Wat is een verklaring van toepasselijkheid?
Simpel gezegd, in zijn zoektocht om waardevolle informatiemiddelen te beschermen en de informatieverwerkingsfaciliteiten te beheren, geeft de SoA aan welke ISO 27001-controles en -beleidsregels door de organisatie worden toegepast. Het is een benchmark ten opzichte van de controles uit bijlage A die zijn vastgelegd in de ISO 27001-norm (beschreven aan de achterkant van dat ISO-normendocument als referentiecontroledoelstellingen en -controles).
De verklaring van toepasbaarheid is te vinden in 6.1.3 van de belangrijkste eisen voor ISO 27001, die deel uitmaakt van de bredere 6.1, gericht op acties om risico's en kansen aan te pakken.
De SoA is daarom een integraal onderdeel van de verplichte ISO 27001-documentatie die aan een externe auditor moet worden gepresenteerd wanneer het ISMS een onafhankelijke audit ondergaat, bijvoorbeeld door een UKAS-auditcertificeringsinstantie.
Op wie is ISO 27001 van toepassing?
ISO 27001 is van toepassing op alle soorten en maten organisaties, waaronder publieke en private bedrijven, overheidsinstanties en non-profitorganisaties. De rode draad, ongeacht de grootte, het type, de geografie of de sector van de organisatie, is dat de organisatie streeft naar het demonstreren van best practices in haar aanpak van informatiebeveiligingsbeheer. Best practices kunnen natuurlijk op verschillende manieren worden geïnterpreteerd.
De ISO-norm heeft alles te maken met het ontwikkelen van een systeem voor het beheer van informatiebeveiligingsrisico's. Dus afhankelijk van de bereidheid van het leiderschap van de organisatie om informatierisico's te nemen en de reikwijdte van de middelen om risico's aan te pakken, kunnen de toegepaste controles en beleidslijnen aanzienlijk variëren van organisatie tot organisatie, maar toch voldoen aan de ISO 27001-controledoelstellingen.
Wat wel duidelijk is, is dat het behalen van de ISO 27001-certificering door middel van een onafhankelijke audit door een goedgekeurde ISO-certificeringsinstantie, zal betekenen dat de organisatie een erkend controleniveau (best practice als standaard) heeft bereikt voor de informatiemiddelen en verwerkingsfaciliteiten.
ISO 27001-certificering geeft geïnteresseerde partijen zoals machtige klanten en prospects een hoger niveau van vertrouwen dan zelfontwikkelde methoden of alternatieve standaarden die niet dezelfde onafhankelijke audit of internationale erkenning dragen.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Waarom is de SoA belangrijk?
Samen met de Reikwijdte van het informatiebeveiligingsbeheersysteem (4.3 van ISO 27001) biedt de VvE een overzichtsvenster van de controles die door de organisatie worden gebruikt. De SoA is een kernvereiste om de ISO-certificering van het ISMS te behalen en zal samen met de reikwijdte een van de eerste dingen zijn waar een auditor naar zal kijken bij zijn auditwerk.
Deze documentatie zal beschikbaar moeten zijn voor beoordeling tijdens de Fase 1-certificeringsaudit, hoewel er alleen op zal worden ingegaan tijdens de Fase 2-audit, wanneer de auditor een aantal van de ISO 27001-controles zal testen en ervoor zal zorgen dat deze niet alleen de ISO XNUMX-controles beschrijven, maar ook adequaat demonstreren de controledoelstellingen worden bereikt.
De auditor zal de inventaris van de informatiemiddelen beoordelen, de risico's, de evaluatie en behandeling ervan overwegen, en op zoek gaan naar fysiek bewijs dat de organisatie op bevredigende wijze de controles heeft geïmplementeerd die zij beweert om het risico aan te pakken.
De SoA en Scope hebben betrekking op de producten en diensten van de organisatie, haar informatiemiddelen, verwerkingsfaciliteiten, gebruikte systemen, betrokken mensen en de bedrijfsprocessen, of dat nu een virtueel eenmansbedrijf is of een internationale operatie met meerdere locaties en duizenden medewerkers.
