Verklaring van toepasbaarheid (SoA): de complete gids

Wat is een verklaring van toepasselijkheid?

Simpel gezegd, in zijn zoektocht om waardevolle informatiemiddelen te beschermen en de informatieverwerkingsfaciliteiten te beheren, geeft de SoA aan welke ISO 27001-controles en -beleidsregels door de organisatie worden toegepast. Het is een benchmark ten opzichte van de controles uit bijlage A die zijn vastgelegd in de ISO 27001-norm (beschreven aan de achterkant van dat ISO-normendocument als referentiecontroledoelstellingen en -controles).

De verklaring van toepasbaarheid is te vinden in 6.1.3 van de belangrijkste eisen voor ISO 27001, die deel uitmaakt van de bredere 6.1, gericht op acties om risico's en kansen aan te pakken.

De SoA is daarom een ​​integraal onderdeel van de verplichte ISO 27001-documentatie die aan een externe auditor moet worden gepresenteerd wanneer het ISMS een onafhankelijke audit ondergaat, bijvoorbeeld door een UKAS-auditcertificeringsinstantie.

Op wie is ISO 27001 van toepassing?

ISO 27001 is van toepassing op alle soorten en maten organisaties, inclusief publieke en private bedrijven, overheidsinstanties en non-profitorganisaties. De rode draad, ongeacht de omvang, het type, de geografie of de sector van de organisatie, is dat de organisatie ernaar streeft de beste praktijken aan te tonen in haar benadering van informatiebeveiligingsbeheer. Best practice kan uiteraard anders geïnterpreteerd worden.

De ISO-norm heeft alles te maken met het ontwikkelen van een systeem voor het beheer van informatiebeveiligingsrisico's. Dus afhankelijk van de bereidheid van het leiderschap van de organisatie om informatierisico's te nemen en de reikwijdte van de middelen om risico's aan te pakken, kunnen de toegepaste controles en beleidslijnen aanzienlijk variëren van organisatie tot organisatie, maar toch voldoen aan de ISO 27001-controledoelstellingen.

Wat wel duidelijk is, is dat het behalen van de ISO 27001-certificering door middel van een onafhankelijke audit door een goedgekeurde ISO-certificeringsinstantie, zal betekenen dat de organisatie een erkend controleniveau (best practice als standaard) heeft bereikt voor de informatiemiddelen en verwerkingsfaciliteiten.

ISO 27001-certificering geeft geïnteresseerde partijen zoals machtige klanten en prospects een hoger niveau van vertrouwen dan zelfontwikkelde methoden of alternatieve standaarden die niet dezelfde onafhankelijke audit of internationale erkenning dragen.

Waarom is de SoA belangrijk?

Samen met de Reikwijdte van het informatiebeveiligingsbeheersysteem (4.3 van ISO 27001) biedt de VvE een overzichtsvenster van de controles die door de organisatie worden gebruikt. De SoA is een kernvereiste om de ISO-certificering van het ISMS te behalen en zal samen met de reikwijdte een van de eerste dingen zijn waar een auditor naar zal kijken bij zijn auditwerk.

Deze documentatie zal beschikbaar moeten zijn voor beoordeling tijdens de Fase 1-certificeringsaudit, hoewel er alleen op zal worden ingegaan tijdens de Fase 2-audit, wanneer de auditor een aantal van de ISO 27001-controles zal testen en ervoor zal zorgen dat deze niet alleen de ISO XNUMX-controles beschrijven, maar ook adequaat demonstreren de controledoelstellingen worden bereikt.

De auditor zal de inventaris van de informatiemiddelen beoordelen, de risico's, de evaluatie en behandeling ervan overwegen, en op zoek gaan naar fysiek bewijs dat de organisatie op bevredigende wijze de controles heeft geïmplementeerd die zij beweert om het risico aan te pakken.

De SoA en Scope hebben betrekking op de producten en diensten van de organisatie, haar informatiemiddelen, verwerkingsfaciliteiten, gebruikte systemen, betrokken mensen en de bedrijfsprocessen, of dat nu een virtueel eenmansbedrijf is of een internationale operatie met meerdere locaties en duizenden medewerkers.

Sterk opgeleide klanten met een aanzienlijk informatierisico (bijvoorbeeld vanwege de AVG of andere commerciële informatiemiddelen) willen mogelijk de reikwijdte en de SoA zien voordat ze bij een leverancier kopen, om er zeker van te zijn dat de ISO-certificering daadwerkelijk betrekking heeft op de gebieden van het bedrijf die betrokken zijn bij hun activa.

