Wat is een Statement of Applicability binnen ISO 27001?

Een Statement of Applicability (SoA) is een verplicht document binnen ISO 27001 dat beschrijft welke beveiligingsmaatregelen (controls) uit Annex A van toepassing zijn op jouw organisatie, waarom bepaalde controls zijn opgenomen of uitgesloten, en hoe elke control is geïmplementeerd. Het is in feite de ruggengraat van je informatiebeveiligingssysteem.

De SoA verbindt de resultaten van je risicoanalyse aan concrete beveiligingsmaatregelen en legt verantwoording af aan auditors, toezichthouders en andere stakeholders. In de secties hieronder beantwoorden we de meest gestelde vragen over dit document.

Welke informatie moet een Statement of Applicability bevatten?

Een volledig Statement of Applicability bevat voor elke control uit Annex A van ISO 27001 minimaal vier elementen: of de control van toepassing is, de motivatie voor die keuze, de implementatiestatus en een verwijzing naar het bewijs van implementatie. Zonder al deze elementen is het document onvolledig voor certificeringsdoeleinden.

Concreet betekent dit dat een goed opgestelde SoA het volgende omvat:

• Alle controls uit Annex A, inclusief de controls die je uitsluit
• Motivatie per control: waarom is een control opgenomen (risicobehandeling, wettelijke verplichting, contractuele eis of best practice) of waarom is deze uitgesloten
• Implementatiestatus: is de control volledig, gedeeltelijk of nog niet geïmplementeerd
• Verwijzing naar beleidsdocumenten of procedures die de implementatie onderbouwen

De ISO 27001:2022-versie werkt met 93 controls verdeeld over vier categorieën: organisatorisch, mensen, fysiek en technologisch. Zorg dat je SoA aansluit op de actuele versie van de standaard, want organisaties die nog werken met de 2013-versie moeten uiterlijk in 2026 zijn overgegaan op de herziene norm.

Hoe verschilt een SoA van een risicobehandelingsplan?

Het risicobehandelingsplan (Risk Treatment Plan, RTP) beschrijft welke acties je neemt om geïdentificeerde risico’s te beheersen, inclusief tijdlijnen, eigenaren en prioriteiten. De SoA beschrijft welke controls je inzet als onderdeel van die behandeling. De twee documenten zijn complementair maar niet uitwisselbaar.

Een praktisch onderscheid: het RTP is dynamisch en projectmatig van aard. Het bevat taken met deadlines en verantwoordelijken. De SoA is stabieler en overzichtelijker: het is een register van alle controls met hun status. In de praktijk verwijst het RTP naar de SoA om te laten zien welke controls worden ingezet voor welk risico.

Auditors bekijken beide documenten altijd in samenhang. Als een risico in het RTP staat beschreven maar de bijbehorende control in de SoA is gemarkeerd als “niet van toepassing”, moet je dat verschil kunnen uitleggen. Consistentie tussen de twee documenten is essentieel voor een succesvolle certificering.

Wie is verantwoordelijk voor het opstellen van de SoA?

De eindverantwoordelijkheid voor de SoA ligt bij de Information Security Officer (ISO) of CISO van de organisatie. In de praktijk wordt het document opgesteld in samenwerking met proceseigenaren, IT-beheerders en soms externe adviseurs, maar de formele goedkeuring hoort bij de securityverantwoordelijke op directieniveau.

Organisaties zonder een fulltime CISO schakelen regelmatig een externe expert in voor dit werk. Een tijdelijke CISO kan de SoA opstellen, beoordelen en bewaken zonder dat je een permanente aanstelling nodig hebt. Dat is met name relevant voor organisaties in gereguleerde sectoren die wel moeten voldoen aan ISO 27001, maar nog geen volwassen interne securityfunctie hebben opgebouwd.

Hoe vaak moet een Statement of Applicability worden bijgewerkt?

Een SoA moet minimaal jaarlijks worden herzien, maar ook bij elke significante wijziging in de organisatie, het dreigingslandschap of de wetgeving. ISO 27001 vereist dat het document actueel blijft en de werkelijke situatie weerspiegelt.

