GAP analyse ISO

Bij CertificeringsAdvies Nederland krijgen wij regelmatig vragen over de ISO 27001 GAP-Analyse en de Verklaring van Toepasselijkheid. Beiden licht ik graag voor u toe.

Als ISO 27001 wordt ingevoerd zoals beschreven in ons stappenplan, gaan wij met het bedrijf in stap 3 aan de slag met de Risicoanalyse. De GAP-Analyse en de Verklaring van toepassing zijn eigenlijk specifieke onderdelen van (of varianten op) die Risicoanalyse.

Een volledige Risicoanalyse begint met het bepalen van risico’s voor het bedrijf (brand in de serverkast, malware of DDOS aanval, enzovoort).

Die risico’s worden daarna vergeleken met:

  • De huidige werkwijze en beveiligingsmaatregelen in het bedrijf.
  • De ‘normale’ maatregelen die een bedrijf zou moeten overwegen.
  • De daaruit afgeleide optimale set beheersmaatregelen die nodig is voor goede beheersing wordt daarna bepaald.

Van risico’s naar acties

Die methode van risicoanalyse is goed en leidt tot toegespitste acties voor elke organisatie. Er zijn echter ook bedrijven die eerst juist snel willen weten hoeveel ze nog moeten doen om ‘normaal’ alles onder controle te hebben. Die bedrijven willen het verschil (de Gap) weten tussen de huidige praktijk en zoals het hoort. Die GAP-analyse bestaat dus alleen uit stappen 2 en 3 van een volledige risicoanalyse. Hierdoor kan deze sneller uitgevoerd worden, met goede voorbereiding in veel gevallen zelfs binnen 1 dag. Daarna bepaalt het bedrijf meestal zelfstandig wat ze hier mee doet.

Lees ook het artikel: De ISO 27001 risicoanalyse uitgelicht

Deze analyse is een veelgevraagd document  door klanten of opdrachtgevers wanneer ze zaken willen doen met een niet ISO-27001 gecertificeerd bedrijf. De klant heeft een bepaalde verwachting bij de beveiligingsmaatregelen van haar leverancier en wil zo snel mogelijk een lijst hoe goed de leverancier hier aan kan voldoen. Daarbij is vaak de snelheid belangrijker dan alles direct goed geregeld hebben. De klant wil vooral een inschatting van haar risico kunnen maken en afspraken maken met het bedrijf over eventueel noodzakelijk geachte verbeteringen.


Informatiegids ISO 27001

Download vrijblijvend de handige ISO 27001 informatiegids 
Download gratis de ‘Informatiegids ISO 27001’. Een handig naslagwerk met daarin allerlei informatie over ISO 27001.

DOWNLOAD INFORMATIEGIDS

De verklaring van toepasselijkheid

De Verklaring van Toepasselijkheid is een ander document dat ook samenhangt met de Risicoanalyse. De manier waarop de Risicoanalyse wordt uitgevoerd  staat in de ISO 27001 norm beschreven in paragraaf 6.1.

Deze paragraaf beschrijft dat een bedrijf nog te nemen beheersmaatregelen dient vast te stellen. Ter voorkoming van een blinde vlek moeten die maatregelen worden vergeleken met een lijst standaardmaatregelen (de zogenaamde Bijlage A of Annex A). De verklaring van toepasselijkheid, ook wel conformiteitsverklaring, is een formele opsomming daarvan. Hierin staat welke maatregelen uit Bijlage A volgens het bedrijf wel (of niet) van toepassing zijn, waarom dit zo is én of ze al voldoende zijn ingericht.

Zo kan bijvoorbeeld een bedrijf dat geen software ontwikkelt of laat ontwikkelen, de eisen aan softwareontwikkeling als ‘niet van toepassing’ verklaren. Een bedrijf dat volledig in de Cloud werkt en geen eigen serverkast meer heeft, zal mogelijk regels voor beveiligde zones uitsluiten. Let daarbij wel op: probeer niet te veel uit te sluiten!

Rol verklaring van toepasselijkheid

De rol van de verklaring van toepasselijkheid is daardoor vergelijkbaar met die van de GAP-Analyse. Het is een opsomming van wat wel en niet geregeld is binnen het bedrijf. Het verschil is dat de verklaring van toepasselijkheid een verplicht document en een officiële bijvoeging is bij het ISO 27001 certificaat. Het omschrijft precies voor welke onderdelen de organisatie aantoonbaar ‘in control’ is. De verklaring van toepasselijk bevat geen inhoudelijke informatie over de daadwerkelijke beveiligingsmaatregelen. Dit maakt het geschikt als communicatiedocument. In contracten tussen organisaties wordt vaak verwezen naar deze VvT. Bijvoorbeeld in verwerkersovereenkomsten die nodig zijn in het kader van de Algemene Verordening Gegevensbescherming (AVG).

Meer informatie over de GAP analyse of de verklaring van toepasselijkheid in de ISO 27001 norm? 

Onze adviseurs vertellen je er graag meer over!

Neem contact op