Sterk opgeleide klanten met een aanzienlijk informatierisico (bijvoorbeeld vanwege de AVG of andere commerciële informatiemiddelen) willen mogelijk de reikwijdte en de SoA zien voordat ze bij een leverancier kopen, om er zeker van te zijn dat de ISO-certificering daadwerkelijk betrekking heeft op de gebieden van het bedrijf die betrokken zijn bij hun activa.
Het heeft geen zin om een ISO-certificering met Scope en SoA te hebben voor een hoofdkantoor in Groot-Brittannië als het feitelijke informatieverwerkingsrisico plaatsvindt in een offshore-gebouw met middelen die buiten de scope vallen! Dat is feitelijk een van de redenen waarom de certificatie-instellingen nu scopes voor de hele organisatie aanmoedigen, wat natuurlijk kan betekenen dat een veel bredere en diepere verklaring van toepasbaarheid vereist is.
Samenvattend laat een goed gepresenteerde en gemakkelijk te begrijpen SoA de relatie zien tussen de toepasselijke en geïmplementeerde controles uit Bijlage A, gegeven de risico's en de informatiemiddelen die de reikwijdte omvat. Het zal een auditor of andere geïnteresseerde partij enorm veel vertrouwen geven dat de organisatie het management van informatiebeveiliging serieus neemt, vooral als dat allemaal wordt samengevoegd in een holistisch managementsysteem voor informatiebeveiliging.
Wat is bijlage A ISO 27001?
Bijlage A van ISO 27001 is een catalogus van de doelstellingen en controles op het gebied van informatiebeveiliging waarmee rekening moet worden gehouden tijdens de implementatie van ISO 27001. De technische term die voor ISO wordt gebruikt, gaat over ‘rechtvaardiging’ van de controle. De SoA zal laten zien of de Annex A-controle:
- Nu toepasbaar en geïmplementeerd als controle
- Toepasbaar maar niet geïmplementeerd als controle (het kan bijvoorbeeld onderdeel zijn van een verbetering voor de toekomst en vastgelegd in 10.2 als onderdeel van een verbetering, of het leiderschap is bereid het risico te tolereren gezien hun andere geïmplementeerde controleprioriteiten)
- Niet van toepassing (merk op dat als iets als niet van toepassing wordt beschouwd, de auditor zal proberen te begrijpen waarom dat zo is, dus daarover moet ook een gedocumenteerd verslag worden bijgehouden in de VvE).
De controles moeten worden herzien en regelmatig worden bijgewerkt in de loop van de driejarige ISO-certificeringslevenscyclus. Dit maakt deel uit van de voortdurende verbeteringsfilosofie van het informatiebeveiligingsbeheer die in de standaard is ingebed. Gezien het toenemende tempo van de groei van de cybercriminaliteit, evolueert de cyberveiligheid ook snel, dus alles minder dan een jaarlijkse evaluatie van de controles zou de blootstelling aan bedreigingen van de organisatie potentieel kunnen vergroten.
Hoeveel controles zijn er in ISO:27001?
De ISO 27001:2022 Annex A controls zijn geherstructureerd, geconsolideerd en gemoderniseerd. De 93 controls (in 114 waren dat er 2013) zijn nu gecategoriseerd in vier key control groups, in plaats van de 14 domeinen in de vorige versie.
1. Organisatorische controles (37 controles)
Wat het omvat:
Deze controles zijn gericht op governance, risicomanagement, operationele veiligheid en compliance.
Waarom deze categorie is samengevoegd en bijgewerkt:
- Vereenvoudigde naleving en risicobeheer – Voorheen waren nalevingsgerelateerde controles verspreid over meerdere domeinen (bijv. A.18 – Naleving en A.6 – Organisatie van informatiebeveiliging).
- Focus op modern beveiligingsbeheer – Risicobeoordeling, bedreigingsinformatie en leveranciersbeveiliging zijn nu samengevoegd in deze categorie om aan te sluiten bij de veranderende bedrijfspraktijken.
- Betere integratie met ISO 31000 (risicomanagement) – Helpt organisaties om risicobeoordelings- en behandelingsmethoden af te stemmen op wereldwijde normen.
Belangrijkste bedieningselementen in deze categorie:
- A.5.7 – Threat Intelligence (Nieuw) – Toegevoegd om realtime dreigingsbewaking en het delen van inlichtingen aan te pakken.
