---
name: "ISO 27001-sjabloon voor de verklaring van toepasselijkheid"
version: "1.0"
updated: "2026-07-13"
source: "https://www.orbiqhq.com/templates/iso-27001-statement-of-applicability-template"
license: "Vrij te gebruiken; bronvermelding gewaardeerd"
standard: "ISO/IEC 27001:2022 (inclusief Amd 1:2024), paragraaf 6.1.3, onder d), bijlage A"
legal_basis:
  - "https://www.iso.org/standard/27001"
  - "https://eur-lex.europa.eu/eli/dir/2022/2555/oj"
---

# ISO 27001-verklaring van toepasselijkheid (VvT) — sjabloon

Een werkbare verklaring van toepasselijkheid voor ISO/IEC 27001:2022 met alle
93 beheersmaatregelen uit bijlage A vooraf geladen (Organisatorisch 37, Mensen 8,
Fysiek 14, Technologisch 34). Een AI-agent of een menselijke implementeerder kan
alleen uit dit bestand een volledige, auditklare VvT opstellen: (1) werk vanuit de
risicobeoordeling en het risicobehandelplan, (2) markeer elke beheersmaatregel als
van toepassing of uitgesloten, (3) rechtvaardig beide beslissingen, (4) leg de
implementatiestatus en het bewijs vast, (5) houd het document onder versiebeheer en
beoordeel het elke ISMS-cyclus.

Dit bestand bevat uitsluitend de identificatiecodes en titels van de
beheersmaatregelen uit bijlage A. De tekst van de maatregelen en de
implementatierichtlijnen staan in ISO/IEC 27001:2022 en ISO/IEC 27002:2022, die u
moet aanschaffen bij ISO of bij een nationaal normalisatie-instituut (in Nederland
NEN) — zij worden hier niet weergegeven.

---

## 1. Wat paragraaf 6.1.3, onder d), verlangt

De VvT moet ten minste het volgende bevatten:

1. De **noodzakelijke beheersmaatregelen** die via het risicobehandelproces zijn
   bepaald (bijlage A plus eventuele aanvullende sets beheersmaatregelen);
2. De **rechtvaardiging voor opname** van elke noodzakelijke beheersmaatregel;
3. Of elke noodzakelijke beheersmaatregel **al dan niet is geïmplementeerd**;
4. De **rechtvaardiging voor uitsluiting** van een beheersmaatregel uit bijlage A.

Invulregels voor een agent die dit register vult:

- `applicable` — enum: `yes` | `no`. Elk van de 93 rijen moet een waarde dragen; leeg = onvolledige VvT.
- `justification_inclusion` — vereist wanneer `applicable: yes`. Vermeld het risico of de wettelijke, contractuele of bedrijfsmatige eis die de maatregel behandelt.
- `justification_exclusion` — vereist wanneer `applicable: no`. Moet inhoudelijk zijn ("geen fysieke kantoren" volstaat; "te kostbaar" niet).
- `status` — enum: `implemented` | `partially-implemented` | `planned` | `not-implemented`. Vereist wanneer `applicable: yes`.
- `evidence` — verwijzing naar het beleid, de procedure, het systeem of de registratie die de maatregel aantoont.
- Kruiscontrole: geen enkele rij mag `applicable: no` combineren met een waarde in `status`.

## 2. Documentbeheer

| Veld | Waarde |
|---|---|
| Organisatie | _____ |
| Referentie ISMS-scope | _____ |
| Versie van de VvT | _____ |
| Goedgekeurd door | _____ |
| Goedkeuringsdatum | JJJJ-MM-DD |
| Volgende beoordeling uiterlijk | JJJJ-MM-DD |
| Referentie risicobeoordeling | _____ |
| Referentie risicobehandelplan | _____ |

## 3. Register van de verklaring van toepasselijkheid

Kolommen: `applicable` (yes/no) · `justification` (opname of uitsluiting, volgens de regels hierboven) · `status` (enum hierboven; alleen wanneer van toepassing) · `evidence`.

