Hoelang duurt ISO 27001 certificering?

Hoelang duurt ISO 27001 certificering? Dit is een veel gestelde vraag die helaas niet eenduidig te beantwoorden is. De snelheid van implementatie van de ISO 27001 norm is namelijk afhankelijk van diverse factoren. In dit artikel leggen wij je uit hoe dat zit. Ook vertellen we je wat de ‘bewijslast’ van drie maanden inhoudt. Tot slot zoomen we in op de periode nadat het certificaat behaald is. Een ISO 27001 traject is namelijk nooit klaar. Hoe zit dat dan? Ook dat lees je in dit artikel.

De ISO 27001 norm is complexer dan bijvoorbeeld de ISO 9001 norm. We kunnen dan ook stellen dat een ISO 27001 traject ingewikkelder is dan bijvoorbeeld een ISO 9001 traject. Waar het voor een ISO 9001 traject met regelmaat prima te doen is om dit in drie maanden te doorlopen, is dat voor ISO 27001 niet mogelijk.

De doorlooptijd van een ISO 27001 certificeringstraject is afhankelijk van een aantal factoren, zoals:

Wanneer je als bedrijf je bedrijfsprocessen helder in kaart hebt, dan gaat het 27001 traject natuurlijk sneller dan wanneer je vanaf nul moet beginnen. Daarnaast scheelt het ook weer als er al andere ISO-normen, zoals de ISO 9001 norm, op basis van de High Level Structure (HLS) zijn geïmplementeerd binnen je organisatie waarop verder gebouwd kan worden. Kortom, hoe meer er al is en des te minder complex de organisatie in elkaar steekt, des te sneller het ISO 27001 traject doorlopen kan worden.

Dat neemt niet weg dat we bij CertificeringsAdvies Nederland op basis van onze ervaring wel degelijk een indicatie kunnen geven van de doorlooptijd. Voor een ISO 27001 certificeringstraject wordt een minimale doorlooptijd van 5 tot 6 maanden aangehouden. Bij grotere organisaties kan het zomaar 8 tot 12 maanden duren.

Je kunt er als organisatie voor kiezen om de risico’s met betrekking tot informatiebeveiliging te verkleinen en daarvoor aan de slag te gaan met een Information Security Management System (ISMS). Wanneer je vervolgens aan wilt tonen dat je de informatiebeveiliging op orde hebt binnen je organisatie dan kun je dat ISMS laten toetsen en uiteindelijk laten certificeren door een onafhankelijke, certificerende instantie.

Wil je een dergelijke toetsing succesvol doorlopen, dan dien je aan te kunnen tonen dat je voldoende aandacht besteedt aan informatiebeveiliging. Daarvoor moet je minimaal drie maanden volgens het ISMS hebben gewerkt. Dit wordt ook wel de ‘bewijsperiode’ genoemd. Na drie maanden kan een externe auditor namelijk beoordelen of het ISMS in de praktijk functioneert. Indien dat het geval is en de externe audit met goed gevolg is afgelegd wordt de organisatie voorgedragen voor certificering. Als het ingediende rapport van de auditor goed wordt gekeurd, krijg je het ISO 27001 certificaat uitgereikt. Dat certificaat heeft dan een geldigheidsduur van 3 jaar.

Een ISO 27001 certificeringstraject is geen eenmalige exercitie. Er komt namelijk nooit een einde aan een ISO-certificering. Dat komt omdat iedere ISO-norm het principe van continue verbetering hanteert. De omgeving van een organisatie is immers altijd in beweging, waardoor je als organisatie genoodzaakt bent om continu in te spelen op steeds weer veranderende interne en externe risico’s.

ISO 27001 is dus geen statisch systeem, maar een procesmatige manier van werken die je in je organisatie implementeert en continu blijft verbeteren. Wanneer je het ISO 27001 certificaat hebt behaald, sta je eigenlijk pas aan het begin van dat continue verbeterproces waarmee je de risico’s beheersbaar gaat maken. Kortom: Door continue monitoring, verbetering, interne audits en corrigerende maatregelen zorg je ervoor dat je ISMS-controles up-to-date en dus functioneel blijven. Zo borg je de veiligheid van informatie in je organisatie.

Het is dan ook niet voor niets dat er na het behalen van het certificaat jaarlijks opvolgaudits plaatsvinden om te controleren of de organisatie nog voldoet aan de ISO 27001 normeisen. Na drie jaar, wanneer het ISO 27001 certificaat bijna verloopt, zal er weer een uitgebreide audit plaatsvinden. Indien je die als organisatie goed doorloopt, wordt het ISO 27001 certificaat wederom voor drie jaar verstrekt.

Wil je aan de slag met ISO 27001 en kun je daarbij ondersteuning gebruiken? Neem dan gerust contact met ons op. Wij helpen je graag op weg!