Beschrijven van een goede scope bij certificeren
Op het moment dat u van start wil gaan met de voorbereidingen om een certificatietraject bij DigiTrust te doorlopen, is het verplicht om een heldere scope te omschrijven en beschikbaar te hebben. Simpel gezegd, u stelt vast wat het toepassingsgebied is van de beoogde certificatie. Op welke activiteiten, locaties, producten en diensten is de certificering van toepassing? Deze beschrijving is de basis voor de scope definitie.
Tip: neem alles op in de scope wat binnen de certificering dient te vallen. Zaken die niet bij het toepassingsgebied horen, worden ook niet getoetst tijdens de audits. En die worden dan ook niet gecertificeerd.
Wat is een scope?
Het beschrijven van een scope is een essentieel onderdeel bij de aanvang van het certificeringsproces. Een scope duidt in feite aan wat de reikwijdte is van de certificering. In de scope wordt duidelijk op welke aspecten binnen de organisatie de beoogde certificering van toepassing is. Deze omschrijving vertelt welke activiteiten en processen getoetst worden tijdens de audit. Het grootste voordeel van een heldere scope is dat het duidelijkheid en focus biedt in het certificatietraject. In een goede scope beschrijving wordt direct duidelijk waarvoor het certificaat is uitgereikt en waarop het van toepassing is.
Definieer het toepassingsgebied
Als onderdeel van uw managementsysteem is het verplicht om het toepassingsgebied vast te stellen. Dat u dit moet doen is in de norm beschreven bij paragraaf 4.3. U dient de grenzen en toepasselijkheid van het managementsysteem te bepalen om het toepassingsgebied ervan vast te stellen. Houd bij het vaststellen van het toepassingsgebied rekening met de in paragraaf 4.1 vastgestelde in- en externe issues én de in paragraaf 4.2 gestelde eisen van de belanghebbenden.
Dit is de basis voor uw managementsysteem dat gecertificeerd moet worden. Bij het indienen van de certificeringsaanvraag dient u de scope al helder te hebben. Dit stelt DigiTrust in staat om te beoordelen of de scope past bij de te certificerende norm-.
Benoem welke informatie u wilt beschermen binnen welke processen.
Hoe bepaalt u of processen of afdelingen binnen uw organisatie onder het toepassingsgebied vallen en toegevoegd moeten worden aan de scope? In de basis kunnen we stellen dat wanneer activiteiten en processen direct invloed hebben op de primaire producten en/of dienstverlening richting klanten, dienen deze opgenomen te worden in de scope. Ondersteunende processen zoals HR, Management, Facilitair zijn veelal wel onderdeel van het managementsysteem en beschreven in het toepassingsgebied, maar het is niet gebruikelijk om dit ook te benoemen in de scope.
Wat ook mogelijk is dat u een deelscope beschrijft. Het is toegestaan dat u in uw toepassingsgebied een deel van uw processen beschrijft. Deze moeten dan ook expliciet vermeld worden in de scope, zodat helder is dat een deel van de organisatie en processen zijn gecertificeerd.
Let hierop bij het beschrijven van een scope
Er zijn diverse aspecten waar u op moet letten bij het uitwerken van een scope. Zorg dat u altijd helder taalgebruik hanteert. Vermijd zoveel mogelijk containerbegrippen, commerciële teksten, afkortingen en dubbelzinnigheden. Het is de kunst om in een scope-beschrijving niets tot de verbeelding over te laten en alles zeer specifiek uit te leggen.
Tip: veelal wordt gedacht dat een scope zin, uit 1 zin moet bestaan. Dat is onjuist. Het is juist heel verstandig om goed te beschrijven wat in de scope valt van uw managementsysteem.
Hoofdscope en sub-scope
Indien u een meerdere vestigingen en bedrijfsonderdelen heeft, is er altijd sprake van een certificatiehouder. De certificatiehouder heeft een zogenaamde ‘paraplu-scope’. In deze scope moeten alle activiteiten worden benoemend, van de onderliggende organisaties.
De onderliggende bedrijven, die binnen hetzelfde managementsysteem vallen kunnen een sub-scope hebben. Belangrijk is dat per organisatie de naam, adres en scope wordt aangeleverd. De DigiTrust-auditor zal dit met u doornemen tijdens de audit.
Hier wordt een scope voor gebruikt:
- De scope wordt vermeld op het ISO-certificaat.
- Om vast te stellen welke activiteiten er getoetst worden tijdens de audit.
- DigiTrust weet hierdoor wat en waar er beoordeeld moet worden en kan hierdoor een auditplanning maken.
Scope beschrijving en ISO-certificering
ISO 27001 en NEN 7510 scope
De NCS 7510, dat is de norm waaraan DigiTrust zich moet houden bij het certificeren op de NEN 7510. In deze norm staat in paragraaf 8.2.1.c dat de scope zin moet beginnen met; Informatiebeveiliging gerelateerd aan activiteiten gerelateerd aan processen/producten) van de certificatie;
Dit is een verplichting bij een NEN 7510 certificering. Dit geldt echter niet bij een ISO 27001-certificering. Wel hanteren we binnen DigiTrust dit als ‘best Practice’ zodat er eenduidigheid komt in de scope-zinnen op de certificaten.
ISO 9001 scope
De scope bij een ISO 9001-certificering moet direct beginnen met de processen binnen scope. Verder moet u, in het toepassingsgebied beschrijven welke normonderdelen niet van toepassing zijn en dit dient u te onderbouwen. Dit is een specifieke ISO 9001-eis. Immers ISO 9001 kent geen VVT (verklaring van toepasselijkheid). De uit te sluiten normelementen mogen geen invloed hebben op de conformiteit van uw producten of diensten en negatieve invloed hebben op de klanttevredenheid.
Zorg voor een goede scope
Wanneer u in aanmerking wil komen voor een certificering is het verplicht om een goede scope uit te werken. Dat is een eis voor alle managementsysteem certificeringen; ISO 27001, NEN 7510, ISO 27701, ISO 9001.Tijdens de audit zal de DigiTrust-auditor deze dan ook beoordelen en indien noodzakelijk samen met u aanpassen.
Heeft u nog vragen hierover? Het DigiTrust-team geeft u graag advies, zodat u goed bent voorbereid op uw certificering audit.