- A.5.21 – Beheer van informatiebeveiligingsincidenten (samengevoegd) – Consolideert eerdere vereisten voor respons op incidenten en registratie.
- A.5.31 – Wettelijke, statutaire, regelgevende en contractuele vereisten (samengevoegd) – Combineert A.18.1.1 (Identificatie van toepasselijke wetgeving en contractuele vereisten) en A.18.1.4 (Privacy en bescherming van persoonlijk identificeerbare informatie) voor één enkel nalevingskader.
2. Bedieningselementen voor mensen (8 bedieningselementen)
Wat het omvat:
Deze maatregelen zijn gericht op de risico's voor de menselijke veiligheid, waaronder beveiligingsbewustzijn, training en verantwoordelijkheden van werknemers.
Waarom deze categorie is samengevoegd en bijgewerkt:
- Mensen zijn de zwakste schakel – Een groot percentage van de beveiligingsinbreuken wordt veroorzaakt door menselijke fouten, phishing of social engineering.
- Voorheen verspreid over meerdere domeinen – A.7 (Personeelsbeveiliging) en A.12 (Operationele beveiliging) bevatten controles die betrekking hadden op mensen, waardoor het moeilijker werd om beveiligingsbewustzijn en training holistisch te beheren.
- Sluit aan bij trends op het gebied van trainingen voor cybersecuritypersoneel: programma's voor beveiligingsbewustzijn leggen nu de nadruk op continu leren, gesimuleerde phishingaanvallen en op rollen gebaseerde beveiligingstrainingen.
Belangrijkste bedieningselementen in deze categorie:
- A.6.3 – Informatiebeveiligingsbewustzijn, -educatie en -training (samengevoegd) – Combineert A.7.2.2 (Informatiebeveiligingsbewustzijn, -educatie en -training) met elementen van A.6.2 (Interne organisatieverantwoordelijkheden) voor een sterkere focus op continue betrokkenheid van werknemers.
- A.6.1 – Screening (bijgewerkt) – Versterkt met achtergrondcontroles van aannemers en overwegingen met betrekking tot risico's van derden.
3. Fysieke controles (14 controles)
Wat het omvat:
In dit gedeelte wordt de nadruk gelegd op fysieke beveiligingsmaatregelen ter bescherming van faciliteiten, apparaten en datacenters.
Waarom deze categorie is samengevoegd en bijgewerkt:
- Consolidatie van redundante fysieke beveiligingsmaatregelen – De versie van 2013 had afzonderlijke maatregelen voor verschillende aspecten van de beveiliging van de faciliteit, die nu zijn gestroomlijnd in één categorie.
- Meer focus op werken op afstand en mobiele beveiliging – Nu hybride werkmodellen de norm worden, zijn beveiligingsmaatregelen nu gericht op de beveiligingsrisico's van thuiswerken.
- Overwegingen met betrekking tot de beveiliging van IoT en slimme gebouwen – Fysieke beveiligingsmaatregelen worden bijgewerkt om IoT-beveiligingsrisico's en AI-gestuurde bewaking op te nemen.
Belangrijkste bedieningselementen in deze categorie:
- A.7.4 – Fysieke beveiligingsbewaking (nieuw) – Betreft beveiligingscamera's, slimme sloten en realtime inbraakdetectie.
- A.7.5 – Werken in beveiligde ruimtes (bijgewerkt) – Omvat nu vereisten voor veilig werken op afstand om risico's van hybride en op afstand werkende werknemers te beperken.
4. Technologische controles (34 controles)
Wat het omvat:
Deze groep richt zich op de beveiliging van IT-infrastructuur, cloudbeveiliging, toegangscontrole en cryptografie.
Waarom deze categorie is samengevoegd en bijgewerkt:
- Het cyberdreigingslandschap is geëvolueerd – De versie uit 2013 bood geen volledige oplossing voor moderne cyberdreigingen, waaronder ransomware, cloudgebaseerde aanvallen en AI-gestuurde hacking.
- Opkomst van cloud computing en SaaS-risico's – Nieuwe cloudbeveiligingscontrole (A.5.23 – Informatiebeveiliging voor cloudservices) richt zich op multi-cloudomgevingen en gedeelde verantwoordelijkheidsmodellen.
