Tag: Statement of Applicability

  • Waarom je Statement of Applicability meer is dan een ISO 27001 control-lijst

    Waarom je Statement of Applicability meer is dan een ISO 27001 control-lijst

    Tijdens een audit komt de vraag vroeg of laat op tafel.

    Waarom is deze maatregel wel of niet van toepassing?

    Op dat moment wordt duidelijk hoe stevig de basis is. Niet in het document zelf, maar in het verhaal erachter.

    Veel organisaties hebben een Statement of Applicability die op papier klopt. Alle maatregelen staan erin, alles is ingevuld. Maar zodra er wordt doorgevraagd, blijkt dat keuzes lastig te herleiden zijn. Onderbouwing zit verspreid, of alleen nog in hoofden.

    En precies daar zit het verschil tussen voldoen aan ISO 27001 en begrijpen wat je doet.

    Wat een Statement of Applicability eigenlijk is

    De Statement of Applicability, of SoA, wordt vaak gezien als een overzicht van beheersmaatregelen uit Annex A. Dat klopt, maar het is slechts de vorm.

    In de kern is het document een overzicht van keuzes.

    Per maatregel leg je vast of deze van toepassing is, wat de motivatie is, hoe de implementatie eruitziet en waar dat aantoonbaar is. Maar belangrijker dan die velden is wat ze samen laten zien. Ze maken zichtbaar hoe een organisatie naar risico’s kijkt en welke afwegingen daarbij zijn gemaakt.

    De SoA is daarmee geen lijst van controls, maar een samenvatting van hoe beslissingen tot stand komen.

    Waarom auditors hier zwaar op leunen

    In de praktijk gebruiken auditors de SoA als startpunt om te begrijpen hoe een organisatie werkt.

    Niet omdat het document volledig moet zijn, maar omdat het laat zien of keuzes logisch en consistent zijn. Sluiten maatregelen aan op de risicoanalyse? Zijn uitsluitingen onderbouwd? Komt wat op papier staat overeen met hoe er daadwerkelijk gewerkt wordt?

    Daarmee wordt de SoA een toets op samenhang. Niet alleen binnen het document zelf, maar tussen risico’s, maatregelen en uitvoering.

    In veel situaties geeft dit document richting aan de audit. Als de onderbouwing klopt, verlopen gesprekken inhoudelijk. Als die ontbreekt, verschuift de audit naar zoeken en verklaren achteraf.

    Wat er misgaat als de SoA een control-lijst wordt

    De verleiding is groot om de SoA zo veilig mogelijk in te vullen. Alles op “van toepassing”, een bekende template gebruiken en minimale toelichting geven.

    Dat voorkomt discussie op papier, maar zorgt in de praktijk juist voor extra werk.

    Tijdens audits ontstaan meer vragen. Bewijs moet alsnog worden verzameld. Keuzes moeten achteraf worden uitgelegd. Ook richting klanten of partners kan onduidelijkheid ontstaan over waarom bepaalde maatregelen wel of niet zijn ingericht.

    Het probleem is zelden dat informatie ontbreekt. Het probleem is dat de afweging erachter niet zichtbaar is.

    En juist die afweging is waar auditors op toetsen.

    De relatie tussen risicoanalyse, Annex A en de SoA

    De SoA staat niet op zichzelf. Het document is onderdeel van een keten.

    De risicoanalyse bepaalt welke onderwerpen aandacht vragen. Annex A fungeert daarbij als referentiekader om te controleren of alle relevante beheersmaatregelen zijn overwogen. De SoA maakt vervolgens zichtbaar welke keuzes daaruit volgen.

    Zonder risicoanalyse wordt de SoA willekeurig. Dan is niet duidelijk waarom een maatregel wel of niet relevant is.

    Zonder SoA blijft de risicoanalyse abstract. Dan is niet zichtbaar wat er met die inzichten is gedaan.

    In de praktijk is dit ook het punt waar inhoud en besluitvorming samenkomen. Elke maatregel vraagt tijd, aandacht of investering. De SoA laat zien waarom die inzet logisch is, of waarom bewust voor een andere oplossing wordt gekozen.

