hoelang duurt ISO 27001 certificering?Hoelang duurt ISO 27001 certificering? Dit is een veel gestelde vraag die helaas niet eenduidig te beantwoorden is. De snelheid van implementatie van de ISO 27001 norm is namelijk afhankelijk van diverse factoren. In dit artikel leggen wij je uit hoe dat zit. Ook vertellen we je wat de ‘bewijslast’ van drie maanden inhoudt. Tot slot zoomen we in op de periode nadat het certificaat behaald is. Een ISO 27001 traject is namelijk nooit klaar. Hoe zit dat dan? Ook dat lees je in dit artikel.

Hoelang duurt ISO 27001 certificering?

De ISO 27001 norm is complexer dan bijvoorbeeld de ISO 9001 norm. We kunnen dan ook stellen dat een ISO 27001 traject ingewikkelder is dan bijvoorbeeld een ISO 9001 traject. Waar het voor een ISO 9001 traject met regelmaat prima te doen is om dit in drie maanden te doorlopen, is dat voor ISO 27001 niet mogelijk.

Meer weten over ISO 27001? Download dan de handige informatiegids ISO 27001

De doorlooptijd van een ISO 27001 certificeringstraject is afhankelijk van een aantal factoren, zoals:

  • De huidige stand van zaken binnen de organisatie;
  • De aanwezige organisatorische, technische en fysieke beheersmaatregelen;
  • De complexiteit van de organisatie;
  • De grootte van de organisatie;
  • De interne capaciteit en slagkracht van de organisatie.

Wanneer je als bedrijf je bedrijfsprocessen helder in kaart hebt, dan gaat het 27001 traject natuurlijk sneller dan wanneer je vanaf nul moet beginnen. Daarnaast scheelt het ook weer als er al andere ISO-normen, zoals de ISO 9001 norm, op basis van de High Level Structure (HLS) zijn geïmplementeerd binnen je organisatie waarop verder gebouwd kan worden. Kortom, hoe meer er al is en des te minder complex de organisatie in elkaar steekt, des te sneller het ISO 27001 traject doorlopen kan worden.

Doorlooptijd ISO 27001 traject

Dat neemt niet weg dat we bij CertificeringsAdvies Nederland op basis van onze ervaring wel degelijk een indicatie kunnen geven van de doorlooptijd. Voor een ISO 27001 certificeringstraject wordt een minimale doorlooptijd van 5 tot 6 maanden aangehouden. Bij grotere organisaties kan het zomaar 8 tot 12 maanden duren.

ISO 27001 certificeren? Bewijsperiode van drie maanden

Je kunt er als organisatie voor kiezen om de risico’s met betrekking tot informatiebeveiliging te verkleinen en daarvoor aan de slag te gaan met een Information Security Management System (ISMS). Wanneer je vervolgens aan wilt tonen dat je de informatiebeveiliging op orde hebt binnen je organisatie dan kun je dat ISMS laten toetsen en uiteindelijk laten certificeren door een onafhankelijke, certificerende instantie.

Lees ook het artikel: Wat is een ISMS in de ISO 27001 norm?

Wil je een dergelijke toetsing succesvol doorlopen, dan dien je aan te kunnen tonen dat je voldoende aandacht besteedt aan informatiebeveiliging. Daarvoor moet je minimaal drie maanden volgens het ISMS hebben gewerkt. Dit wordt ook wel de ‘bewijsperiode’ genoemd. Na drie maanden kan een externe auditor namelijk beoordelen of het ISMS in de praktijk functioneert. Indien dat het geval is en de externe audit met goed gevolg is afgelegd wordt de organisatie voorgedragen voor certificering. Als het ingediende rapport van de auditor goed wordt gekeurd, krijg je het ISO 27001 certificaat uitgereikt. Dat certificaat heeft dan een geldigheidsduur van 3 jaar.

Een ISO 27001 traject is een continu proces

Een ISO 27001 certificeringstraject is geen eenmalige exercitie. Er komt namelijk nooit een einde aan een ISO-certificering. Dat komt omdat iedere ISO-norm het principe van continue verbetering hanteert. De omgeving van een organisatie is immers altijd in beweging, waardoor je als organisatie genoodzaakt bent om continu in te spelen op steeds weer veranderende interne en externe risico’s.

ISO 27001 is dus geen statisch systeem, maar een procesmatige manier van werken die je in je organisatie implementeert en continu blijft verbeteren. Wanneer je het ISO 27001 certificaat hebt behaald, sta je eigenlijk pas aan het begin van dat continue verbeterproces waarmee je de risico’s beheersbaar gaat maken. Kortom: Door continue monitoring, verbetering, interne audits en corrigerende maatregelen zorg je ervoor dat je ISMS-controles up-to-date en dus functioneel blijven. Zo borg je de veiligheid van informatie in je organisatie.

Het is dan ook niet voor niets dat er na het behalen van het certificaat jaarlijks opvolgaudits plaatsvinden om te controleren of de organisatie nog voldoet aan de ISO 27001 normeisen. Na drie jaar, wanneer het ISO 27001 certificaat bijna verloopt, zal er weer een uitgebreide audit plaatsvinden. Indien je die als organisatie goed doorloopt, wordt het ISO 27001 certificaat wederom voor drie jaar verstrekt.


Meer weten over ISO 27001? [Whitepaper]

Wil jij na het lezen van dit artikel meer informatie over ISO 27001? Download dan gratis de handige ‘Informatiegids ISO 27001’ met daarin allerlei praktische informatie over deze norm voor informatiebeveiliging.

DOWNLOAD INFORMATIEGIDS

Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl