Academie thuis
Blogs
Wat is Verklaring van Toepasselijkheid (SoA) in ISO 27001?
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Wat is Verklaring van Toepasselijkheid (SoA) in ISO 27001?

ISO 27001 collectie
Wat is Verklaring van Toepasselijkheid (SoA) in ISO 27001?
NIS2-verzameling
Wat is Verklaring van Toepasselijkheid (SoA) in ISO 27001?
Cyberday blog
Wat is Verklaring van Toepasselijkheid (SoA) in ISO 27001?

Verklaring van Toepasselijkheid (ook bekend als SoA) is een van de verplichte documenten voor ISO 27001-certificering. In een notendop legt SoA uit welke beveiligingscontroles (van de huidige in totaal 93) uit de ISO 27001-norm relevant zijn voor uw organisatie, of u ze al hebt geïmplementeerd en hoe u dat hebt gedaan.

Maar al te vaak wordt een SoA gezien als een statisch document, hoewel het een actieve rol zou moeten spelen in naleving, voortdurende verbetering en het bewaken van uw algehele ISO 27001 voortgang.

In deze blog behandelen we het belangrijkste doel en de voordelen van een goed werkend SoA-document. We leggen ook uit wat de belangrijkste rollen zijn in goed informatiebeveiligingsmanagement dat is gebaseerd op ISO 27001.

Wat is Verklaring van Toepasselijkheid (SoA) in ISO 27001?

In de Verklaring van Toepasselijkheid wordt uitgelegd welke beveiligingscontroles uit Bijlage A van de ISO 27001-norm relevant zijn voor uw organisatie, of u deze al hebt geïmplementeerd en hoe u dat hebt gedaan.

Goed om te weten: De exacte inhoud, het doel en de naamgeving van SoA's zijn specifiek voor de ISO 27001-norm, maar het algemene idee van het opsommen van vereisten of controles en het duidelijk weergeven van uw status en antwoord op elke vereiste kan worden toegepast op elke vorm van compliance-rapportage - naar elk raamwerk voor bijvoorbeeld informatiebeveiliging.

In een typisch SoA-document worden alle 93 controles van ISO 27001:2022 opgesomd (vaak in een Excel-bestand) en wordt voor elke controle het volgende weergegeven:

  • Toepasselijkheidsstatus (van toepassing of niet van toepassing)
  • Sterke rechtvaardiging voor elke niet-toepasbare controle
  • Implementatiestatus
  • Verwijzingen naar meer bewijs / details over implementatie
Fragment uit een traditioneel SoA-document

Het is belangrijk om te begrijpen dat de lijst met controles in ISO 27001 zorgvuldig is samengesteld door experts uit de industrie en door de jaren heen is getest door honderdduizenden organisaties. Daarom kunt u echt niet rechtvaardigen dat sommige fundamentele controles niet van toepassing zijn en hebt u sterke argumenten nodig voor controles die u hebt besloten niet te implementeren.

Ook om de hierboven beschreven reden zien de meeste SoA-documenten van gecertificeerde organisaties er overwegend groen uit (d.w.z. de controle is geïmplementeerd) met mogelijk een paar controles die niet van toepassing zijn verklaard. Maar zelfs in deze gevallen kan er veel variatie zijn in de diepgang van de implementatie van elk van de toepasbare controles.

Een slim SoA-document kan meer implementatie-informatie uit je ISMS halen, zodat je de SoA ook kunt gebruiken als hulpmiddel om de implementatie en kracht van de implementatie van elke controle direct vanuit de SoA te monitoren.

Voorbeeld van een geautomatiseerde samenvatting van een SoA-document, die zichzelf creëert via de inhoud van ISMS-taken

De belangrijkste doelen van SoA zijn:

