+31 (0)73 220 2000 | info@brandcompliance.com
Nederlands
  • Nederlands
  • Engels
  • Swedish
Brand Compliance
  • Over ons
    • Vacatures
  • Kennisbank
  • Nieuws
  • Informatiebeveiliging
    • ISO 19770-1 certificering
    • ISO 27001 certificering
    • ISO 27017 en ISO 27018 certificering
    • NEN 7510 certificering & audit
  • Privacy
    • BC 5701 certificering
    • ISO 27701 certificering
  • Gap-analyse
  • Offerte aanvragen
  • Kmo-portefeuille
  • WSE Kwaliteitslabel – BC 9022
  • ISO 9001 certificering
Certificatietraject aanvragen
  • Over ons
    • Accreditaties
    • Compliment, klacht of tip
    • Uw privacy
    • Vacatures
  • Kennisbank
  • Nieuws
  • Kwaliteit
    • Certificatietraject aanvragen
    • Kmo-portefeuille
    • BC 9022 (WSE)
    • ISO 9001 certificering
    • ISO 22301 certificering
    • Compliance Audits
    • Keurmerk Private Lease
    • Gap-analyse
  • Informatiebeveiliging
    • Certificatietraject aanvragen
    • ISO 19770-1 certificering
    • ISO 27001 certificering
    • ISO 27017 en ISO 27018 certificering
    • BIO certificering & audit
    • NEN 7510 certificering
      • MedMij Afsprakenstelsel
    • SOC 2 verklaring
    • ISAE 3402
    • Gap-analyse
  • Privacy
    • Certificatietraject aanvragen
    • Whitepaper over het AVG-certificatiemechanisme
    • Certificatiestandaard
      BC 5701:2022 (nl)
    • BC 5701 certificering
    • ISO 27701 certificering
    • Gap-analyse
  • BC Academy
    • Gratis online training ISO 27001:2022
    • ISO 27001 Lead Implementer training (versie ISO 27001:2022)
    • ISO/IEC 19770-1 practitioner training
    • Inhouse ISO/IEC 27001 Lead Implementer training
    • Operational Cyber Security using IEC 62443 (OT security)
    • Implementatie training BC 5701 (GDPR)
    • Incompany training aanvragen
  • Contact
    • Contactformulier
    • Aanvragen certificatietraject
    • Kennismakingsgesprek (ISMS/Privacy)
    • Kennismakingsgesprek (KMO/WSE)
    • Locaties & route

Certificatietraject

  • Heeft u binnenkort uw eerste audit?
  • Het aanvragen van een certificeringstraject
  • Fase 1 van de initiële audit
  • Fase 2 van de initiële audit
  • Wat is een certificatiecyclus?
  • Afwijkingen managementsysteem
  • Certificaat geschorst of ingetrokken? Zo lost u dat op!
  • Hoelang duurt ISO-certificering?
  • Overname van certificering

Algemeen

  • De Brand Compliance begrippenlijst
  • Wat is een managementsysteem?
  • Interne of externe audit?
  • Tips voor het beschrijven van een goede scope
  • Accreditatie versus certificatie
  • De verschillen tussen ISO 27001 en NEN 7510
  • Het gebruik van certificatielogo’s

ISO 27001:2022

  • ISO 27001:2022 – FAQ transitie
  • ISO 27001:2022 – Transitieproces

Best practices

  • Kwaliteitsmanagement: best practices voor succes

Whitepapers

  • Whitepaper AVG-certificatiemechanisme
  • Whitepaper BC 9022
  • Whitepaper managementsysteemaudits

Tips voor het beschrijven van een goede scope

Inhoud
  • Wat wordt bedoeld met scope?
  • Ondersteunende processen
  • Tips
  • Scope-omschrijving ISMS

Net gestart of op het punt om te starten met het certificatieproces? De volgende informatie zal moeten worden gedefinieerd: het toepassingsgebied (de scope) van de certificatie met betrekking tot de soort activiteiten, producten en diensten zoals van toepassing is op elke vestiging, zonder misleidend of dubbelzinnig te zijn.

Houdt in gedachten dat alles wat buiten het toepassingsgebied valt, niet wordt opgenomen in de certificering. Dat wil zeggen dat het niet wordt onderzocht of getest.

Scope Wat wordt bedoeld met scope? #

Scope betekenis: een scope duidt de aard, grootte en kaders van de certificering aan. Het is een tekstuele omschrijving van de activiteiten/processen van de organisatie die geaudit worden.

Met een scope-omschrijving wordt aangetoond aan de buitenwereld welk deel van de organisatie precies geaudit en gecertificeerd is. Een goed afgebakend toepassingsgebied zorgt voor duidelijkheid, richting en focus. Bij het omschrijven van het toepassingsgebied kan het best het volgende in het achterhoofd worden gehouden:

Formuleer de scope zodanig helder, dat een derde partij meteen ziet en begrijpt waarvoor het certificaat is afgegeven. In de scope dient benoemd te worden welke activiteiten, processen en/of diensten voldoen aan de betreffende norm.

