De Verklaring van Toepasselijkheid (vaak afgekort tot VvT) is het document waarmee de organisatie vastlegt welke beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiliging. De norm (zowel ISO 27001, als NEN 7510-1) zegt er in hoofdstuk 6.1.3, lid d het volgende over:
“Een verklaring van toepasselijkheid op te stellen die […] de benodigde beheersmaatregelen [bevat], een rechtvaardiging voor het opnemen ervan, de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet, en de rechtvaardiging voor het uitsluiten van in bijlage A genoemde beheersmaatregelen.”
In de VvT staan alle geldende beheersmaatregelen en bij elke beheersmaatregel is aangegeven waarom en hoe de organisatie eraan voldoet en indien een beheersmaatregel uit de Annex A van de norm niet is geïmplementeerd waarom dat niet nodig is (niet van toepassing verklaring).
Gecombineerd managementsysteem
Wanneer gebruik wordt gemaakt van zowel de ISO 27001, als de NEN 7510-1, dan zijn er twee mogelijkheden om de VvT op te stellen. De eerste is door één gecombineerde VvT op te stellen. Daarbij geef je dan expliciet aan dat de Beheersmaatregelen uit de ISO 27001 op dezelfde wijze zijn geïmplementeerd als die uit de NEN 7510-1. De opbouw van die ene VvT is dan identiek aan de opbouw van de VvT bij een managementsysteem gebaseerd op de NEN 7510-1.
Een andere mogelijkheid is om voor de ISO 27001 een VvT op te stellen en apart eentje voor de NEN 7510-1. De VvT voor de ISO 27001 is dan identiek aan de opbouw van de VvT bij een managementsysteem gebaseerd op de ISO 27001. De VvT voor de NEN 7510-1 kan dan eveneens een volledige VvT zijn (dus identiek aan de opbouw van de VvT bij een managementsysteem gebaseerd op de NEN 7510-1).
Indien gekozen wordt voor twee VvTs, dan verdiend het echter de voorkeur om in de VvT van de NEN 7510-1 de beheersmaatregelen weg te laten en alleen de Zorgspecifieke beheersmaatregelen op te nemen. In dat geval geef je in de toelichting aan dat de implementatie van de beheersmaatregelen uit de NEN 7510-1 identiek is als bij de ISO 27001 en dat je dan ook in de VvT van de ISO 27001 naar de beheersmaatregelen moet kijken.
Een voorbeeld van een gecombineerde VvT is hier te vinden.
VvT ISO 27001
Bij elke beheersmaatregel uit de annex van de ISO 27001 neem je de volgende informatie op:
- De toepasselijkheid: is de Beheersmaatregel wel of niet van toepassing op uw organisatie?
- Onderbouwing Niet van toepassing: Geef aan waarom de Beheersmaatregel niet van toepassing is.
- Reden voor selectie: Vink aan waarom (wet- en regelgeving, contractuele verplichtingen, risicobeoordeling) de Beheersmaatregel wel van toepassing is.
- Implementatie: Geef aan of de Beheersmaatregel volledig is geïmplementeerd of niet.
Een voorbeeld van een lege VvT ISO 27001 is hier te vinden.
VvT NEN 7510-1
Bij elke beheersmaatregel uit de annex van de NEN 7510-1 geef je als eerste de omschrijving van de Beheersmaatregel en (indien aanwezig) de omschrijving van de Zorgspecifieke beheersmaatregel. Vervolgens neem je de volgende informatie op:
- De toepasselijkheid: is de (Zorgspecifieke) Beheersmaatregel wel of niet van toepassing op uw organisatie?
- Status beheersmaatregel: Geef aan wat de status van de implementatie van de (Zorgspecifieke) Beheersmaatregel is.
- Onderbouwing voor out of scope: Geef aan waarom de (Zorgspecifieke) Beheersmaatregel niet van toepassing is.
- Reden voor selectie: Vink aan waarom (wet- en regelgeving, contractuele verplichtingen, best practices, risicobeoordeling) de (Zorgspecifieke) Beheersmaatregel wel van toepassing is.
Een voorbeeld van een lege VvT NEN is hier te vinden.