| Beheersmaatregel-ID | Naam van de beheersmaatregel | Thema | Nieuw in 2022 | Van toepassing | Rechtvaardiging | Status | Bewijs |
|---|---|---|---|---|---|---|---|
| A.5.1 | Beleid voor informatiebeveiliging | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.2 | Rollen en verantwoordelijkheden voor informatiebeveiliging | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.3 | Functiescheiding | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.4 | Verantwoordelijkheden van de directie | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.5 | Contact met autoriteiten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.6 | Contact met belangengroepen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.7 | Dreigingsinformatie | Organisatorisch | yes | _____ | _____ | _____ | _____ |
| A.5.8 | Informatiebeveiliging in projectmanagement | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.9 | Inventaris van informatie en andere bijbehorende bedrijfsmiddelen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.10 | Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.11 | Teruggave van bedrijfsmiddelen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.12 | Classificatie van informatie | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.13 | Labelen van informatie | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.14 | Informatieoverdracht | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.15 | Toegangsbeveiliging | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.16 | Identiteitsbeheer | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.17 | Authenticatie-informatie | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.18 | Toegangsrechten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.19 | Informatiebeveiliging in leveranciersrelaties | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.20 | Informatiebeveiliging opnemen in leveranciersovereenkomsten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.21 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.22 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.23 | Informatiebeveiliging bij het gebruik van clouddiensten | Organisatorisch | yes | _____ | _____ | _____ | _____ |
| A.5.24 | Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.25 | Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.26 | Reactie op informatiebeveiligingsincidenten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.27 | Leren van informatiebeveiligingsincidenten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.28 | Verzamelen van bewijsmateriaal | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.29 | Informatiebeveiliging tijdens verstoringen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.30 | ICT-gereedheid voor bedrijfscontinuïteit | Organisatorisch | yes | _____ | _____ | _____ | _____ |
| A.5.31 | Wettelijke, statutaire, regelgevende en contractuele eisen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.32 | Intellectuele-eigendomsrechten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.33 | Bescherming van registraties | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.34 | Privacy en bescherming van PII | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.35 | Onafhankelijke beoordeling van informatiebeveiliging | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.36 | Naleving van beleid, regels en normen voor informatiebeveiliging | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.37 | Gedocumenteerde bedieningsprocedures | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.6.1 | Screening | Mensen | no | _____ | _____ | _____ | _____ |
| A.6.2 | Arbeidsvoorwaarden | Mensen | no | _____ | _____ | _____ | _____ |
| A.6.3 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging | Mensen | no | _____ | _____ | _____ | _____ |
| A.6.4 | Disciplinaire procedure | Mensen | no | _____ | _____ | _____ | _____ |
| A.6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | Mensen | no | _____ | _____ | _____ | _____ |
| A.6.6 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | Mensen | no | _____ | _____ | _____ | _____ |
| A.6.7 | Werken op afstand | Mensen | no | _____ | _____ | _____ | _____ |
| A.6.8 | Melden van informatiebeveiligingsgebeurtenissen | Mensen | no | _____ | _____ | _____ | _____ |
| A.7.1 | Fysieke beveiligingszones | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.2 | Fysieke toegang | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.3 | Beveiligen van kantoren, ruimten en faciliteiten | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.4 | Fysieke beveiligingsmonitoring | Fysiek | yes | _____ | _____ | _____ | _____ |
| A.7.5 | Bescherming tegen fysieke en omgevingsdreigingen | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.6 | Werken in beveiligde gebieden | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.7 | Clear desk en clear screen | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.8 | Plaatsing en bescherming van apparatuur | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.9 | Beveiliging van bedrijfsmiddelen buiten het terrein | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.10 | Opslagmedia | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.11 | Nutsvoorzieningen | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.12 | Beveiliging van bekabeling | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.13 | Onderhoud van apparatuur | Fysiek | no | _____ | _____ | _____ | _____ |
| A.7.14 | Veilig verwijderen of hergebruiken van apparatuur | Fysiek | no | _____ | _____ | _____ | _____ |
| A.8.1 | Eindgebruikersapparatuur | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.2 | Geprivilegieerde toegangsrechten | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.3 | Beperking van toegang tot informatie | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.4 | Toegang tot broncode | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.5 | Veilige authenticatie | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.6 | Capaciteitsbeheer | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.7 | Bescherming tegen malware | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.8 | Beheer van technische kwetsbaarheden | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.9 | Configuratiebeheer | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.10 | Verwijderen van informatie | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.11 | Datamaskering | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.12 | Voorkomen van gegevenslekken | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.13 | Back-up van informatie | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.14 | Redundantie van informatieverwerkende faciliteiten | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.15 | Loggen | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.16 | Monitoringactiviteiten | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.17 | Kloksynchronisatie | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.18 | Gebruik van geprivilegieerde systeemhulpmiddelen | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.19 | Installatie van software op operationele systemen | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.20 | Netwerkbeveiliging | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.21 | Beveiliging van netwerkdiensten | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.22 | Scheiding van netwerken | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.23 | Webfiltering | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.24 | Gebruik van cryptografie | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.25 | Veilige ontwikkelcyclus | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.26 | Beveiligingseisen voor applicaties | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.27 | Principes voor veilige systeemarchitectuur en -engineering | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.28 | Veilig programmeren | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.29 | Beveiligingstesten bij ontwikkeling en acceptatie | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.30 | Uitbestede ontwikkeling | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.32 | Wijzigingsbeheer | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.33 | Testinformatie | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.34 | Bescherming van informatiesystemen tijdens audittests | Technologisch | no | _____ | _____ | _____ | _____ |

## 4. Aanleidingen voor herziening

Werk deze VvT bij zodra een van de volgende situaties zich voordoet, en ten minste
eenmaal per ISMS-cyclus (directiebeoordeling, vóór controle- en
hercertificeringsaudits):

- De risicobeoordeling of het risicobehandelplan wijzigt materieel.
- Een beheersmaatregel wordt toegevoegd, ingetrokken of ingrijpend gewijzigd.
- De organisatorische context wijzigt (paragraaf 4.1 — sinds Amd 1:2024 omvat dit
  uitdrukkelijk de vraag of klimaatverandering een relevant onderwerp is).
- De eisen van belanghebbenden wijzigen (paragraaf 4.2).
- De norm zelf wijzigt (de overgang van 2013 naar 2022 sloot op
  31 oktober 2025; alle geldige certificaten zijn nu tegen ISO/IEC 27001:2022).

## 5. Hergebruik binnen EU-regelgeving

Voor EU-entiteiten die onder NIS2 (Richtlijn (EU) 2022/2555) vallen, mappen de set
van toepassing zijnde beheersmaatregelen en het bijbehorende bewijs op de
risicobeheersmaatregelen van artikel 21, lid 2 — zie het mappingwerkblad in de
XLSX-variant en https://www.orbiqhq.com/eu-regulations/nis2-directive voor de tabel
artikel 21, lid 2 → bijlage A. Aansluiting op ISO 27001 ondersteunt de naleving van
NIS2, maar toont die op zichzelf niet aan: NIS2 kent eigen verwachtingen op het
gebied van governance, rapportage en handhaving onder de nationale
omzettingswetgeving (in Nederland de Cyberbeveiligingswet).