Concrete situaties die een tussentijdse update vereisen zijn:

1. Introductie van nieuwe systemen, applicaties of cloudoplossingen
2. Wijzigingen in wet- en regelgeving, zoals nieuwe NIS2-verplichtingen of sectorspecifieke eisen
3. Uitbreiding of inkrimping van de scope van het ISMS
4. Resultaten van een interne audit of penetratietest die nieuwe risico’s aan het licht brengen
5. Incidenten of datalekken die aantonen dat een control onvoldoende werkt

Een SoA die al twee jaar niet is aangeraakt, wekt bij auditors direct argwaan. Het document is geen eenmalige exercitie maar een levend onderdeel van je informatiebeveiligingsbeheersysteem.

Welke fouten maken organisaties het vaakst bij de SoA?

De meest voorkomende fout is het uitsluiten van controls zonder deugdelijke motivatie. Organisaties schrappen controls omdat ze lastig te implementeren zijn, niet omdat er een legitieme reden is om het risico te accepteren of elders te beleggen. Een auditor prikt hier direct doorheen.

Andere veelgemaakte fouten zijn:

• Kopiëren van een generieke template zonder aanpassing aan de eigen organisatiecontext
• Geen koppeling met de risicoanalyse: controls zijn opgenomen maar niet terug te herleiden tot een geïdentificeerd risico
• Verouderde implementatiestatus: de SoA zegt dat een control geïmplementeerd is, maar in de praktijk bestaat de procedure al jaren niet meer
• Onvoldoende betrokkenheid van proceseigenaren: de SoA wordt puur door IT ingevuld, terwijl veel controls ook HR, Facilities of Finance raken
• Geen versiebeheer: er bestaat onduidelijkheid over welke versie actueel is en wanneer de laatste review heeft plaatsgevonden

Hoe beoordeelt een ISO 27001-auditor de SoA tijdens een certificering?

Een ISO 27001-auditor beoordeelt de SoA op drie niveaus: volledigheid, consistentie en aantoonbaarheid. Volledigheid betekent dat alle 93 controls zijn opgenomen. Consistentie houdt in dat de keuzes in de SoA overeenkomen met de risicoanalyse en het risicobehandelingsplan. Aantoonbaarheid betekent dat de implementatie van controls wordt ondersteund door bewijs.

Tijdens de Stage 1-audit (documentreview) controleert de auditor of de SoA formeel correct is opgesteld. Tijdens Stage 2 worden steekproefsgewijs controls geselecteerd en getoetst aan de praktijk. Als de SoA aangeeft dat een control volledig is geïmplementeerd maar het bewijs ontbreekt, levert dat een bevinding op die de certificering kan vertragen.

Auditors letten ook op de motivaties voor uitsluitingen. Een uitsluiting is alleen acceptabel als er een aantoonbare reden is, zoals het ontbreken van het bijbehorende risico in de organisatie. “Wij hebben dit nog niet geïmplementeerd” is geen geldige reden voor uitsluiting.

Hoe Hofsecure helpt met ISO 27001 en de Statement of Applicability

Een goed opgestelde SoA vraagt om diepgaande kennis van zowel de ISO 27001-norm als de specifieke context van jouw organisatie. Wij helpen organisaties in gereguleerde sectoren met het volledige traject, van risicoanalyse tot certificeringsklare documentatie.

Wat wij concreet bieden:

• Opstellen of reviewen van de Statement of Applicability, afgestemd op jouw organisatiecontext
• Gap-analyse tussen de huidige situatie en de eisen van ISO 27001:2022
• Begeleiding bij het koppelen van controls aan risicobehandeling en bestaande procedures
• Ondersteuning tijdens interne audits en de formele certificeringsaudit
• Doorlopende begeleiding via ons CISO as a service model, zodat je SoA altijd actueel blijft

Of je nu voor het eerst ISO 27001 wilt behalen of een bestaand certificaat wilt verlengen, wij denken pragmatisch en resultaatgericht mee. Neem contact op en ontdek hoe we jouw organisatie snel en doelgericht verder kunnen helpen.

Gerelateerde artikelen

• Wie kan me helpen bij het implementeren van ABRO 2026?
• Welke ISMS functies zijn essentieel voor productie bedrijven?
• Wat is de definitie van Microsoft soevereiniteit?
• Wat zijn de 7 principes van de AVG?
• Is de cloud wel echt veilig?