Het heeft geen zin om een ​​ISO-certificering met Scope en SoA te hebben voor een hoofdkantoor in Groot-Brittannië als het feitelijke informatieverwerkingsrisico plaatsvindt in een offshore-gebouw met middelen die buiten de scope vallen! Dat is feitelijk een van de redenen waarom de certificatie-instellingen nu scopes voor de hele organisatie aanmoedigen, wat natuurlijk kan betekenen dat een veel bredere en diepere verklaring van toepasbaarheid vereist is.

Samenvattend laat een goed gepresenteerde en gemakkelijk te begrijpen SoA de relatie zien tussen de toepasselijke en geïmplementeerde controles uit Bijlage A, gegeven de risico's en de informatiemiddelen die de reikwijdte omvat. Het zal een auditor of andere geïnteresseerde partij enorm veel vertrouwen geven dat de organisatie het management van informatiebeveiliging serieus neemt, vooral als dat allemaal wordt samengevoegd in een holistisch managementsysteem voor informatiebeveiliging.

Wat is bijlage A ISO 27001?

Bijlage A van ISO 27001 is een catalogus van de doelstellingen en controles op het gebied van informatiebeveiliging waarmee rekening moet worden gehouden tijdens de implementatie van ISO 27001. De technische term die voor ISO wordt gebruikt, gaat over ‘rechtvaardiging’ van de controle. De SoA zal laten zien of de Annex A-controle:

• Nu toepasbaar en geïmplementeerd als controle
• Toepasbaar maar niet geïmplementeerd als controle (het kan bijvoorbeeld onderdeel zijn van een verbetering voor de toekomst en vastgelegd in 10.2 als onderdeel van een verbetering, of het leiderschap is bereid het risico te tolereren gezien hun andere geïmplementeerde controleprioriteiten)
• Niet van toepassing (merk op dat als iets als niet van toepassing wordt beschouwd, de auditor zal proberen te begrijpen waarom dat zo is, dus daarover moet ook een gedocumenteerd verslag worden bijgehouden in de VvE).

De controles moeten worden herzien en regelmatig worden bijgewerkt in de loop van de driejarige ISO-certificeringslevenscyclus. Dit maakt deel uit van de voortdurende verbeteringsfilosofie van het informatiebeveiligingsbeheer die in de standaard is ingebed. Gezien het toenemende tempo van de groei van de cybercriminaliteit, evolueert de cyberveiligheid ook snel, dus alles minder dan een jaarlijkse evaluatie van de controles zou de blootstelling aan bedreigingen van de organisatie potentieel kunnen vergroten.

Welke controles moet ik opnemen?

De Verklaring van Toepasselijkheid is de belangrijkste schakel tussen uw informatiebeveiligingsrisicobeoordeling en behandelwerkzaamheden, en laat zien 'waar' u ervoor hebt gekozen om informatiebeveiligingscontroles uit de 114 controledoelstellingen te implementeren. (Een goede SoA kan ook inzoomen om te laten zien ‘hoe’ ze zijn geïmplementeerd.)

Hoewel de controles uit bijlage A een nuttige checklist ter overweging bieden, kan het simpelweg implementeren van alle 114 controles van onderaf duur zijn en voorbijgaan aan de fundamentele doelstellingen van de standaard. Helaas zullen sommige informatiebeveiligingsconsultants en -aanbieders die 'volledige ISO 27001-documentatietoolkits' verkopen, deze aanpak bepleiten, maar het is de verkeerde manier om aan informatiebeveiligingsbeheer te doen.

Er is een reden waarom de kerneisen in ISO 27001 van 4.1-10.2 aanwezig zijn. Ze helpen de organisatie een bedrijfs- en strategiegerichte aanpak te ontwikkelen waarbij je van boven naar beneden kijkt. Nadat de problemen, de betrokken partijen, de reikwijdte en de informatiemiddelen zijn overwogen, kan de organisatie de risico's identificeren, deze vervolgens evalueren en behandelingen voor die risico's overwegen.

De risico's rond de waardevolle informatie en de verwerkingsfaciliteiten, apparaten, betrokken mensen enz. moeten worden geëvalueerd met de vertrouwelijkheid, integriteit en beschikbaarheid (CIA) van informatie in gedachten.

Deze uitsplitsing van de CIA is ook een belangrijk aspect dat de auditor moet begrijpen en toont aan dat de organisatie het risico holistischer heeft overwogen. Cruciaal is dat het ook betekent dat de VvE is ontwikkeld met die meer alomvattende aanpak, in plaats van dat er slechts met één onderdeel rekening is gehouden, bijvoorbeeld alleen met het risico op verlies van informatie als gevolg van een inbreuk.