    Voor een bredere uitleg van hoe risicoanalyse hierin werkt, zie ook De risicoanalyse: een onmisbaar instrument voor elke ondernemer.

    Wanneer je maatregelen bewust kunt uitsluiten

    Een veelvoorkomende misvatting is dat alle maatregelen uit Annex A moeten worden geïmplementeerd.

    Dat is niet hoe ISO 27001 bedoeld is.

    Wat wel verwacht wordt, is dat je kunt uitleggen waarom een maatregel niet van toepassing is. Bijvoorbeeld omdat deze niet relevant is voor de dienstverlening, omdat het risico aantoonbaar laag is, of omdat de maatregel op een andere manier wordt ingevuld.

    De kwaliteit zit niet in het vermijden van uitsluitingen, maar in de onderbouwing ervan.

    Een goed beargumenteerde keuze om iets niet te doen, is vaak sterker dan een maatregel die alleen op papier bestaat. In de praktijk gaat dit ook regelmatig mis, zoals beschreven in ISO 27001 Veelgemaakte fouten: 5 valkuilen en hoe je ze voorkomt.

    Wat een goede SoA zegt over je organisatie

    Een sterke SoA laat zien dat keuzes expliciet zijn gemaakt en dat risico’s serieus zijn afgewogen.

    Niet doordat alles is ingevuld, maar doordat de logica klopt. Maatregelen zijn herleidbaar. Uitsluitingen zijn begrijpelijk. De samenhang is zichtbaar.

    Voor auditors en klanten is dat vaak het eerste signaal van vertrouwen. Nog voordat ze de details bekijken, geeft dit document richting aan hoe de organisatie wordt beoordeeld.

    Wie dit goed op orde heeft, merkt dat audits minder defensief worden en meer gaan over inhoud. Dat sluit aan bij wat auditors feitelijk testen, zoals ook terugkomt in Wat auditors feitelijk testen, ook als ze het niet zo noemen.

    Hoe je de SoA werkbaar houdt

    De neiging is om dit zwaar te maken, met uitgebreide beschrijvingen en veel detail. Dat is meestal niet nodig.

    Wat wel nodig is, is duidelijkheid.

    Per maatregel moet helder zijn waarom deze relevant is en hoe die keuze tot stand is gekomen. Die motivatie hoeft niet lang te zijn, maar wel begrijpelijk. Daarnaast helpt het om steeds hetzelfde denkkader te gebruiken, zodat keuzes consistent blijven.

    De SoA werkt het best als hij aansluit op bestaande risico’s en acties. Niet als los document, maar als onderdeel van hoe je werkt.

    Wanneer die samenhang ontbreekt, ontstaat hetzelfde probleem dat je ook ziet bij andere compliance-documentatie. Op papier klopt het, maar de uitleg kost steeds opnieuw moeite. Dat effect wordt ook beschreven in ISO 27001 is geen eindpunt: Zo blijf je compliant zonder gedoe.

    Tot slot

    De Statement of Applicability is geen verplicht document voor de audit.

    Het is de plek waar zichtbaar wordt hoe serieus je keuzes neemt.

    Niet hoeveel maatregelen je hebt vastgelegd, maar of je kunt uitleggen waarom ze er zijn en hoe ze samenhangen.

    Daar zit het verschil tussen een document dat wordt bijgehouden en een document dat daadwerkelijk richting geeft.

    Verder lezen

    Maak keuzes zichtbaar zonder extra administratie

    Merk je dat je Statement of Applicability vooral een lijst is geworden?

    Of dat je per maatregel wel iets hebt ingevuld, maar niet altijd kunt herleiden waar de keuze vandaan komt?

    In de praktijk zit de uitdaging zelden in het document zelf, maar in de samenhang erachter. Hoe zorg je dat risico’s, maatregelen en bewijs logisch op elkaar aansluiten, zonder dat het extra werk oplevert?

    Dat begint niet met meer vastleggen, maar met beter vasthouden wat je al besluit. Zodra keuzes op één plek samenkomen en herleidbaar blijven, ontstaat overzicht vanzelf. En daarmee ook rust richting audits, klanten en interne besluitvorming.