatrix. Daarbij wordt aangegeven waarom de maatregel wel of niet van toepassing is. De bolletjesmatrix wordt uitgebreid met interface en uitbesteed wanneer er een VvT wordt opgesteld voor de NEN 7510.
Het opstellen van een VvT kost veel tijd omdat alle beheersmaatregelen moeten worden beoordeeld, echter biedt het wel een meerwaarde voor de organisatie. De VvT legt de relatie tussen de risico’s voortkomend uit de risicoanalyse, de beheersmaatregelen uit de norm en de maatregelen die de organisatie heeft genomen. Daarnaast geeft de VvT inzicht en structuur. Het stelt zeker dat de organisatie een complete set aan beheersmaatregelen heeft geïmplementeerd.
Heeft jouw organisatie hulp nodig bij het opstellen van de Verklaring van Toepasselijkheid? Onze consultants helpen graag! Neem vrijblijvend contact op en we vertellen je graag alles over de mogelijkheden.
Reduce Risk, Create Value!