Verklaring van Toepasselijkheid (SoA)
De Verklaring van Toepasselijkheid (Statement of Applicability - SoA) identificeert welke ISO/IEC 27001:2022 Annex A-beheersmaatregelen van toepassing zijn op ISMS Copilot, rechtvaardigt de opname of uitsluiting van elke maatregel en beschrijft hoe de toepasselijke maatregelen zijn geïmplementeerd. Het is een verplicht resultaat van ons risicobehandelingsproces.
Dit document volgt ISO 27001:2022 clausule 6.1.3 d). Elke beheersmaatregel is gemarkeerd als Ja (toepasselijk en geïmplementeerd), Deels (toepasselijk, implementatie in uitvoering), of N.v.t. (niet van toepassing, uitsluiting gerechtvaardigd).
Samenvattende Statistieken
Categorie | Totaal aantal maatregelen | Toepasselijk | Deels | N.v.t. |
|---|---|---|---|---|
A.5 Organisationeel | 37 | 35 | 2 | 0 |
A.6 Mensen | 8 | 7 | 1 | 0 |
A.7 Fysiek | 14 | 1 | 0 | 13 |
A.8 Technologisch | 34 | 28 | 5 | 1 |
Totaal | 93 | 71 | 8 | 14 |
71 beheersmaatregelen zijn volledig toepasselijk en geïmplementeerd, 8 zijn deels geïmplementeerd (in uitvoering) en 14 zijn niet van toepassing — voornamelijk fysieke maatregelen die zijn uitgesloten omdat ISMS Copilot een volledig remote, cloud-hosted SaaS-platform is zonder fysiek kantoor of datacentrum.
Organisationele beheersmaatregelen (A.5)
# | Beheersmaatregel | Status | Samenvatting Implementatie |
|---|---|---|---|
A.5.1 | Beleid voor informatiebeveiliging | Ja | Uitgebreide set beleidsregels die alle ISMS-domeinen dekken |
A.5.2 | Informatiebeveiligingsrollen en -verantwoordelijkheden | Ja | Gedefinieerde rollen in alle beleidsregels met duidelijke verantwoording |
A.5.3 | Scheiding van taken | Deels | Beperkt door teamomvang; gemitigeerd door dubbele toegangsbeoordelingen en PR-goedkeuringsvereisten |
A.5.4 | Verantwoordelijkheden van het management | Ja | CEO is ISMS-eigenaar met algemene eindverantwoordelijkheid |
A.5.5 | Contact met autoriteiten | Ja | Regulatoire contacten gedocumenteerd; CNIL-meldingsprocedures gedefinieerd |
A.5.6 | Contact met speciale belangengroepen | Ja | Beveiligingsgemeenschappen en monitoring van adviezen van leveranciers |
A.5.7 | Dreigingsinformatie | Ja | Actief programma voor dreigingsinformatie met wekelijkse controles |
A.5.8 | Informatiebeveiliging in projectmanagement | Ja | Beveiliging overwogen bij alle functieontwikkeling via wijzigingsbeheerproces |
A.5.9 | Inventarisatie van informatie en andere geassocieerde activa | Ja | Infrastructuur- en gegevensinventarissen worden bijgehouden |
A.5.10 | Aanvaardbaar gebruik van informatie en andere geassocieerde activa | Ja | Regels voor aanvaardbaar gebruik voor alle informatieactiva, platforms, gegevens en AI-tools |
A.5.11 | Teruggave van activa | Ja | Offboarding-procedures voor intrekking van toegang |
A.5.12 | Classificatie van informatie | Ja | Classificatieschema met vier niveaus (Aan de openbaarheid prijsgegeven, Intern, Vertrouwelijk, Strikt Vertrouwelijk) |
A.5.13 | Etikettering van informatie | Ja | Classificatielabels op alle beleids- en GRC-documenten |
A.5.14 | Informatieoverdracht | Ja | TLS afgedwongen op alle overdrachtspaden; gedocumenteerde overdrachtsprocedures |
A.5.15 | Toegangscode | Ja | Uitgebreid toegangsbeleid met RLS, JWT-validatie en routebescherming |
A.5.16 | Identiteitsbeheer | Ja | Supabase Auth voor gebruikers; platformaccounts voor beheerders |
A.5.17 | Authenticatie-informatie | Ja | MFA verplicht voor beheerders; wachtwoordstandaarden gedefinieerd |