- Gegevensbescherming en naleving van privacy – Nieuwe controles zoals A.8.11 (Gegevensmaskering) en A.8.12 (Preventie van gegevenslekken) zijn afgestemd op de AVG, ISO 27701 en wereldwijde privacyregelgeving.
Belangrijkste bedieningselementen in deze categorie:
- A.8.11 – Gegevensmaskering (nieuw) – Beschermt PII en gevoelige gegevens met behulp van tokenisatie- en anonimiseringstechnieken.
- A.8.12 – Preventie van gegevenslekken (nieuw) – Implementeert DLP-beleid om ongeautoriseerde gegevensoverdrachten te voorkomen.
- A.8.9 – Configuratiebeheer (nieuw) – Pakt verkeerde configuraties in cloud- en SaaS-applicaties aan, een belangrijke oorzaak van datalekken.
- A.8.23 – Webfiltering (nieuw) – Beschermt gebruikers tegen schadelijke websites, phishingpogingen en met malware geïnfecteerde downloads.
- A.8.28 – Veilig coderen (bijgewerkt) – Versterkt veilige softwareontwikkelingslevenscyclus (SDLC)-praktijken om softwarekwetsbaarheden te verminderen.
Samenvatting van wijzigingen ten opzichte van ISO 27001:2013
| ISO 27001:2013 (114 Controles) | ISO 27001:2022 (93 Controles) | Reden voor verandering |
|---|---|---|
| 14 controledomeinen | 4 belangrijkste controlegroepen | Vereenvoudigt het beheer en sluit aan bij moderne cybersecurity-frameworks |
| Overbodige nalevingscontroles | Verenigd in A.5.31 | Combineert wettelijke, regelgevende en contractuele vereisten |
| Gescheiden HR-, Awareness- en Incident-controles | Geconsolideerd onder People Controls | Sterkere focus op veiligheidscultuur en bewustwording van werknemers |
| Ontbreken van moderne cyberbeveiligingsbedreigingen | Toegevoegde bedreigingsinformatie, cloudbeveiliging en DLP | Pakt ransomware, cloudrisico's en moderne aanvalsvectoren aan |
ISO 27001:2022 Controle-eigenschappen en NIST CSF-uitlijning
ISO 27001:2022 geïntroduceerd besturingsattributen om de classificatie te verbeteren en de afstemming op cyberbeveiligingskaders te verbeteren, zoals NIST CSFDeze kenmerken helpen organisaties hun controles in kaart te brengen voor bredere beveiligingsdomeinen, waardoor het eenvoudiger wordt om cross-framework compliance te implementeren.
Controlekenmerken in ISO 27001:2022
| Kenmerk | Beschrijving | NIST CSF-kartering |
|---|---|---|
| controle Type | Bepaalt of de controle is preventief, detectief of correctief | Identificeren, beschermen, detecteren, reageren, herstellen |
| Eigenschappen voor informatiebeveiliging | Geeft aan welke CIA-triadeprincipe (Vertrouwelijkheid, Integriteit, Beschikbaarheid) de controle beschermt | Beschermen, detecteren, herstellen |
| Cyberbeveiligingsconcepten | Brengt de controle in kaart op cyberbeveiligingsconcepten zoals governance, identiteitsbeheer, detectie van bedreigingen, gegevensbeveiliging, veerkracht | Alle NIST CSF-functies |
| Operationele mogelijkheden | Definieert het beveiligingsgebied dat het ondersteunt, zoals monitoring, logging, incidentrespons, toegangscontrole | Beschermen, detecteren, reageren |
| Beveiligingsdomeinen | Links naar bredere veiligheidsgebieden zoals netwerkbeveiliging, gegevensbescherming, risicobeheer, cloudbeveiliging | Identificeren, beschermen, detecteren |
ISO 27001:2022 Controletoewijzing aan NIST CSF
| ISO 27001:2022-controle | controle Type | CIA-eigendom | Cyberbeveiligingsconcept | Operationele capaciteit | Veiligheidsdomein | NIST CSF-functie |
|---|---|---|---|---|---|---|
| A.5.7 – Bedreigingsinformatie | preventieve | Vertrouwelijkheid, Integriteit | Bedreigingsbewaking en -detectie | Loggen, Analyse | RISICO BEHEER | Identificeren, detecteren |
| A.8.11 – Gegevensmaskering | preventieve | Vertrouwelijkheid | Gegevensbescherming, Privacy | Gegevensveiligheid | Data Management | Beschermen |
| A.8.12 – Preventie van datalekken | Preventief, Detectief | Vertrouwelijkheid | Eindpuntbeveiliging, netwerkbeveiliging | Monitoring, Preventie | Cloud- en eindpuntbeveiliging | Beschermen, detecteren |
| A.8.9 – Configuratiebeheer | preventieve | Integriteit, Beschikbaarheid | Beveiliging verharden | Onderhoud van het Systeem | Netwerk veiligheid | Beschermen |
Voordelen van het gebruik van besturingsattributen
- Verbeterde governance en naleving – Maakt het eenvoudiger om controles te rechtvaardigen bij audits voor ISO 27001, NIST en SOC 2.
