Wat is de GAP analyse in de ISO 27001 norm? En wat is de Verklaring van Toepasselijkheid?

Bij CertificeringsAdvies Nederland krijgen wij regelmatig vragen over de ISO 27001 GAP-Analyse en de Verklaring van Toepasselijkheid, wat een bekende term is binnen de ISO 27001 norm. Beiden licht ik graag toe in dit blogartikel. Lees snel verder. Mochten er naar aanleiding van dit artikel nog vragen zijn? Neem dan gerust contact met ons op. Wij helpen je graag!

Als ISO 27001 wordt ingevoerd zoals beschreven in ons stappenplan, gaan wij met het bedrijf in stap 3 aan de slag met de Risicoanalyse. De GAP-Analyse en de Verklaring van toepassing zijn eigenlijk specifieke onderdelen van (of varianten op) die Risicoanalyse.

Een volledige Risicoanalyse begint met het bepalen van risico’s voor het bedrijf (brand in de serverkast, malware of DDOS aanval, enzovoort).

Die risico’s worden daarna vergeleken met:

Die methode van risicoanalyse is goed en leidt tot toegespitste acties voor elke organisatie. Er zijn echter ook bedrijven die eerst juist snel willen weten hoeveel ze nog moeten doen om ‘normaal’ alles onder controle te hebben. Die bedrijven willen het verschil (de Gap) weten tussen de huidige praktijk en zoals het hoort. Die GAP-analyse bestaat dus alleen uit stappen 2 en 3 van een volledige risicoanalyse. Hierdoor kan deze sneller uitgevoerd worden, met goede voorbereiding in veel gevallen zelfs binnen 1 dag. Daarna bepaalt het bedrijf meestal zelfstandig wat ze hier mee doet.

Deze analyse is een veelgevraagd document  door klanten of opdrachtgevers wanneer ze zaken willen doen met een niet ISO-27001 gecertificeerd bedrijf. De klant heeft een bepaalde verwachting bij de beveiligingsmaatregelen van haar leverancier en wil zo snel mogelijk een lijst hoe goed de leverancier hier aan kan voldoen. Daarbij is vaak de snelheid belangrijker dan alles direct goed geregeld hebben. De klant wil vooral een inschatting van haar risico kunnen maken en afspraken maken met het bedrijf over eventueel noodzakelijk geachte verbeteringen.

De Verklaring van Toepasselijkheid binnen ISO 27001 is een ander document dat ook samenhangt met de Risicoanalyse. De manier waarop de Risicoanalyse wordt uitgevoerd  staat in de ISO 27001 norm beschreven in paragraaf 6.1.

Deze paragraaf beschrijft dat een bedrijf nog te nemen beheersmaatregelen dient vast te stellen. Ter voorkoming van een blinde vlek moeten die maatregelen worden vergeleken met een lijst standaardmaatregelen (de zogenaamde Bijlage A of Annex A). De verklaring van toepasselijkheid, ook wel conformiteitsverklaring, is een formele opsomming daarvan. Hierin staat welke maatregelen uit Bijlage A volgens het bedrijf wel (of niet) van toepassing zijn, waarom dit zo is én of ze al voldoende zijn ingericht.

Zo kan bijvoorbeeld een bedrijf dat geen software ontwikkelt of laat ontwikkelen, de eisen aan softwareontwikkeling als ‘niet van toepassing’ verklaren. Een bedrijf dat volledig in de Cloud werkt en geen eigen serverkast meer heeft, zal mogelijk regels voor beveiligde zones uitsluiten. Let daarbij wel op: probeer niet te veel uit te sluiten!

De rol van de verklaring van toepasselijkheid is daardoor vergelijkbaar met die van de GAP-Analyse. Het is een opsomming van wat wel en niet geregeld is binnen het bedrijf. Het verschil is dat de verklaring van toepasselijkheid een verplicht document en een officiële bijvoeging is bij het ISO 27001 certificaat. Het omschrijft precies voor welke onderdelen de organisatie aantoonbaar ‘in control’ is. De verklaring van toepasselijk bevat geen inhoudelijke informatie over de daadwerkelijke beveiligingsmaatregelen. Dit maakt het geschikt als communicatiedocument. In contracten tussen organisaties wordt vaak verwezen naar deze VvT. Bijvoorbeeld in verwerkersovereenkomsten die nodig zijn in het kader van de Algemene Verordening Gegevensbescherming (AVG).

Wil je meer informatie over de GAP analyse, de verklaring van toepasselijkheid of over ISO 27001? Onze adviseurs vertellen je er graag meer over! Neem gerust contact met ons op.