Het te certificeren managementsysteem is opgebouwd op basis van een vooraf gedefinieerd toepassingsgebied. Het toepassingsgebied van certificering wordt vastgesteld tijdens de certificeringsaanvraag. Op basis van de omschrijving kan een certificatie-instelling bepalen of er een match is om de klant te certificeren.

Ondersteunende processen #

Het is niet gebruikelijk om ondersteunende processen binnen een organisatie expliciet te noemen in de scope-omschrijving, als zij geen prominente rol binnen het toepassingsgebied van certificering hebben. Te denken valt aan Marketing, HR en Inkoop. Dat wil niet zeggen dat zij per definitie geen onderdeel van de certificering zijn. Het kan zijn dat een deel van bijvoorbeeld HR of inkoop wél onderdeel zijn van de scope.

Je zou kunnen zeggen dat alles wat direct het primaire proces raakt, met daarin de dienstverlening/ het product aan de klant, genoemd moet worden in de omschrijving (voor zover dit onderdeel uitmaakt van het toepassingsgebied).

Tips #

  • Zorg voor een juiste afbakening van het toepassingsgebied op basis van wat er wordt gecontroleerd binnen het managementsysteem;
  • Gebruik de onbepaalde vorm/ beperk het gebruik van bepaalde voornaamwoorden;
  • Vermijd het gebruik van afkortingen;
  • Gebruik geen dubbelzinnige of misleidende zinnen;
  • Maak geen gebruik van waarde/ subjectieve oordelen (verkoopteksten);
  • Gebruik werkwoorden.

Bijvoorbeeld:
‘’Het verkopen en repareren van auto’s’’

In plaats van:
‘’Autodealer’’

Bij meerdere activiteiten is het goed om een structuur te hanteren zodat alle activiteiten als één toepassingsgebied beschouwd worden, om te voorkomen dat het toepassingsgebied misleidend of dubbelzinnig geïnterpreteerd wordt. Een scope kan in zo’n geval bijvoorbeeld d.m.v. bullets opgebouwd worden:
“Informatiebeveiliging gerelateerd aan:
– het ontwikkelen, implementeren en beheren van software ……
– het leveren van diensten die ……..”

Scope-omschrijving ISMS #

Voorbeelden van een juiste omschrijving voor een ISMS certificering:

– Informatiebeveiliging gerelateerd aan het ontwikkelen, implementeren en beheren van software ten behoeve van het opslaan, bewaren en bewerken van alle (medische) gegevens ter ondersteuning van de arbodienstverlening inclusief het beheren van databases en servers in een (extern) rekencentrum binnen de EU.
– Informatiebeveiliging gerelateerd aan het adviseren, ontwerpen, ontwikkelen, integreren, onderhouden en exploiteren van mobiele- en webapplicaties voor o.a. het verwerken van persoonlijke gezondheidsinformatie en het bieden van bijbehorende externe hostingdiensten.

Voor NEN 7510 certificeringen geldt dat de toepassingsgebied van certificatie duidelijk dient te maken welke activiteiten, producten of diensten betrekking hebbende op het beheer van persoonlijke gezondheidsinformatie zijn uitbesteed, waarbij de van toepassing zijnde beheersmaatregelen uit de ‘verklaring van toepasselijkheid’ van de auditee worden gespecificeerd. Een voorbeeldscope is:

“Informatiebeveiliging gerelateerd aan opzetten, inrichten en beheren, gerelateerd aan ICT omgevingen voor kantoorautomatisering waar persoonlijke gezondheidsinformatie (afhankelijk van klant) kan worden verwerkt, waarvan de applicatie & opslag van persoonlijke gezondheidsinformatie deels is uitbesteed.”

 

 

Updated on 17 mei 2023
Interne of externe audit?Accreditatie versus certificatie
Inhoud
  • Wat wordt bedoeld met scope?
  • Ondersteunende processen
  • Tips
  • Scope-omschrijving ISMS

Accreditatie

RvA C548 Brand Compliance B.V. heeft accreditatie (C548) voor het certificeren van ISO 27001, NEN 7510 Cluster B en ISO 9001 scope 33 informatie technologie en 35 andere dienstverlening.

Brand Compliance B.V.

Hambakenwetering 8D2
5231 DC ‘s-Hertogenbosch

+31 (0)73 220 2000
info@brandcompliance.com

Chamber of Commerce nr.: 32101659
VAT nr.: NL8130.78.854.B01

Brand Compliance België B.V.

Uitbreidingstraat 66
2600 Berchem (Antwerpen)

+32 (0)14 48 0730
be-info@brandcompliance.com

VAT nr.: BE0735.675.516

Brand Compliance Nordics AB

Vasagatan 16
SE-111 20 Stockholm

+46 73 157 7805
info@brandcompliance.com

Org.nr: 559238-1387

© Copyright 2023 Brand Compliance