- Verbeterde Cross-Framework-uitlijning – Helpt bij het in kaart brengen van controles in NIST CSF, CIS 18 en ISO 27701.
- Sterkere risicogebaseerde aanpak – Organisaties kunnen controles prioriteren op basis van risicofactoren en beveiligingsdoelstellingen.
- Beveiliging van cloud- en externe werkzaamheden – Controlekenmerken benadrukken nieuwe risico's op het gebied van cloud computing, hybride personeelsbestanden en beveiliging van de toeleveringsketen.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Welke controles moet ik opnemen?
De Verklaring van Toepasselijkheid is de belangrijkste schakel tussen uw risicobeoordeling en -behandeling op het gebied van informatiebeveiliging. Hieruit blijkt 'waar' u ervoor hebt gekozen om informatiebeveiligingsmaatregelen uit de 93 controledoelstellingen te implementeren (een goede SoA kan ook inzoomen om te laten zien 'hoe' deze maatregelen zijn geïmplementeerd).
Hoewel de controles uit bijlage A een nuttige checklist ter overweging bieden, kan het simpelweg implementeren van alle 93 controles van onderaf duur zijn en voorbijgaan aan de fundamentele doelstellingen van de standaard. Helaas zullen sommige informatiebeveiligingsconsultants en -aanbieders die 'volledige ISO 27001-documentatietoolkits' verkopen, deze aanpak bepleiten, maar het is de verkeerde manier om aan informatiebeveiligingsbeheer te doen.
Er is een reden waarom de kerneisen in ISO 27001 van 4.1-10.2 aanwezig zijn. Ze helpen de organisatie een bedrijfs- en strategiegerichte aanpak te ontwikkelen waarbij je van boven naar beneden kijkt. Nadat de problemen, de betrokken partijen, de reikwijdte en de informatiemiddelen zijn overwogen, kan de organisatie de risico's identificeren, deze vervolgens evalueren en behandelingen voor die risico's overwegen.
De risico's rond de waardevolle informatie en de verwerkingsfaciliteiten, apparaten, betrokken mensen enz. moeten worden geëvalueerd met de vertrouwelijkheid, integriteit en beschikbaarheid (CIA) van informatie in gedachten.
Deze uitsplitsing van de CIA is ook een belangrijk aspect dat de auditor moet begrijpen en toont aan dat de organisatie het risico holistischer heeft overwogen. Cruciaal is dat het ook betekent dat de VvE is ontwikkeld met die meer alomvattende aanpak, in plaats van dat er slechts met één onderdeel rekening is gehouden, bijvoorbeeld alleen met het risico op verlies van informatie als gevolg van een inbreuk.
Hoewel de organisatie de risico's van haar activiteiten zal overwegen zoals hierboven uiteengezet, is het vermeldenswaard dat een van de controlegebieden in Bijlage A die altijd van toepassing zal zijn, de "Controle: A.5.31 - Wettelijke, statutaire, regelgevende en contractuele vereisten" is. Dit betekent dat u ook rekening houdt met de vereisten van relevante wetten, voorschriften en contractuele vereisten. Dat wint veel meer aan belang vanwege de EU AVG voor degenen die informatie van EU-burgers verwerken en steeds meer ook over de hele wereld met andere privacynormen zoals POPI in Zuid-Afrika, LGPD in Brazilië en de CCPA in Californië.
