Tips voor het beschrijven van een goede scope

Net gestart of op het punt om te starten met het certificatieproces? De volgende informatie zal moeten worden gedefinieerd: het toepassingsgebied (de scope) van de certificatie met betrekking tot de soort activiteiten, producten en diensten zoals van toepassing is op elke vestiging, zonder misleidend of dubbelzinnig te zijn.

Houd in gedachten dat alles wat buiten het toepassingsgebied valt, niet wordt opgenomen in de certificering. Dat wil zeggen dat het niet wordt onderzocht of getest.

Wat is een scope?

Scope betekenis: een scope duidt de aard, grootte en kaders van de certificering aan. Het is een tekstuele omschrijving van de activiteiten/processen van de organisatie die geaudit worden.

Met een scope-omschrijving wordt aangetoond aan de buitenwereld welk deel van de organisatie precies geaudit en gecertificeerd is. Een goed afgebakend toepassingsgebied zorgt voor duidelijkheid, richting en focus. Bij het omschrijven van het toepassingsgebied kan het best het volgende in het achterhoofd worden gehouden:

Formuleer de scope zodanig helder, dat een derde partij meteen ziet en begrijpt waarvoor het certificaat is afgegeven. In de scope dient benoemd te worden welke activiteiten, processen en/of diensten voldoen aan de betreffende norm.

Het te certificeren managementsysteem is opgebouwd op basis van een vooraf gedefinieerd toepassingsgebied. Het toepassingsgebied van certificering wordt vastgesteld tijdens de certificeringsaanvraag. Op basis van de omschrijving kan een certificatie-instelling bepalen of er een match is om de klant te certificeren.

Ondersteunende processen

Het is niet gebruikelijk om ondersteunende processen binnen een organisatie expliciet te noemen in de scope-omschrijving, als zij geen prominente rol binnen het toepassingsgebied van certificering hebben. Te denken valt aan Marketing, HR en Inkoop. Dat wil niet zeggen dat zij per definitie geen onderdeel van de certificering zijn. Het kan zijn dat een deel van bijvoorbeeld HR of inkoop wél onderdeel zijn van de scope.

Je zou kunnen zeggen dat alles wat direct het primaire proces raakt, met daarin de dienstverlening/ het product aan de klant, genoemd moet worden in de omschrijving (voor zover dit onderdeel uitmaakt van het toepassingsgebied).

Tips

• Zorg voor een juiste afbakening van het toepassingsgebied op basis van wat er wordt gecontroleerd binnen het managementsysteem;
• Gebruik de onbepaalde vorm/ beperk het gebruik van bepaalde voornaamwoorden;
• Vermijd het gebruik van afkortingen;
• Gebruik geen dubbelzinnige of misleidende zinnen;
• Maak geen gebruik van waarde/ subjectieve oordelen (verkoopteksten);
• Gebruik werkwoorden.

Bijvoorbeeld:
‘’Het verkopen en repareren van auto’s’’

In plaats van:
‘’Autodealer’’

Bij meerdere activiteiten is het goed om een structuur te hanteren, zodat alle activiteiten als één toepassingsgebied beschouwd worden, om te voorkomen dat het toepassingsgebied misleidend of dubbelzinnig geïnterpreteerd wordt. Een scope kan in zo’n geval bijvoorbeeld d.m.v. bullets opgebouwd worden:
“Informatiebeveiliging gerelateerd aan:
– het ontwikkelen, implementeren en beheren van software ……
– het leveren van diensten die …….”

Scope-omschrijving ISMS

Voorbeelden van een juiste scope-omschrijving voor een ISMS-certificering (scope ISO 27001):

– Informatiebeveiliging gerelateerd aan het ontwikkelen, implementeren en beheren van software ten behoeve van het opslaan, bewaren en bewerken van alle (medische) gegevens ter ondersteuning van de arbodienstverlening inclusief het beheren van databases en servers in een (extern) rekencentrum binnen de EU.
– Informatiebeveiliging gerelateerd aan het adviseren, ontwerpen, ontwikkelen, integreren, onderhouden en exploiteren van mobiele- en webapplicaties voor o.a. het verwerken van persoonlijke gezondheidsinformatie en het bieden van bijbehorende externe hostingdiensten.

Voor NEN 7510 certificeringen geldt dat het toepassingsgebied van certificatie duidelijk dient te maken welke activiteiten, producten of diensten betrekking hebbende op het beheer van persoonlijke gezondheidsinformatie zijn uitbesteed, waarbij de van toepassing zijnde beheersmaatregelen uit de ‘verklaring van toepasselijkheid’ van de auditee worden gespecificeerd. Een voorbeeldscope is:

“Informatiebeveiliging gerelateerd aan opzetten, inrichten en beheren, gerelateerd aan ICT-omgevingen voor kantoorautomatisering waar persoonlijke gezondheidsinformatie (afhankelijk van klant) kan worden verwerkt, waarvan de applicatie & opslag van persoonlijke gezondheidsinformatie deels is uitbesteed.”

Geen kennisartikelen missen?

Vul uw gegevens in en u ontvangt regelmatig een update met onze nieuwste artikelen.