View Categories

Tips voor het beschrijven van een goede scope

Net gestart of op het punt om te starten met het certificatieproces? De volgende informatie zal moeten worden gedefinieerd: het toepassingsgebied (de scope) van de certificatie met betrekking tot de soort activiteiten, producten en diensten zoals van toepassing is op elke vestiging, zonder misleidend of dubbelzinnig te zijn.

Houdt in gedachten dat alles wat buiten het toepassingsgebied valt, niet wordt opgenomen in de certificering. Dat wil zeggen dat het niet wordt onderzocht of getest.

Wat is een scope? #

Een scope duidt de aard, grootte en kaders van de certificering aan. Het is een tekstuele omschrijving van de activiteiten/processen van de organisatie die geaudit worden.

Met een scope-omschrijving wordt aangetoond aan de buitenwereld welk deel van de organisatie precies geaudit en gecertificeerd is. Een goed afgebakende scope zorgt voor duidelijkheid, richting en focus. Bij het omschrijven van de scope kan het best het volgende in het achterhoofd worden gehouden:

Formuleer de scope zodanig helder, dat een derde partij meteen ziet en begrijpt waarvoor het certificaat is afgegeven. In de scope dient benoemd te worden welke activiteiten, processen en/of diensten voldoen aan de betreffende norm.

Het te certificeren managementsysteem is opgebouwd op basis van een vooraf gedefinieerde scope. De scope van certificering wordt vastgesteld tijdens de certificeringsaanvraag. Op basis van de omschrijving kan een certificatie-instelling bepalen of er een match is om de klant te certificeren.

Ondersteunende processen #

Het is niet gebruikelijk om ondersteunende processen binnen een organisatie expliciet te noemen in de scope-omschrijving, als zij geen prominente rol binnen de scope van certificering hebben. Te denken valt aan Marketing, HR en Inkoop. Dat wil niet zeggen dat zij per definitie geen onderdeel van de certificering zijn. Het kan zijn dat een deel van bijvoorbeeld HR of inkoop wél onderdeel zijn van de scope.

Je zou kunnen zeggen dat alles wat direct het primaire proces raakt, met daarin de dienstverlening/ het product aan de klant, genoemd moet worden in de omschrijving (voor zover dit onderdeel uitmaakt van de scope).

Tips #

  • Zorg voor een juiste afbakening van de scope op basis van wat er wordt gecontroleerd binnen het managementsysteem;
  • Gebruik de onbepaalde vorm/ beperk het gebruik van bepaalde voornaamwoorden;
  • Vermijd het gebruik van afkortingen;
  • Gebruik geen dubbelzinnige of misleidende zinnen;
  • Maak geen gebruik van waarde/ subjectieve oordelen (verkoopteksten);
  • Gebruik werkwoorden.

Bijvoorbeeld:
‘’Het verkopen en repareren van auto’s’’

In plaats van:
‘’Autodealer’’

Bij meerdere activiteiten is het goed om een structuur te hanteren zodat alle activiteiten als één toepassingsgebied beschouwd worden, om te voorkomen dat de scope misleidend of dubbelzinnig geïnterpreteerd wordt. Een scope kan in zo’n geval bijvoorbeeld d.m.v. bullets opgebouwd worden:
“Informatiebeveiliging gerelateerd aan:
– het ontwikkelen, implementeren en beheren van software ……
– het leveren van diensten die ……..”

Scope-omschrijving ISMS #

Voorbeelden van een juiste omschrijving voor een ISMS certificering:

– Informatiebeveiliging gerelateerd aan het ontwikkelen, implementeren en beheren van software ten behoeve van het opslaan, bewaren en bewerken van alle (medische) gegevens ter ondersteuning van de arbodienstverlening inclusief het beheren van databases en servers in een (extern) rekencentrum binnen de EU.
– Informatiebeveiliging gerelateerd aan het adviseren, ontwerpen, ontwikkelen, integreren, onderhouden en exploiteren van mobiele- en webapplicaties voor o.a. het verwerken van persoonlijke gezondheidsinformatie en het bieden van bijbehorende externe hostingdiensten.