Om de verwachtingen van de privacyregelgeving te begrijpen, dicteert deze feitelijk ook dat veel van de ISO 27001-controles vereist zijn, of u dat nu denkt of niet. Een slimme auditor verwacht dus inzicht in de toepasselijke wetgeving die van invloed is op uw organisatie en hoe deze ook uw keuze van toepasselijke controles in de SoA-rechtvaardiging beïnvloedt.
Sommige informatiebeveiligingsrisico's kunnen uiteraard geheel worden beëindigd, overgedragen aan een andere partij, behandeld of getolereerd. Al deze controles uit bijlage A helpen u vervolgens de filosofie rond de risico's over te dragen, te behandelen of te tolereren, te overwegen en waar nodig te implementeren. De SoA laat vervolgens zien welke beveiligingsmaatregelen uit de Annex A-controles u gebruikt en hoe u deze heeft geïmplementeerd, dwz uw beleid en procedures.
De controledoelstellingen en controles uit bijlage A zoals opgesomd in de ISO 27001-norm zijn niet prescriptief, maar moeten wel in overweging worden genomen en die rechtvaardiging voor toepasbaarheid is essentieel voor een onafhankelijke certificering door een ISO-certificeringsinstantie.
ISO 27002 en de Verklaring van Toepasselijkheid
Of onafhankelijke certificering nu een doel is of misschien gewoon naleving, in combinatie met de aanvullende ISO 27002-richtlijnen vormen de controles in bijlage A een positieve basis om op voort te bouwen voor elke organisatie die haar informatiebeveiligingspositie wil verbeteren en veiliger zaken wil doen.
ISO 27002, is de aanvullende norm op ISO 27001, biedt een praktijkcode en een nuttig overzicht voor informatiebeveiligingscontroles en biedt daarmee een zeer goede catalogus van controledoelstellingen en controles voor de behandeling van risico's, evenals richtlijnen voor de implementatie ervan.
Welke beveiligingsmaatregelen (Annex A-controles) u inzet om deze risico's te beheersen, zal feitelijk afhangen van uw organisatie, haar risicobereidheid en de reikwijdte ervan, evenals van de toepasselijke wetgeving. Maar wat het ook is, het moet vermeld worden in de Statement of Applicability als je een ISO 27001-certificering wilt behalen!
Welke informatie moet in de SoA worden opgenomen?
Laten we dus samenvatten welke informatie minimaal moet worden opgenomen voor de SoA.
- Een lijst van de 93 bijlage A-besturingselementen
- Of de controle nu wel of niet wordt uitgevoerd
- Rechtvaardiging voor de opname of uitsluiting ervan
- Een korte beschrijving van hoe elke toepasselijke controle wordt geïmplementeerd, met verwijzing naar het beleid en de controle die deze in de juiste details beschrijven
Zoals hierboven vermeld is de SoA een venster op het ISMS van de organisatie. Als u niet kunt laten zien hoe dat venster zich opent naar de diepte en de samenhang van het managementsysteem voor informatiebeveiliging, kan dat tot problemen leiden. Stel je de situatie eens voor waarin de auditor langskomt en het spreadsheet met de 93 controles ver achterhaald is ten opzichte van de daadwerkelijke managementcontroles.
Een van de meest voorkomende redenen voor het mislukken van een ISO 27001-audit is dat de auditor geen vertrouwen kan stellen in het beheer van het ISMS en dat de documentatie slecht wordt beheerd of ontbreekt. Het hebben van een op zichzelf staand SoA-'document' in plaats van geïntegreerde en geautomatiseerde documentatie van een SoA vergroot dat risico.
Hoe stelt u de Verklaring van Toepasselijkheid op?
Zolang de SoA over de juiste informatie beschikt, nauwkeurig is en up-to-date is, kunt u de SoA maken op basis van papier, spreadsheets, documenten of professionele systemen die deze automatiseren als onderdeel van hun bredere GRC-mogelijkheden (Governance, Regulation & Compliance). .
