De Statement of Applicability, of verklaring van toepasselijkheid, is misschien wel het belangrijkste document van een ISO 27001-implementatie. Het is het scharnierpunt tussen je risicobeoordeling en de beheersmaatregelen die je daadwerkelijk inricht. Toch worstelen veel organisaties ermee. In dit artikel leggen we uit wat de SoA precies is, wat erin hoort en hoe je hem opstelt zonder in de bekende valkuilen te trappen.
Wat is de Statement of Applicability
De SoA is een document waarin je voor elke beheersmaatregel uit Annex A van ISO 27001 vastlegt of die van toepassing is op jouw organisatie, en zo ja, hoe die wordt ingevuld. In de versie van 2022 telt Annex A 93 maatregelen, verdeeld over vier thema's: organisatorisch, mensen, fysiek en technologisch. Voor elke maatregel onderbouw je of je hem toepast en, als je hem niet toepast, waarom niet. De SoA verbindt zo de uitkomsten van je risicobeoordeling met concrete maatregelen.
Waarom de SoA zo belangrijk is
Voor een auditor is de SoA het eerste document waar hij naar grijpt. Het geeft in één overzicht weer hoe de organisatie haar informatiebeveiliging heeft ingericht en welke keuzes daarachter zitten. Een goede SoA toont aan dat de maatregelen voortkomen uit een doordachte risicobeoordeling en niet uit een afvinklijstje. Een zwakke SoA, waarin alle maatregelen klakkeloos op 'van toepassing' staan zonder onderbouwing, is direct een rode vlag.
De relatie met de risicobeoordeling
De SoA staat niet op zichzelf. Hij volgt logisch uit de risicobeoordeling: je identificeert risico's, bepaalt hoe je die behandelt, en selecteert daarvoor maatregelen uit Annex A. De SoA legt die selectie vast. Daarom is de volgorde belangrijk: eerst de risicobeoordeling, dan de SoA. Wie de SoA invult zonder onderliggende risicoanalyse, draait de logica om en krijgt dat bij de audit terug.
Hoe je een maatregel onderbouwt
Voor elke toegepaste maatregel beschrijf je beknopt hoe die is ingevuld en verwijs je naar het onderliggende beleid of de procedure. Bij toegangsbeheer verwijs je bijvoorbeeld naar je toegangsbeleid en het proces voor het toekennen en intrekken van rechten. Het gaat niet om lange teksten, maar om een heldere, herleidbare verwijzing. Voor maatregelen die je niet toepast, geef je een onderbouwde reden, bijvoorbeeld dat je geen eigen softwareontwikkeling doet en bepaalde ontwikkelmaatregelen daarom niet relevant zijn.
Uitsluitingen: mag dat, en hoe
Ja, je mag maatregelen uitsluiten, mits onderbouwd. Anders dan bij sommige andere normen is uitsluiting in ISO 27001 toegestaan zolang de reden verdedigbaar is en aansluit op je scope en risico's. De fout die we vaak zien, is dat organisaties uit voorzichtigheid alles op 'van toepassing' zetten en zo maatregelen claimen die ze niet echt hebben ingericht. Dat is gevaarlijker dan een goed onderbouwde uitsluiting, want bij de audit moet je elke 'van toepassing' kunnen aantonen.
Veelgemaakte fouten
De eerste fout is de SoA loskoppelen van de risicobeoordeling. De tweede is alles op 'van toepassing' zetten zonder de bijbehorende maatregelen daadwerkelijk te hebben. De derde is de SoA opstellen en daarna vergeten: de SoA is een levend document dat meebeweegt met veranderingen in scope, systemen en risico's. De vierde is te uitgebreide of juist te summiere onderbouwingen; mik op een heldere verwijzing die herleidbaar is naar beleid en bewijs.
De SoA onderhouden met tooling
Omdat de SoA de risicobeoordeling, de maatregelen en de bewijslast met elkaar verbindt, leent hij zich uitstekend voor beheer in een GRC-platform. Wijzigt een risico of een maatregel, dan werk je de SoA op één plek bij en blijft de samenhang met het bewijs intact. Dat voorkomt de situatie waarin de SoA in een los document langzaam uit de pas gaat lopen met de werkelijkheid, een veelvoorkomende bevinding bij surveillance-audits.
Secure Audit helpt organisaties bij het opstellen en onderhouden van een gedegen Statement of Applicability, gekoppeld aan de risicobeoordeling en de bewijslast in onze GRC-tool. Neem contact op voor ondersteuning bij je ISO 27001-traject.
Veelgestelde vragen
Wat is een Statement of Applicability?+
De SoA is het document waarin je voor elke beheersmaatregel uit Annex A van ISO 27001 vastlegt of die van toepassing is en hoe die wordt ingevuld. Hij verbindt de risicobeoordeling met de daadwerkelijk ingerichte maatregelen.
Hoeveel maatregelen staan er in de SoA?+
In ISO 27001:2022 telt Annex A 93 beheersmaatregelen, verdeeld over vier thema's: organisatorisch, mensen, fysiek en technologisch. Voor elke maatregel onderbouw je of je hem toepast.
Mag je maatregelen uitsluiten in de SoA?+
Ja, mits onderbouwd. Een verdedigbare uitsluiting die aansluit op je scope en risico's is toegestaan en vaak verstandiger dan alles op 'van toepassing' zetten, want elke toegepaste maatregel moet je bij de audit kunnen aantonen.
Komt de SoA voor of na de risicobeoordeling?+
Na. De SoA volgt logisch uit de risicobeoordeling: je identificeert risico's, bepaalt de behandeling en selecteert maatregelen uit Annex A. De SoA legt die selectie vast. De volgorde omdraaien leidt tot problemen bij de audit.
Lees ook
Van gap-analyse tot certificeringsaudit: een praktische gids voor ISO 27001 implementatie en certificering.
ISO 27001:2022 bracht aanzienlijke veranderingen met zich mee. Ontdek de nieuwste updates en wat dit betekent voor jouw informatiebeveiliging.
Veel ISO 27001-trajecten verzanden in spreadsheets en gedeelde mappen. Een GRC-platform brengt controls, risico's en bewijslast samen en versnelt de implementatie aanzienlijk.
Over de auteur
Partner | IT-auditor