Ga naar inhoud

ISO 27001 ·

ISO 27001: SoA bijwerken na scope- of cloudwijziging

Nieuwe SaaS, fusie, outsourcing of regio-wijziging? Dan verandert uw ISMS-scope — en uw Statement of Applicability (SoA) moet mee, vóór auditors of enterprise-klanten het verschil zien.

Wanneer is SoA-update verplicht?

  • nieuwe productlijn of tenant buiten huidige scope;
  • kritieke leverancier of subprocessor toegevoegd;
  • control uitgevallen of vervangen (bijv. MFA, logging, backup);
  • major non-conformity of incident met scope-impact.

Stappenplan na scopewijziging

  1. Update scope/context-document en risicoanalyse.
  2. Beoordeel Annex A-controls: van toepassing, uitgesloten, met motivatie.
  3. Wijs control owners en evidence-eigenaren voor nieuwe onderdelen.
  4. Plan interne steekproef vóór externe audit.

Verdieping: SoA ISO 27001, scope & context en risicoanalyse.

Cloudmigraties in 2026 zijn de meest voorkomende scope-trigger: shared responsibility verschuift controls naar de leverancier, maar uw SoA moet expliciet vastleggen welke maatregelen u nog zelf uitvoert en welke u via contract en monitoring afdekkt.

Na fusie of overname: harmoniseer scope binnen 90 dagen of documenteer tijdelijke uitzonderingen met bestuurlijk besluit. Auditors accepteren transitie, niet onduidelijke grenzen tussen oude en nieuwe entiteiten.

Koppel SoA-updates aan change management. Elke major change ticket moet een checkbox triggeren: scope, SoA, risico en evidence-map bijgewerkt? Dat voorkomt surveillance-bevindingen op verouderde documentatie.

Change management als trigger

Elke major change — nieuwe SaaS, datacenter, fusie of outsourcing — hoort een vaste checklist te triggeren: scope-document, risicoanalyse, SoA, control owners en evidence-map. Zonder die checklist blijft documentatie achter op de werkelijkheid tot de auditor het verschil ziet.

Cloud shared responsibility betekent dat u expliciet vastlegt welke controls de leverancier dekt en welke u zelf monitort. Copy-paste van vendor marketing in de SoA werkt niet; auditors vragen naar tenant-configuratie en contractclausules.

Plan na scopewijziging een interne steekproef vóór externe audit. Laat control owners nieuwe onderdelen uitleggen — dat onthult sneller hiaten dan een documentreview alleen.

Bewaar versies van scope en SoA met datum en goedkeurder. Bij due diligence willen kopers soms zien hoe scope de afgelopen jaren is meegroeid met het bedrijf.

Communiceer scopewijzigingen proactief naar grote klanten als contracten ISMS-scope refereren. Een korte factsheet voorkomt dat due diligence een verouderde SoA ontdekt. Intern: train projectleiders dat elke grote change de checklist triggert.

Change management als vaste trigger

Elke major change — nieuwe SaaS, datacenter, fusie — hoort een vaste checklist te triggeren: scope-document, risicoanalyse, SoA, control owners, evidence-map. Zonder checklist blijft documentatie achter tot de auditor het verschil ziet.

Communiceer scopewijzigingen proactief naar grote klanten wanneer contracten ISMS-scope refereren. Een korte factsheet voorkomt dat due diligence een verouderde SoA ontdekt.

Cloud shared responsibility: leg expliciet vast welke controls de leverancier dekt en welke u monitort. Copy-paste vendor marketing in de SoA werkt niet bij surveillance.

Vervolgstappen in uw ISMS

Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.

Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.

Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.

Wat doet u deze week?

Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.

Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.

Bewijs en governance

Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.

Keten en contracten

Veel eisen in 2026 komen via opdrachtgevers en niet alleen via formele wet-scope. Align contract-SLA’s met uw ISMS: incidentmelding, auditrechten, patch-termijnen en exit. Documenteer waar contract strenger is dan interne policy — management review moet die gap expliciet accepteren of investering plannen.

Verdiep in de kennisbank

Doe de ISO 27001 readiness scan

Meet waar je staat vóór je investeert in documenten of consultants.

Start de readiness scan

← Terug naar overzicht