In een ideale wereld zal uw SoA nauwelijks veranderen (niet in de laatste plaats omdat certificatie-instellingen kosten in rekening mogen brengen voor versiewijzigingen van de SoA). Wat zich echter onder de SoA bevindt, dat wil zeggen het kloppende hart van het ISMS zelf, zou dynamisch moeten zijn als een levende representatie van uw evoluerende informatiebeveiligingslandschap.
De VvE moet worden herzien wanneer uw beleid en controles worden herzien (minstens jaarlijks), zodat het nog steeds baat zou hebben bij een efficiënt proces gezien de 114 controles die ter overweging moeten worden genomen.
Een spreadsheet met de bedieningselementen als checklist in elkaar zetten is een fluitje van een cent en vrij snel te doen. Maar als we dat doen met het vertrouwen dat al het eerdere werk voor de planning en implementatie van informatiebeveiliging rond de activa, risico's en controles in de juiste volgorde is uitgevoerd en uitgedrukt in de samenvattende SoA, is dit niet zo eenvoudig. Een auditor wil zien wat er onder de eenvoudige bovenste regel van 114 rijen in een spreadsheet staat.
Vroeger betekende het presenteren van de SoA als een uitgebreid document van 200 pagina's echt veel werk, vooral om het up-to-date te houden naarmate het beleid en de controles evolueerden. Er zijn nu veel betere en eenvoudigere manieren om de SoA te automatiseren en te profiteren van het harde werk dat al in andere delen van het ISMS is gedaan.
Hoe u tijd kunt besparen bij het schrijven van uw Verklaring van Toepasselijkheid
Het duurt doorgaans lang voordat een organisatie een SoA heeft samengesteld, vanwege de informatie waarover zij beschikt. Als we nadenken over de stappen die betrokken zijn bij de totstandkoming ervan, en het werk dat daarvoor nodig is, is dat geen wonder:
- Denk na over de problemen, belanghebbenden en reikwijdte van het ISMS
- Identificeer de informatiemiddelen en verwerkingsfaciliteiten en apparaten die gevaar lopen
- Evalueer en beoordeel de risico's die verband houden met de beveiliging van de informatie met behulp van de vertrouwelijkheid, integriteit en beschikbaarheid
- Beoordeel die risico's en beslis vervolgens welke van de 114 controles uit bijlage A nodig zijn
- Begrijp en evalueer de toepasselijke wetgeving (en alle belangrijke contractverplichtingen van machtige klanten) om andere controlegebieden te benadrukken
- Beslis hoe u de controle gaat implementeren in termen van beleid, procedure, mensen, technologie etc
- Maak vervolgens het SoA-document zelf, waarbij de rechtvaardigingen over de toepasbaarheid duidelijk zijn
- Idealiter gekoppeld aan het controledetail, de risico's en de activa om aan te tonen dat het ISMS werkt
- En beheer deze voortdurend. De SoA is een klein maar zeer belangrijk onderdeel van een zeer uitgebreid ISMS. Als het goed wordt gedaan, zal het de organisatie voorbereiden op auditsucces en het opbouwen van vertrouwen bij slimme klanten en andere belanghebbenden. Als het slecht wordt gedaan, zal het vrijwel zeker de tijd tot certificering verstoren en vertragen, en kan het verlies van omzet of toekomstige kansen betekenen als het er niet in slaagt de certificering te behalen of te behouden.
Versnel het SoA-proces met ISMS.online
ISMS.online is een uitgebreid informatiebeveiligingsbeheersysteem dat onder andere het beheer en beheer van uw informatiemiddelen, risico's, beleid en controles vereenvoudigt, allemaal op één plek.
Het betekent ook dat de creatie van de SoA kan worden geautomatiseerd en eenvoudig en efficiënt kan worden gepresenteerd. Daarom versnelt het naast andere voordelen, zoals minder tijd om ISO 27001-succes te behalen, ook het ISO-certificeringstraject.
Richt uw energie op het runnen van uw bedrijf zoals u dat wilt, en besteed tijd aan wat u nodig heeft om succes te bereiken, zodat u zich minder zorgen hoeft te maken over de manier waarop u dat moet doen. ISMS.online maakt het allemaal zo eenvoudig om uw werk gedaan te krijgen, inclusief de SoA tegen een fractie van de kosten en tijd van alternatieven.
