Verklaring van Toepasselijkheid (SoA) ISO 27001: Voorbeeld & Uitleg

De Verklaring van Toepasselijkheid (Statement of Applicability) is een verplicht document binnen ISO 27001 clausule 6.1.3d. Het bevat alle 93 Annex A controls en geeft per control aan of deze toepasselijk is, waarom (met verwijzing naar de risicoanalyse) en wat de implementatiestatus is. Auditors gebruiken de SoA als startpunt bij elke certificeringsaudit.

Een SoA moet alle 93 controls uit Annex A van ISO 27001:2022 bevatten. Elke control moet worden beoordeeld op toepasselijkheid. Je mag controls als niet-toepasselijk aanmerken, maar ze moeten wel in het document staan met een concrete onderbouwing waarom ze niet relevant zijn voor jouw organisatie.

Ja, dat mag en dat is zelfs aan te raden waar het logisch is. Een cloud-only organisatie zonder eigen serverruimte kan fysieke beveiligingscontrols als niet-toepasselijk aanmerken. Belangrijk is dat je een concrete, navolgbare rechtvaardiging geeft. Alles op toepasselijk zetten is juist een rode vlag voor auditors.

De SoA geeft het totaaloverzicht: welke controls zijn toepasselijk en wat is de status. Het risicobehandelingsplan beschrijft de concrete acties om geïdentificeerde risicos te behandelen. Beide documenten moeten naar elkaar verwijzen. De SoA is het wat, het risicobehandelingsplan is het hoe en wanneer.

ISO 27001 schrijft geen vaste frequentie voor, maar best practice is minimaal jaarlijks reviewen — bij voorkeur gekoppeld aan de managementreview. Daarnaast moet je de SoA bijwerken bij significante wijzigingen zoals een nieuwe cloud-omgeving, organisatiewijzigingen, nieuwe wetgeving (zoals NIS2) of na een beveiligingsincident.