4.3 - Het toepassingsgebied van het ISMS bepalen
Doel
Het bepalen van de grenzen en toepasselijkheid van het ISMS om het toepassingsgebied vast te stellen, rekening houdend met de context (4.1) en de eisen van belanghebbenden (4.2).
Scope Statement
ISO 27001 scope: Het ontwikkelen, ontwerpen, beheren, onderhouden van applicaties, websites en cloud-omgevingen.
NEN 7510 scope: Het ontwikkelen, ontwerpen, beheren, onderhouden van zorggerelateerde applicaties, websites en cloud-omgevingen waarbij hosting is uitbesteed aan AWS of GCP.
Het ISMS van YipYip B.V. omvat alle informatieverwerkende activiteiten, systemen, mensen en processen die betrokken zijn bij het ontwikkelen, ontwerpen, beheren en onderhouden van applicaties, websites en cloud-omgevingen, inclusief alle fysieke en logische locaties waar deze activiteiten plaatsvinden.
Scope Bepaling
Basis voor Scope
De scope is bepaald op basis van:
- Externe context (4.1): Wet- en regelgeving, klanteisen, marktomstandigheden
- Stakeholder eisen (4.2): NEN7510 verplichting klanten, certificeringseisen
- Organisatiegrenzen: Juridische entiteit, fysieke locaties, IT-grenzen
- Dienstverlening: Alle diensten aan zorgklanten
Organisatorische Grenzen
| Aspect | Binnen Scope | Buiten Scope |
|---|---|---|
| Juridische entiteit | YipYip B.V. | n.v.t. |
| Afdelingen | Alle | Geen |
| Medewerkers | Alle (vast + inhuur) | n.v.t. |
| Management | Directie + management | n.v.t. |
Fysieke Grenzen
| Locatie | Type | Status |
|---|---|---|
| Kantoor Rotterdam | Kantoor | Binnen scope |
| AWS datacenters | Cloud hosting | Binnen scope |
| GCP datacenters | Cloud hosting | Binnen scope |
| Thuiswerklocaties | Remote werk | Binnen scope (logisch) |
Logische Grenzen
| Systeem/Netwerk | Beschrijving | Status |
|---|---|---|
| Kantoornetwerk | LAN, WiFi kantoor | Binnen scope |
| Productie-omgevingen | Klantdiensten | Binnen scope |
| Cloud-omgevingen | AWS, GCP | Binnen scope |
| Eindgebruiker devices | Laptops, mobiel | Binnen scope |
| BYOD | Privé apparaten | Buiten scope (bedrijfslaptops verplicht) |
Processen binnen Scope
| Proces | Beschrijving | Primair/Ondersteunend |
|---|---|---|
| Applicatie-ontwikkeling | Mobile apps, PWA’s, websites, applied games | Primair |
| Backend-ontwikkeling | Elixir/Phoenix backend systemen | Primair |
| Ontwerp | UX/UI design | Primair |
| Cloud-beheer | Beheer AWS en GCP omgevingen | Primair |
| Projectmanagement | Klantprojecten | Primair |
| HR | Personeelszaken | Ondersteunend |
| Finance | Administratie | Ondersteunend |
| Inkoop | Leveranciersbeheer | Ondersteunend |
| IT intern | Eigen IT-infrastructuur | Ondersteunend |
Diensten binnen Scope
| Dienst | Beschrijving | Klantimpact |
|---|---|---|
| Mobile app-ontwikkeling | iOS en Android applicaties | Hoog |
| Applied games | Gamified applicaties | Hoog |
| Backend-ontwikkeling | Elixir/Phoenix backend systemen | Hoog |
| PWA-ontwikkeling | Progressive Web Apps | Hoog |
| Website-ontwikkeling | Websites en webapplicaties | Medium |
| UX/UI Design | Ontwerp en gebruikerservaring | Medium |
| Cloud-hosting en -beheer | AWS en GCP omgevingen | Hoog |
Uitsluitingen
Onderbouwing Uitsluitingen
Indien controls uit Annex A niet van toepassing zijn, wordt dit onderbouwd in de Statement of Applicability (controls/_index.yaml).
| Uitgesloten | Reden | Onderbouwing |
|---|---|---|
| Fysieke hosting-infrastructuur | Uitbesteed aan AWS en GCP | Hosting is volledig uitbesteed; fysieke datacentersecurity valt onder verantwoordelijkheid van de cloudprovider |
| Fysieke beveiliging klantlocaties | Verantwoordelijkheid klant | YipYip heeft geen controle over klantlocaties |
Interfaces en Afhankelijkheden
Externe Interfaces
| Interface | Partij | Data/Interactie | ISMS Relevantie |
|---|---|---|---|
| Klant systemen | Zorginstellingen | Beheer, data | Hoog |
| Cloud providers | AWS, GCP | Hosting, infra | Hoog |
| Leveranciers | Diverse | Software, diensten | Medium |
| Internet | ISP | Connectiviteit | Hoog |
Interne Interfaces
| Interface | Tussen | Beschrijving |
|---|---|---|
| IT ↔ Operations | Afdelingen | Beheer eigen systemen vs klant |
| HR ↔ IT | Afdelingen | Onboarding, offboarding |
| Finance ↔ Inkoop | Afdelingen | Leveranciers betaling |
Relatie met Normen
ISO 27001:2022
Deze scope dekt alle eisen van ISO 27001:2022 clausules 4-10 en is de basis voor de toepassing van Annex A controls.
NEN7510:2024
Door de focus op zorgsector is NEN7510:2024 integraal van toepassing binnen deze scope. Aanvullende zorgspecifieke maatregelen zijn gedocumenteerd in nen7510/.
Documentatie
De scope is gedocumenteerd en beschikbaar gesteld aan relevante belanghebbenden. Dit document is de formele scope definitie.
Review
De scope wordt gereviewed:
- Minimaal jaarlijks als onderdeel van de management review
- Bij significante organisatiewijzigingen
- Bij wijzigingen in dienstverlening
- Bij acquisities of afstotingen
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-29