Hoewel de organisatie de risico's van haar activiteiten zoals hierboven aangegeven in overweging zal nemen, is het de moeite waard te vermelden dat een van de controlegebieden in bijlage A die altijd van toepassing zal zijn, de “Identificatie van toepasselijke wetgeving en contractuele vereisten” in A.18.1.1 is. . Dit betekent dat u ook rekening houdt met de vereisten van relevante wet- en regelgeving en contractuele vereisten. Dat krijgt veel meer bekendheid vanwege de EU AVG voor degenen die informatie over EU-burgers verwerken, en in toenemende mate over de hele wereld ook met andere privacystandaarden zoals POPI in Zuid-Afrika, LGPD in Brazilië en de CCPA in Californië.

Om de verwachtingen van de privacyregelgeving te begrijpen, dicteert deze feitelijk ook dat veel van de ISO 27001-controles vereist zijn, of u dat nu denkt of niet. Een slimme auditor verwacht dus inzicht in de toepasselijke wetgeving die van invloed is op uw organisatie en hoe deze ook uw keuze van toepasselijke controles in de SoA-rechtvaardiging beïnvloedt.

Sommige informatiebeveiligingsrisico's kunnen uiteraard geheel worden beëindigd, overgedragen aan een andere partij, behandeld of getolereerd. Al deze controles uit bijlage A helpen u vervolgens de filosofie rond de risico's over te dragen, te behandelen of te tolereren, te overwegen en waar nodig te implementeren. De SoA laat vervolgens zien welke beveiligingsmaatregelen uit de Annex A-controles u gebruikt en hoe u deze heeft geïmplementeerd, dwz uw beleid en procedures.

De controledoelstellingen en controles uit bijlage A zoals opgesomd in de ISO 27001-norm zijn niet prescriptief, maar moeten wel in overweging worden genomen en die rechtvaardiging voor toepasbaarheid is essentieel voor een onafhankelijke certificering door een ISO-certificeringsinstantie.

ISO 27002 en de Verklaring van Toepasselijkheid

Of onafhankelijke certificering nu een doel is of misschien gewoon naleving, in combinatie met de aanvullende ISO 27002-richtlijnen vormen de controles in bijlage A een positieve basis om op voort te bouwen voor elke organisatie die haar informatiebeveiligingspositie wil verbeteren en veiliger zaken wil doen.

ISO 27002, is de aanvullende norm op ISO 27001, biedt een praktijkcode en een nuttig overzicht voor informatiebeveiligingscontroles en biedt daarmee een zeer goede catalogus van controledoelstellingen en controles voor de behandeling van risico's, evenals richtlijnen voor de implementatie ervan.

Welke beveiligingsmaatregelen (Annex A-controles) u inzet om deze risico's te beheersen, zal feitelijk afhangen van uw organisatie, haar risicobereidheid en de reikwijdte ervan, evenals van de toepasselijke wetgeving. Maar wat het ook is, het moet vermeld worden in de Statement of Applicability als je een ISO 27001-certificering wilt behalen!

Welke informatie moet in de SoA worden opgenomen?

Laten we dus samenvatten welke informatie minimaal moet worden opgenomen voor de SoA.

• Een lijst van de 114 bijlage A-controles
• Of de controle nu wel of niet wordt uitgevoerd
• Rechtvaardiging voor de opname of uitsluiting ervan
• Een korte beschrijving van hoe elke toepasselijke controle wordt geïmplementeerd, met verwijzing naar het beleid en de controle die deze in de juiste details beschrijven

Zoals hierboven vermeld is de SoA een venster op het ISMS van de organisatie. Als u niet kunt laten zien hoe dat venster zich opent naar de diepte en de samenhang van het managementsysteem voor informatiebeveiliging, kan dat tot problemen leiden. Stel je de situatie eens voor waarin de auditor langskomt en het spreadsheet met de 114 controles ver achterhaald is ten opzichte van de daadwerkelijke managementcontroles.

Een van de meest voorkomende redenen voor het mislukken van een ISO 27001-audit is dat de auditor geen vertrouwen kan stellen in het beheer van het ISMS en dat de documentatie slecht wordt beheerd of ontbreekt. Het hebben van een op zichzelf staand SoA-'document' in plaats van geïntegreerde en geautomatiseerde documentatie van een SoA vergroot dat risico.

Hoe stelt u de Verklaring van Toepasselijkheid op?

