Verklaring van Toepasselijkheid

Uit het kenniscentrum van Metaware.
Zoekwoorden: Verklaring van Toepasselijkheid, VvT, Statement of Applicability, ISMS, Information Security Management System, control framework, beheerssysteem, beheersmaatregelen, audit, compliance, ISO27001, kwaliteit, kwaliteitsmanagement, managementsysteem, NEN7510, BIO

Verklaring van Toepasselijkheid - wat is het

Een verklaring van toepasselijkheid (VvT) is een verplicht document binnen een ISO 27001-gecertificeerd Informatiebeveiligingsmanagementsysteem (ISMS). Het bevat een overzicht van alle beheersmaatregelen uit Annex A van de norm en geeft aan welke van deze maatregelen wel of niet van toepassing zijn op de organisatie. De verklaring van toepasselijkheid biedt hiermee een onderbouwd inzicht in de gekozen beveiligingsmaatregelen op basis van de uitgevoerde risicoanalyse. Het primaire doel van de VvT is aantoonbaar maken dat relevante beveiligingsmaatregelen bewust zijn geselecteerd, geïmplementeerd of gemotiveerd uitgesloten. In het kader van ISO 27001 is de VvT essentieel voor de certificeringsaudit, omdat het een directe koppeling vormt tussen risico’s, controls en compliance. Ook voor NEN 7510, die specifiek gericht is op informatiebeveiliging in de zorg, geldt een vergelijkbare eis met betrekking tot het vastleggen van de toepasselijkheid van beveiligingsmaatregelen. De verklaring van toepasselijkheid laat zien hoe de organisatie invulling geeft aan normeisen en biedt transparantie richting belanghebbenden. Door duidelijk vast te leggen waarom bepaalde maatregelen wel of niet zijn toegepast, vergroot het document de verantwoording en beheersing van risico’s. De samenhang met ISO 27001 en NEN 7510 ligt in de gedeelde eis tot systematische risicoanalyse en controlemaatregelen. Tot slot is de verklaring van toepasselijkheid een levend document dat periodiek moet worden herzien bij veranderende risico’s of organisatiewijzigingen.

Verklaring van Toepasselijkheid versus control framework

Een control framework is een geavanceerde vorm van een verklaring van toepasselijkheid omdat het niet alleen beschrijft welke maatregelen zijn gekozen, maar deze ook actief beheert binnen een dynamische structuur. Waar de verklaring van toepasselijkheid vooral een statisch document is, biedt een control framework mogelijkheden voor workflowbeheer, zoals taaktoewijzing aan verantwoordelijken en automatische meldingen bij deadlines of wijzigingen. Hiermee wordt de naleving van maatregelen uit ISO 27001 en/of NEN 7510 beter geborgd en ontstaat er realtime inzicht in de voortgang en effectiviteit van implementatie. Elk control in het framework is gekoppeld aan specifieke acties, statusupdates en documentatie, waardoor verantwoording en audit-trail eenvoudig te volgen zijn. Door de integratie van alle beheersmaatregelen uit de norm binnen één systeem, ontstaat er een levend en beheersbaar geheel dat continue verbetering ondersteunt.

Control framework ISO 27001

Een control framework voor ISO 27001 (versie 2022) biedt een gestructureerde aanpak om de beheersmaatregelen (controls) die in deze norm worden voorgeschreven effectief te implementeren, te beheren en te monitoren. 

Belangrijkste elementen van een control framework voor ISO 27001:2022:

1. Risicobeoordeling en -beheer
De basis van een control framework ISO 27001 is risicomanagement. Het control framework begint daarom met een systematische benadering van risicobeoordeling. Het framework moet helpen om:

• Risico’s te identificeren en te evalueren (waar zitten de kwetsbaarheden, bedreigingen en hun impact?).
• Risicocriteria vast te stellen (wanneer is een risico aanvaardbaar of onaanvaardbaar?).
• Maatregelen te definiëren om geïdentificeerde risico’s te mitigeren.

Dit helpt organisaties om risico's op een consistente manier te beoordelen en prioriteit te geven aan de beveiligingsmaatregelen die het belangrijkst zijn.

2. Structuur van het control framework
Een effectief control framework ISO 27001 is opgebouwd rond de 93 controls die in Bijlage A van ISO 27001:2022 zijn opgenomen. Deze zijn verdeeld in vier thema's:

• Organisatorische maatregelen (bijvoorbeeld beleid, rollen en verantwoordelijkheden)
• Mensenmaatregelen (zoals beveiligingsbewustzijn en training)
• Fysieke maatregelen (zoals beveiliging van gebouwen en apparatuur)
• Technische maatregelen (zoals encryptie, toegangsbeheer en logging)

Voor elke maatregel wordt een plan opgesteld dat beschrijft:

• De exacte beheersmaatregel.
• De vereiste technische of organisatorische oplossingen.
• Wie verantwoordelijk is voor implementatie, naleving en periodieke controles.

3. Beleid en procedures
Het framework moet een set van beleid en procedures bevatten die voldoen aan de eisen van ISO 27001 en de dagelijkse werking van de organisatie ondersteunen. Dit zijn bijvoorbeeld:

• Informatiebeveiligingsbeleid.
• Richtlijnen voor toegangsbeheer.
• Procedures voor incidentmanagement.
• Procedures voor continue verbetering.

