In de ISO/IEC 27001:2022 (nl) is in paragraaf 6.1.3 onder d) het volgende opgenomen:
De organisatie moet een procedure voor de behandeling van informatiebeveiligingsrisico’s definiëren en toepassen om [...] een verklaring van toepasselijkheid op te stellen die het volgende bevat:
- de noodzakelijke beheersmaatregelen;
- een rechtvaardiging voor het opnemen ervan;
- de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
- de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
Wanneer je op zoek bent naar een voorbeeld voor een verklaring van toepasselijkheid, dan heb ik hier een template.