Wat is ISMS Scope in ISO 27001?

Overzicht

De ISMS Scope definieert de grenzen en toepasbaarheid van uw Managementsysteem voor Informatiebeveiliging (ISMS). Vereist door ISO 27001:2022 Clausule 4.3, specificeert het exact welke delen van uw organisatie, welke locaties, welke systemen en welke processen onder uw ISMS vallen — en net zo belangrijk, wat is uitgesloten.

De scope is een fundamenteel document dat alle volgende ISMS-activiteiten vormgeeft, van risicobeoordeling tot de implementatie van beheersmaatregelen en auditvoorbereiding.

ISMS Scope in de Praktijk

Uw ISMS-scope moet worden gedocumenteerd en rekening houden met:

• Externe en interne kwesties geïdentificeerd in Clausule 4.1 (bedrijfscontext, regelgeving, dreigingen)

• Eisen van belanghebbenden uit Clausule 4.2 (klanten, toezichthouders, partners)

• Interfaces en afhankelijkheden met andere organisatorische activiteiten

De scope moet beschikbaar zijn voor belanghebbenden en wordt doorgaans gedeeld met klanten, auditors en certificerende instellingen.

Componenten van de ISMS Scope

Organisatorische Grenzen

Definieer welke business units, afdelingen of juridische entiteiten zijn inbegrepen.

Voorbeeld (volledige organisatie): "Dit ISMS is van toepassing op alle activiteiten van Acme Corporation, inclusief het hoofdkantoor, regionale kantoren en personeel op afstand."

Voorbeeld (specifieke unit): "Dit ISMS dekt de divisie IT Services van Acme Corporation, exclusief productie- en retailactiviteiten."

Fysieke Locaties

Specificeer welke geografische sites of faciliteiten onder de scope vallen.

Voorbeeld: "De ISMS-scope omvat ons primaire datacenter in Frankfurt, Duitsland; regiokantoren in Parijs, Frankrijk; en alle thuiswerkplekken van externe medewerkers binnen de EU."

Processen en Activiteiten

Identificeer welke bedrijfsprocessen onder het ISMS vallen.

Voorbeeld: "Het ISMS dekt softwareontwikkeling, cloudinfrastructuur-activiteiten, verwerking van klantgegevens, technische ondersteuning en IT-servicemanagement. Het sluit HR-salarissystemen uit die door een derde partij worden beheerd."

Informatie-assets

Definieer de soorten informatie en systemen die door het ISMS worden beschermd.

Voorbeeld: "Het ISMS beschermt persoonlijke gegevens van klanten, eigen broncode, financiële gegevens, werknemersinformatie en alle ondersteunende IT-infrastructuur (netwerken, servers, databases, SaaS-applicaties)."

Uitsluitingen en Rechtvaardigingen

Vermeld duidelijk wat NIET is inbegrepen en leg uit waarom.

Voorbeeld: "Het ISMS dekt niet de productiefabriek in Shanghai, aangezien deze werkt onder een afzonderlijk ISO 9001-kwaliteitsmanagementsysteem met eigen informatiebeveiligingscontroles onder toezicht van de lokale dochteronderneming."

Uw Scope Definiëren: Belangrijke Overwegingen

Bedrijfscontext (Clausule 4.1)

Stem de scope af op strategische doelstellingen, risico's en compliance-eisen:

• Wat zijn uw kritieke bedrijfsprocessen?

• Welke wettelijke vereisten zijn van toepassing (AVG/GDPR, HIPAA, PCI DSS)?

• Welke dreigingen en kansen beïnvloeden uw organisatie?

Eisen van Belanghebbenden (Clausule 4.2)

Zorg dat de scope inspeelt op de behoeften van stakeholders:

• Vereisen klanten ISO 27001-certificering voor specifieke diensten?

• Verplichten contracten beveiliging voor bepaalde gegevens of systemen?

• Zijn er wettelijke verplichtingen om specifieke informatiesoorten te beschermen?

Risicogebaseerde Aanpak

Geef prioriteit aan gebieden met een hoog risico:

• Welke assets zouden, indien aangetast, de meeste schade veroorzaken?

• Waar liggen de grootste kwetsbaarheden in uw informatiebeveiliging?

• Welke processen verwerken de meest gevoelige gegevens?

Praktische Uitvoering en Middelen

Breng volledigheid in balans met de haalbaarheid van de implementatie:

• Heeft u de middelen om beheersmaatregelen in de gehele organisatie te implementeren?

• Is een gefaseerde aanpak realistischer (beginnen met kerndiensten, later uitbreiden)?