Zolang de SoA over de juiste informatie beschikt, nauwkeurig is en up-to-date is, kunt u de SoA maken op basis van papier, spreadsheets, documenten of professionele systemen die deze automatiseren als onderdeel van hun bredere GRC-mogelijkheden (Governance, Regulation & Compliance). .

In een ideale wereld zal uw SoA nauwelijks veranderen (niet in de laatste plaats omdat certificatie-instellingen kosten in rekening mogen brengen voor versiewijzigingen van de SoA). Wat zich echter onder de SoA bevindt, dat wil zeggen het kloppende hart van het ISMS zelf, zou dynamisch moeten zijn als een levende representatie van uw evoluerende informatiebeveiligingslandschap.

De VvE moet worden herzien wanneer uw beleid en controles worden herzien (minstens jaarlijks), zodat het nog steeds baat zou hebben bij een efficiënt proces gezien de 114 controles die ter overweging moeten worden genomen.

Een spreadsheet met de bedieningselementen als checklist in elkaar zetten is een fluitje van een cent en vrij snel te doen. Maar als we dat doen met het vertrouwen dat al het eerdere werk voor de planning en implementatie van informatiebeveiliging rond de activa, risico's en controles in de juiste volgorde is uitgevoerd en uitgedrukt in de samenvattende SoA, is dit niet zo eenvoudig. Een auditor wil zien wat er onder de eenvoudige bovenste regel van 114 rijen in een spreadsheet staat.

Vroeger betekende het presenteren van de SoA als een uitgebreid document van 200 pagina's echt veel werk, vooral om het up-to-date te houden naarmate het beleid en de controles evolueerden. Er zijn nu veel betere en eenvoudigere manieren om de SoA te automatiseren en te profiteren van het harde werk dat al in andere delen van het ISMS is gedaan.

Hoe u tijd kunt besparen bij het schrijven van uw Verklaring van Toepasselijkheid

Het duurt doorgaans lang voordat een organisatie een SoA heeft samengesteld, vanwege de informatie waarover zij beschikt. Als we nadenken over de stappen die betrokken zijn bij de totstandkoming ervan, en het werk dat daarvoor nodig is, is dat geen wonder:

• Denk na over de problemen, belanghebbenden en reikwijdte van het ISMS
• Identificeer de informatiemiddelen en verwerkingsfaciliteiten en apparaten die gevaar lopen
• Evalueer en beoordeel de risico's die verband houden met de beveiliging van de informatie met behulp van de vertrouwelijkheid, integriteit en beschikbaarheid
• Beoordeel die risico's en beslis vervolgens welke van de 114 controles uit bijlage A nodig zijn
• Begrijp en evalueer de toepasselijke wetgeving (en alle belangrijke contractverplichtingen van machtige klanten) om andere controlegebieden te benadrukken
• Beslis hoe u de controle gaat implementeren in termen van beleid, procedure, mensen, technologie etc
• Maak vervolgens het SoA-document zelf, waarbij de rechtvaardigingen over de toepasbaarheid duidelijk zijn
• Idealiter gekoppeld aan het controledetail, de risico's en de activa om aan te tonen dat het ISMS werkt
• En beheer het op een permanente basis.

  De SoA is een klein maar zeer belangrijk onderdeel van een zeer uitgebreid ISMS. Als het goed wordt gedaan, zal het de organisatie voorbereiden op auditsucces en het opbouwen van vertrouwen bij slimme klanten en andere belanghebbenden. Als het slecht wordt gedaan, zal het vrijwel zeker de tijd tot certificering verstoren en vertragen, en kan het verlies van omzet of toekomstige kansen betekenen als het er niet in slaagt de certificering te behalen of te behouden.

Versnel het SoA-proces met ISMS.online

ISMS.online is een uitgebreid informatiebeveiligingsbeheersysteem dat onder andere het beheer en beheer van uw informatiemiddelen, risico's, beleid en controles vereenvoudigt, allemaal op één plek.

Het betekent ook dat de creatie van de SoA kan worden geautomatiseerd en eenvoudig en efficiënt kan worden gepresenteerd. Daarom versnelt het naast andere voordelen, zoals minder tijd om ISO 27001-succes te behalen, ook het ISO-certificeringstraject.

Richt uw energie op het runnen van uw bedrijf zoals u dat wilt, en besteed tijd aan wat u nodig heeft om succes te bereiken, zodat u zich minder zorgen hoeft te maken over de manier waarop u dat moet doen. ISMS.online maakt het allemaal zo eenvoudig om uw werk gedaan te krijgen, inclusief de SoA tegen een fractie van de kosten en tijd van alternatieven.