A.5.18 | Toegangsrechten | Ja | Driemaandelijkse toegangsbeoordelingen; onboarding/offboarding-procedures |
A.5.19 | Informatiebeveiliging in relaties met leveranciers | Ja | Leveranciersbeheerbeleid voor alle cloudproviders |
A.5.20 | Behandeling van informatiebeveiliging in overeenkomsten met leveranciers | Ja | DPA's en contractuele vereisten bij alle leveranciers |
A.5.21 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen | Ja | Afhankelijkheidsbeheer via Dependabot; monitoring van kwetsbaarheden |
A.5.22 | Monitoring, beoordeling en wijzigingsbeheer van diensten van leveranciers | Ja | Doorlopende monitoring van leveranciers en het bijhouden van prestaties |
A.5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | Ja | Cloud-native architectuur met gedocumenteerd gedeeld verantwoordelijkheidsmodel |
A.5.24 | Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten | Ja | Incident response playbook met gedefinieerde procedures per scenario |
A.5.25 | Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen | Ja | Classificatiesysteem voor de ernst van beveiligingsgebeurtenissen |
A.5.26 | Reactie op informatiebeveiligingsincidenten | Ja | Respons-playbooks voor elk incidentscenario |
A.5.27 | Leren van informatiebeveiligingsincidenten | Ja | Evaluatie na incidenten met het bijhouden van afwijkingen (NC/OFI) en geleerde lessen |
A.5.28 | Verzamelen van bewijsmateriaal | Ja | Procedures voor het bewaren van logs en bewijsmateriaal |
A.5.29 | Informatiebeveiliging tijdens verstoringen | Ja | Bedrijfscontinuïteits- en herstelplan bij rampen met gedefinieerde herstelprocedures |
A.5.30 | ICT-gereedheid voor bedrijfscontinuïteit | Ja | Herstelprocedures gedocumenteerd voor elke dienst; bootstrap runbook onderhouden |
A.5.31 | Wettelijke, statutaire, regulatoire en contractuele vereisten | Ja | Wettelijk register bijgehouden en beoordeeld |
A.5.32 | Intellectuele eigendomsrechten | Ja | IP-richtlijnen gedocumenteerd; geen auteursrechtelijk beschermde standaardteksten in trainingsgegevens |
A.5.33 | Bescherming van archiefstukken | Ja | Bewaarschema's gedefinieerd voor alle gegevenscategorieën |
A.5.34 | Privacy en bescherming van PII (persoonsgegevens) | Ja | Volledige AVG-nalevingsdocumentatie (RoPA, DPIA, TIA, DSR-procedures) |
A.5.35 | Onafhankelijke beoordeling van informatiebeveiliging | Deels | Intern auditprogramma opgesteld; externe audit gepland voor certificering |
A.5.36 | Naleving van beleid, regels en standaarden | Ja | Afgedwongen via PR-reviews, geautomatiseerde tests en auditprogramma |
A.5.37 | Gedocumenteerde operationele procedures | Ja | Operationele procedures gedocumenteerd en onder versiebeheer |
Menselijke beheersmaatregelen (A.6)
# | Beheersmaatregel | Status | Samenvatting Implementatie |
|---|---|---|---|
A.6.1 | Screening | Deels | Oprichtend team; formeel screeningsproces gedocumenteerd voor toekomstige medewerkers |
A.6.2 | Arbeidsvoorwaarden | Ja | Beveiligingsverantwoordelijkheden gecommuniceerd en erkend voordat toegang wordt verleend |
A.6.3 | Bewustzijn, onderwijs en training op het gebied van informatiebeveiliging | Ja | Competentie- en bewustwordingsprogramma opgesteld |
A.6.4 | Disciplinair proces | Ja | Gegradueerd disciplinair proces gedefinieerd |
A.6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | Ja | Offboarding-procedure met tijdlijnen en doorlopende verplichtingen |