Veelvoorkomende Scope-patronen

Product- of Dienstgerelateerde Scope

"Het ISMS is van toepassing op het ontwerp, de ontwikkeling, de implementatie en de ondersteuning van ons SaaS-platform voor klantrelatiebeheer (CRM)."

Beste voor: Softwarebedrijven, service providers, specifieke productlijnen.

Locatiegebaseerde Scope

"Het ISMS dekt alle informatiebeveiligingsactiviteiten op ons Europese hoofdkantoor en de bijbehorende cloudinfrastructuur."

Beste voor: Organisaties met duidelijke regionale activiteiten of compliance-grenzen (bijv. AVG in de EU).

Afdelingsgebaseerde Scope

"Het ISMS is van toepassing op de afdeling Information Technology en alle systemen, netwerken en gegevens die zij beheren."

Beste voor: Organisaties die starten met ISMS-implementatie of met gedecentraliseerd beveiligingsbeheer.

Organisatiebrede Scope

"Het ISMS dekt alle activiteiten, faciliteiten, medewerkers en informatie-assets van Acme Corporation wereldwijd."

Beste voor: Volwassen organisaties die streven naar uitgebreid beveiligingsbeheer of die organisatiebrede betrokkenheid willen aantonen.

Formaat van de Scope-verklaring

Hoewel ISO 27001:2022 geen specifiek formaat voorschrijft, volgen effectieve scope-verklaringen doorgaans deze structuur:

1. Inleiding: Naam van de organisatie en doel van het ISMS

2. Insluitingen: Business units, locaties, processen, systemen, gedekte gegevenstypen

3. Uitsluitingen: Wat er niet onder valt en waarom

4. Toepasbaarheid: Op wie het ISMS van toepassing is (werknemers, aannemers, partners)

5. Interfaces: Verbindingen met andere managementsystemen of externe partijen

6. Goedkeuring: Geautoriseerd door het hogere management met datum

Voorbeeld Scope-verklaring

"De ISMS van Acme Cloud Services is van toepassing op het ontwerp, de ontwikkeling, de exploitatie en de ondersteuning van ons multi-tenant cloudopslagplatform, inclusief alle bijbehorende infrastructuur (datacenters in Frankfurt en Dublin), personeel (engineering-, operations- en supportteams) en informatie-assets (klantgegevens, platformcode, zakelijke IT-systemen). De scope omvat medewerkers op afstand wereldwijd. Uitgesloten: Betalingsverwerking door derden beheerd door Stripe onder hun eigen ISO 27001-certificering. Dit ISMS voldoet aan ISO 27001:2022, AVG en SOC 2 Type II vereisten."

Scope Review en Updates

Uw scope is niet statisch. Herzien en update deze:

• Tijdens de managementbeoordeling (Clausule 9.3) op geplande intervallen

• Wanneer er significante wijzigingen optreden (fusies, nieuwe diensten, wijzigingen in regelgeving)

• Als interne audits of incidenten gaten in de dekking aan het licht brengen

• Als onderdeel van voortdurende verbetering om de bescherming uit te breiden

Documenteer scopewijzigingen, verkrijg goedkeuring van het hogere management en communiceer updates naar belanghebbenden.

Impact van Scope op Beheersmaatregelen

Uw scope bepaalt rechtstreeks:

• Grenzen van risicobeoordeling: Welke assets en dreigingen moeten worden geëvalueerd (Clausule 6.1.2)

• Toepasbare beheersmaatregelen: Welke Annex A-beheersmaatregelen relevant zijn (Clausule 6.1.3)

• Verklaring van Toepasselijkheid (SoA): Wat op te nemen in de SoA

• Auditscope: Wat certificerende instellingen zullen beoordelen

• Middelenbehoefte: Benodigd budget, personeel en tools

Veelvoorkomende Fouten om te Vermijden

• Scope te breed voor de beschikbare middelen, wat leidt tot onvolledige implementatie

• Scope te nauw, waardoor kritieke systemen of gegevens worden uitgesloten

• Vaag taalgebruik waardoor grenzen onduidelijk zijn

• Uitsluiten van gebieden met een hoog risico zonder geldige rechtvaardiging

• De scope niet afstemmen op klant- of wettelijke vereisten

• Nalaten de scope bij te werken wanneer het bedrijf verandert

• Ontbrekende goedkeuring van het hogere management

Gerelateerde Termen

• ISMS – Waar de scope de grenzen voor definieert

• Belanghebbenden – Eisen die de definitie van de scope beïnvloeden

• Risicobeoordeling – Uitgevoerd binnen de gedefinieerde scope

• Verklaring van Toepasselijkheid – Geselecteerde beheersmaatregelen op basis van de scope