  • De implementatie van controles aantonen: De controlelijst van ISO 27001 bevat 93 controles die alle verschillende aspecten van informatiebeveiliging omvatten. SoA communiceert met één blik hoe sterk uw huidige controle-implementatie eruit ziet.
  • Biedt een ISMS-overzicht: SoA is vaak een van de beste manieren om een overzicht te krijgen van je ISMS, omdat het een momentopname geeft van de huidige beveiligingsmaatregelen.
  • Vergemakkelijkt het certificeringsproces: SoA is een belangrijk document bij ISO 27001-certificeringsaudits. Certificeringsaudits vereisen dat alle secties van de norm worden beoordeeld en de SoA wordt meestal gebruikt als centraal punt voor navigatie naar meer gedetailleerde documentatie die de implementatie bewijst.
  • Ondersteunt risicobeheer voor informatiebeveiliging: SoA zorgt ervoor dat u alle aanbevolen controles van ISO 27001 holistisch moet bekijken wanneer u beslist over de behandeling van bepaalde risico's voor informatiebeveiliging.
  • Ondersteunt continue verbetering: Nadat u eenmaal de initiële compliance of certificering hebt bereikt, moet uw beveiligingswerk voortdurend worden verbeterd. Misschien wilt u de implementatie van bepaalde controles aanscherpen, omdat er incidenten zijn geweest of risico's aan het licht zijn gekomen. Een goede SoA moet u helpen inzicht te krijgen in de huidige diepgang van de implementatie van verschillende controles.

3 belangrijke redenen waarom SoA zo belangrijk is

1. Het is een verplicht document voor certificering

  • ISO 27001 vereist expliciet een SoA als onderdeel van de ISMS-documentatie.
  • Dit betekent dat je niet kunt slagen voor de ISO 27001-certificering zonder een SoA-document.
  • De auditor gebruikt de SoA als een belangrijke referentie om de implementatie en selectie van controles te beoordelen.

2. Het toont een gerechtvaardigde beveiligingsaanpak

  • SoA bewijst dat de organisatie zorgvuldig beveiligingscontroles heeft geselecteerd op basis van de resultaten van de risicobeoordeling
  • De SoA geeft vooral een duidelijke rechtvaardiging voor controles die zijn uitgesloten van de controlelijst in Bijlage A.
  • Deze aanpak voorkomt bijvoorbeeld dat kritieke beveiligingsmaatregelen over het hoofd worden gezien, die deel uitmaken van elk volwassen programma voor informatiebeveiliging.

3. Het dient als stappenplan voor implementatie en audits

  • SoA dient als leidraad voor het verbeteren van ISO 27001 compliance voor de interne beveiligingsteams, omdat zij de implementatie van benodigde controles kunnen volgen.
  • Auditors gebruiken SoA om na te gaan of controles operationeel en effectief zijn. Auditors kunnen bijvoorbeeld controles aanwijzen die te vaag zijn geïmplementeerd.
  • SoA ondersteunt ook continue verbetering, omdat organisaties het moeten bijwerken als de risico-omgeving of hun eigen beveiligingsbehoeften veranderen.

4 hoofdrollen voor SoA in informatiebeveiliging

Hieronder bespreken we vier belangrijke rollen die een goed gestructureerd SoA-document speelt in effectief informatiebeveiligingsbeheer. Inzicht in deze rollen helpt organisaties om beveiligingscontroles efficiënt te implementeren en tegelijkertijd te voldoen aan de regelgeving en bedrijfsvereisten.

1. SoA helpt u actief de naleving te verbeteren

SoA zou niet alleen een lijst met controles en links naar statische beleidsregels over deze controles moeten zijn. Het zou een levende referentie moeten zijn voor beveiligingsbeheer.

Als je de SoA maakt met behulp van een ISMS-tool, kun je bijhouden hoe je compliance score is verbeterd en hoe zeker je bent dat de score accuraat is. Dit betekent in feite hoe sterk je de relevante controles hebt geïmplementeerd en hoeveel details er in het ISMS zijn om deze implementatiestatus te ondersteunen (deze details zijn bijvoorbeeld benoemde eigenaren, uitgevoerde beoordelingen, gekoppelde technologieën, gekoppelde records of ander gerelateerd bewijsmateriaal dat de implementatie aantoont).

Je huidige compliance-score en -garantie bijhouden op een SoA-document in Cyberday

2. SoA biedt structuur en overzicht voor beoordelingen en audits

Of u nu een interne of externe audit uitvoert op basis van ISO 27001, SoA is uw belangrijkste document. Auditors vertrouwen op SoA om te zien of uw beveiligingsmaatregelen overeenkomen met de ISO 27001-structuur.