Deze documentatie biedt medewerkers richtlijnen en zorgt voor consistentie in de uitvoering van beveiligingsmaatregelen.

4. Toewijzing van rollen en verantwoordelijkheden
Om de effectiviteit van de beheersmaatregelen te waarborgen, moet het framework duidelijke rollen en verantwoordelijkheden definiëren. Dit omvat:

• Een Chief Information Security Officer (CISO) / Security Officer (SO) of een verantwoordelijke voor informatiebeveiliging.
• Risico-eigenaren die verantwoordelijk zijn voor specifieke risico’s binnen hun domein.
• Technische en operationele teams die controles uitvoeren en bijhouden.
• Heldere toewijzing zorgt voor accountability en voorkomt dat maatregelen niet worden opgevolgd.

5. Monitoring en rapportage
Een belangrijk onderdeel van het control framework is het monitoren van de effectiviteit van beheersmaatregelen. Dit omvat:

• Het uitvoeren van periodieke controles en audits (intern of door derden).
• Monitoring van afwijkingen en incidenten.
• Regelmatige risicobeoordelingen om veranderingen in de organisatie of in het dreigingslandschap te detecteren.

De resultaten van deze controles worden gerapporteerd aan het management en vormen de basis voor voortdurende verbetering van het ISMS.

6. Training en bewustzijn
ISO 27001 stelt dat alle betrokkenen zich bewust moeten zijn van hun rol in de informatiebeveiliging. Het framework moet daarom ook training- en bewustwordingsprogramma's omvatten.
Dit kan bestaan uit:

• Reguliere trainingen en refreshers voor medewerkers over informatiebeveiliging.
• Specifieke trainingen voor IT-personeel op het gebied van beveiliging.
• Campagnes om de algemene beveiligingscultuur te versterken.

7. Incidentmanagement en herstelmaatregelen
Het framework moet een proces bevatten voor het identificeren, rapporteren en oplossen van beveiligingsincidenten.
Dit omvat:

• Het opzetten van een incident response team.
• Procedures voor snelle escalatie en opvolging van incidenten.
• Een plan voor herstel en continue verbetering om lessen uit incidenten toe te passen.

8. Continue verbetering
ISO 27001:2022 vereist een cyclus van continue verbetering om te garanderen dat het ISMS zich aanpast aan nieuwe bedreigingen en vereisten. Dit houdt in dat:

• Het framework regelmatig wordt herzien en aangepast.
• Er lessen worden getrokken uit audits, incidenten en nieuwe risicoanalyses.
• Verbeteringen systematisch worden toegepast, bijvoorbeeld met behulp van de PDCA-cyclus (Plan-Do-Check-Act).
• Implementatieoverwegingen

Een goed opgezet control framework moet flexibel en schaalbaar zijn, zodat het meegroeit met de organisatie en aansluit bij zowel technologische als operationele veranderingen. Daarnaast is het essentieel om periodieke evaluaties en controles uit te voeren om te zorgen dat de beheersmaatregelen effectief blijven en in lijn zijn met de actuele bedrijfs- en risicocontouren.

Conclusie
Een control framework voor ISO 27001:2022 is meer dan alleen een verzameling technische maatregelen. Het is een holistische aanpak die beleid, procedures, rollen, training en technische controls combineert om informatiebeveiliging integraal en effectief te waarborgen. Met een goed ingericht control framework kan een organisatie zich niet alleen certificeren volgens ISO 27001, maar ook haar beveiligingshouding structureel versterken en risico’s proactief beheersen.
 

Control framework ISO 27001 voorbeeld

Als voorbeeld is een ISMS -Information Security Management System- control framework uitgewerkt, gericht op de ISO 27001, Annex A. Een set van 95 beheersmaatregelen gericht op informatiebeveiliging, indien van toepassing.
Binnen het managementsysteem platform is het ISMS control framework een onderdeel. Periodiek wordt hier vastgelegd wat de toetsingsresultaten van de effectiviteitscontroles van de betreffende beheersmaatregelen (controls) zijn. Groot voordeel is dat er directe links met het beschreven managementsysteem en de verschillende kwaliteitsregistraties of KPI-metingen zijn.
 

Business partners

Metaware werkt graag samen met kundige adviseurs. Wij leveren de tools -het managementsysteem platform- en onze business partners hebben de inhoudelijke kennis, elk kundig op hun eigen gebied. Of het nu ISO27001, COSO, ISAE3402, COBIT,  BIO, NEN7510, AVG, GDPR of een ander control framework is.

Klik hier voor het ISO 27001:2022 ISMS control framework van onze business partner meta-audit.nl

In onderstaande presentatie is de werkwijze met een control framework met ondersteuning van de collega's van Meta-audit.nl verder uitgelegd.

, 

Bekijk voor een ISMS control framework voorbeeld in onderstaande demo of probeer het zelf, NU (in 60 seconden online ..).

Demo systeem:

Log automatisch in de demo systemen ingericht met een control framework en ervaar hoe het werkt:

• ISO 27001 - control framework