A.6.6 | Geheimhoudings- of non-disclosure overeenkomsten | Ja | Geheimhoudingsbereik en contractuele mechanismen gedefinieerd |
A.6.7 | Werken op afstand | Ja | Beveiligingseisen voor werken op afstand voor een volledig remote team |
A.6.8 | Rapportage van informatiebeveiligingsgebeurtenissen | Ja | Rapportagekanalen gedefinieerd; openbare SECURITY.md voor externe melders |
Fysieke beheersmaatregelen (A.7)
# | Beheersmaatregel | Status | Rechtvaardiging |
|---|---|---|---|
A.7.1 | Fysieke beveiligingsperimeter | N.v.t. | Geen fysiek kantoor of datacentrum; alle infrastructuur wordt in de cloud gehost |
A.7.2 | Fysieke toegang | N.v.t. | Geen fysieke gebouwen; fysieke beveiliging wordt door de provider beheerd |
A.7.3 | Beveiliging van kantoren, ruimten en faciliteiten | N.v.t. | Geen kantoren; beheerd door de provider |
A.7.4 | Fysieke beveiligingsmonitoring | N.v.t. | Geen fysieke activa; beheerd door de provider |
A.7.5 | Bescherming tegen fysieke en omgevingsbedreigingen | N.v.t. | Geen fysieke infrastructuur; datacentra van providers regelen dit |
A.7.6 | Werken in beveiligde gebieden | N.v.t. | Geen beveiligde gebieden |
A.7.7 | Clean desk en clean screen | Ja | Clean screen-principes toegepast op de context van werken op afstand |
A.7.8 | Plaatsing en bescherming van apparatuur | N.v.t. | Geen organisatie-apparatuur; BYOD valt buiten de scope |
A.7.9 | Beveiliging van activa buiten het terrein | N.v.t. | Geen organisatie-activa die buiten het terrein worden meegenomen |
A.7.10 | Opslagmedia | N.v.t. | Geen opslagmedia van de organisatie; alle gegevens in clouddiensten |
A.7.11 | Ondersteunende voorzieningen | N.v.t. | Geen on-premises infrastructuur |
A.7.12 | Beveiliging van bekabeling | N.v.t. | Geen on-premises infrastructuur |
A.7.13 | Onderhoud van apparatuur | N.v.t. | Geen organisatie-apparatuur |
A.7.14 | Veilige verwijdering of hergebruik van apparatuur | N.v.t. | Geen organisatie-apparatuur |
Technologische beheersmaatregelen (A.8)
# | Beheersmaatregel | Status | Samenvatting Implementatie |
|---|---|---|---|
A.8.1 | Eindgebruikersapparatuur | Deels | Antivirus op het apparaat van de CEO; beheersmaatregelen op de applicatielaag (MFA, JWT, RLS) compenseren de beperkte controle op endpoints van freelancers |
A.8.2 | Geprivilegieerde toegangsrechten | Ja | Service role keys en administratieve toegang onder strikte controle |
A.8.3 | Beperking van toegang tot informatie | Ja | Row-Level Security (RLS), JWT-validatie, routebescherming |
A.8.4 | Toegang tot broncode | Ja | Toegang tot GitHub-repository gecontroleerd; PR-beoordeling vereist voor alle wijzigingen |
A.8.5 | Veilige authenticatie | Ja | MFA voor beheerders; JWT voor gebruikers; OAuth-opties beschikbaar |
A.8.6 | Capaciteitsbeheer | Ja | Tokenlimieten per plan; rate limiting; verbruiksmonitoring |
A.8.7 | Bescherming tegen malware | Deels | Bestandsformaatvalidatie voor uploads; geen uitvoerbare code verwerkt |
A.8.8 | Beheer van technische kwetsbaarheden | Ja | Kwetsbaarheidsbeheerprogramma met Dependabot en gedefinieerde SLA's |
A.8.9 | Configuratiebeheer | Ja | Configuratie als code; infrastructuurdefinities onder versiebeheer |
A.8.10 | Verwijdering van informatie | Ja | Geautomatiseerde verwijdering; door de gebruiker instelbare bewaarperioden |
A.8.11 | Maskeren van gegevens | Ja | Beperkingen op logging en het opschonen van PII bij het opsporen van fouten |
A.8.12 | Voorkomen van gegevenslekken | Ja | SystemPromptGuard; loggingbeperkingen; Content Security Policy |