Uw interne auditors kunnen hetzelfde doen en uw eigen beveiligingspraktijken auditen met behulp van SoA, waarbij er tegelijkertijd voor wordt gezorgd dat audits in kleinere delen kunnen worden opgesplitst en nog steeds een aantoonbare dekking van de volledige norm hebben.

Als je SoA ook voldoende informatie bevat over de controle-implementatie, kunnen je interne audits zich richten op het eerste niveau om te onderzoeken of de details die je op SoA-niveau hebt gevonden ook echt operationeel zijn.

SoA gebruikt door een interne auditor in de auditweergave

SoA helpt ook bij managementreviews, waarbij het topmanagement een overzicht krijgt van onze huidige ISO 27001 controle-implementatie, voordat we in meer details duiken.

3. SoA ter ondersteuning van voortdurende verbetering

De ISO 27001-norm kan u geen exacte details geven over de implementatie van elke controle. Er is veel ruimte voor het implementeren van sommige controles met een lichtere aanpak en het dieper ingaan op sommige controles - de controles waar u de grootste risico's mee ziet.

Een slim SoA-document kan worden gebruikt als leidraad om na te denken over het versterken van de controle-implementatie. Je kunt begrijpen welke controles al zeer sterk geïmplementeerd zijn en in welke controles je mogelijk eenvoudige hardening-acties beschikbaar hebt.

Significante veranderingen in je activiteiten of je bedreigingsomgeving moeten ook zichtbaar zijn als verbeteringen in je controle-implementatie.

Ben je tevreden met de diepgang van je huidige implementatie van de controle, of moet je verder gaan?

4. SoA ter ondersteuning van communicatie over klantveiligheid

De Verklaring van Toepasselijkheid is ook een van de meest populaire documenten die uw klanten of andere belanghebbenden willen zien. Aangezien elke ISO 27001 gecertificeerde organisatie goed bekend is met de SoA, willen zij wellicht uw versie zien.

SoA is een van de documenten die sommige organisaties op verzoek beschikbaar stellen aan hun belanghebbenden. Dit kan bijvoorbeeld op de /security pagina van uw website of bijvoorbeeld op de trust center pagina van een ISMS-app, die een "op verzoek" link kan bieden naar uw meest recent gepubliceerde live SoA.

SoA wordt gedeeld voor belanghebbenden via een Cyberday vertrouwenscentrum

Laatste gedachten

Kortom, een goed gebruikt document met een Verklaring van Toepasselijkheid zal u helpen bij uw voortdurende inspanningen op het gebied van beveiliging en compliance. Het is verplicht voor certificering en een belangrijk document voor iedereen die zijn ISO 27001-naleving wil verbeteren.

Als u uw informatiebeveiliging uitvoert met een goede ISMS-tool, hoeft u geen extra werk te doen om het SoA-document samen te stellen - alle benodigde informatie zou altijd beschikbaar moeten zijn in uw ISMS! In dit geval is de SoA het belangrijkste rapport van uw ISMS, dat een overzicht geeft vanuit het perspectief van ISO 27001 en de implementatie van controles.

Geschreven door
Aleksi Pulkkanen
4.3.2025
@
apulkkanen
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Artikel delen

Andere vergelijkbare content van Academy

Blogs

ISMS-implementatie: vergelijking van documenten, wiki's, ISMS-tools en GRC

Er zijn een paar verschillende benaderingen om een ISMS op te bouwen. In dit artikel vergelijken we deze verschillende methoden, zodat u weet welke het beste past bij de behoeften van uw organisatie op het gebied van beveiligingsbeheer.
6.3.2025

Wat is Verklaring van Toepasselijkheid (SoA) in ISO 27001?

In deze blog behandelen we het belangrijkste doel en de voordelen van een goed werkend document met een Verklaring van Toepasselijkheid. We leggen ook uit waarom SoA belangrijk is, en 4 belangrijke rollen die het kan spelen bij informatiebeveiliging.
4.3.2025

Waarom is ISO 27001-naleving nu belangrijker dan ooit?

Jaar na jaar is de ISO 27001-norm een van de gouden standaarden voor informatiebeveiliging gebleven. De wereldwijde standaard is relevant gebleven, maar waar is ISO 27001 ontstaan? En waarom neemt de populariteit alleen maar toe?
27.2.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekWekelijkse nieuwsverteertInschrijven voor AcademieLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid