Hoe werkt de VVT van ISO 27001?
Bij ISO 27001:2022 draait alles om risicogericht werken. Toch denken veel organisaties dat ze alle maatregelen uit Bijlage A moeten invoeren. Dat is echt niet nodig.
De logische eerste stap bij het opzetten van een Information Security Management System (ISMS) is het uitvoeren van een risicoanalyse. Welke risico’s lopen we als organisatie? Welke daarvan moeten we aanpakken? Pas daarna kijk je naar mogelijke maatregelen.
De 93 maatregelen in Bijlage A van de ISO 27001:2022 zijn géén verplichte checklist. Ze zijn bedoeld als inspiratie. Jij mag ook zelf verzonnen of al bestaande maatregelen gebruiken, zolang ze het risico effectief verlagen. Kies je ervoor om een maatregel uit Bijlage A niet toe te passen, dan verklaar je deze “niet van toepassing”. Daar hoort altijd een reden bij.
VVT staat voor Verklaring van Toepasselijkheid (in het Engels: Statement of Applicability). Hierin leg je vast:
De VVT is dus een soort samenvatting van je ISMS-aanpak.
Wanneer je een ISO 27001-certificaat deelt met klanten, partners of auditors, stuur je ook altijd je VVT mee. Op je certificaat staat namelijk welke scope van toepassing is en welk versienummer jouw VVT heeft. Zo kunnen derden controleren of jouw beveiligingsaanpak past bij de activiteiten die binnen jouw scope vallen.
Let op: zorg dat je altijd de juiste versie van de VVT meestuurt.
In de meeste gevallen blijft je VVT drie jaar ongewijzigd, tenzij je tijdens een hercertificering de scope of maatregelen aanpast.
Heb je hulp nodig met het opstellen of bijwerken van je VVT? Dan denk ik graag met je mee.