A.8.13 | Back-up van informatie | Ja | Point-in-Time Recovery (PITR) voor productiedatabase; dagelijkse back-ups |
A.8.14 | Redundantie van informatieverwerkende faciliteiten | Deels | AI-failover bij meerdere providers; beheerde databaseredundantie; bekende 'single points' gedocumenteerd |
A.8.15 | Logging | Ja | Gestructureerde logging uit meerdere bronnen |
A.8.16 | Monitoring-activiteiten | Ja | BetterStack uptime, Sentry fouten, PostHog analytics, beveiligingswaarschuwingen |
A.8.17 | Kloksynchronisatie | Ja | Platform-beheerd NTP op alle clouddiensten |
A.8.18 | Gebruik van geprivilegieerde hulpprogramma's | N.v.t. | Geen traditionele servertoegang; Deno runtime-rechten zijn afgebakend |
A.8.19 | Installatie van software op operationele systemen | Ja | Gecontroleerd via CI/CD-pipelines en container-gebaseerde builds |
A.8.20 | Netwerkbeveiliging | Ja | Alle communicatiepaden beveiligd met TLS |
A.8.21 | Beveiliging van netwerkdiensten | Ja | TLS 1.2+ op alle diensten; netwerkbebeveiliging beheerd door de provider |
A.8.22 | Scheiding van netwerken | Ja | Logische scheiding via afzonderlijke providers en omgevingen |
A.8.23 | Webfiltering | Deels | Content Security Policy beperkt frontend-verbindingen; runtime-rechten beperken backend |
A.8.24 | Gebruik van cryptografie | Ja | TLS 1.2+ afgedwongen op alle paden; versleuteling in rust via Supabase |
A.8.25 | Veilige ontwikkelingslevenscyclus | Ja | Beveiliging ingebed in elke SDLC-fase; TDD verplicht |
A.8.26 | Applicatiebeveiligingseisen | Ja | Analyse van beveiligingseisen voorafgaand aan codering; beoordeling van gevoelige wijzigingen |
A.8.27 | Veilige systeemarchitectuur en engineering-principes | Ja | Architectuurprincipes gedocumenteerd; threat modeling voor nieuwe functies |
A.8.28 | Veilig coderen | Ja | Coderingsstandaarden, verboden patronen, controles op AI-ondersteund coderen |
A.8.29 | Beveiligingstesten in ontwikkeling en acceptatie | Ja | TDD, geautomatiseerde testsuite (unit/security/UI), CI-gates |
A.8.30 | Uitbestede ontwikkeling | Deels | AI-ondersteunde ontwikkeling gereguleerd door specifieke richtlijnen; geen externe menselijke ontwikkelaars |
A.8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | Ja | Afzonderlijke databaseprojecten, applicatie-instances en implementatiedoelen per omgeving |
A.8.32 | Wijzigingsbeheer | Ja | Volledig wijzigingsbeheerproces met geautomatiseerde CI/CD-handhaving |
A.8.33 | Testgegevens | Ja | Productiegegevens worden nooit naar ontwikkeling gekopieerd; alleen synthetische testgegevens |
A.8.34 | Bescherming van informatiesystemen tijdens audittesten | Ja | Audittesten in afzonderlijke omgevingen; alleen-lezen toegang voor audits |
ISMS Copilot adresseert 79 van de 93 Annex A-beheersmaatregelen (volledig of deels), waarbij 14 maatregelen gerechtvaardigd zijn uitgesloten omdat ze niet van toepassing zijn op ons cloud-hosted, remote-first bedrijfsmodel. Fysieke beheersmaatregelen (A.7) worden voornamelijk afgehandeld door onze cloud-infrastructuurproviders (Supabase, Fly.io, Vercel) onder hun eigen SOC 2- en ISO 27001-certificeringen.
Beoordeling
Deze Verklaring van Toepasselijkheid wordt jaarlijks beoordeeld, wanneer de scope van het ISMS wijzigt, wanneer beslissingen over risicobehandeling de set vereiste beheersmaatregelen veranderen, na significante beveiligingsincidenten en als onderdeel van de jaarlijkse managementbeoordeling.