Wat zijn de kosten voor ISO 27001 certificering?

De titel van dit blogartikel verraadt het al: we krijgen regelmatig de vraag gesteld ‘wat kost ISO 27001 certificering?’. Daar kunnen we kort over zijn: die vraag is helaas niet met één vast antwoord te beantwoorden. Een ISO 27001 traject is maatwerk. Dat neemt niet weg dat we in dit blogartikel wel uiteen kunnen zetten hoe de kostenstructuur is opgebouwd. Op die manier krijg je een indicatie van hetgeen dat er allemaal bij een ISO 27001 certificeringstraject komt kijken. Mochten er verdere vragen zijn, stel ze gerust. Wij helpen je graag op weg!

Het implementeren en laten certificeren van een managementsysteem voor informatiebeveiliging is qua inspanningen wat complexer dan bijvoorbeeld ISO 9001 trajecten, vanwege het feit dat informatiebeveiliging veel technische en organisatorische aspecten kent. Om die reden brengt ISO 27001 ook een ander kostenplaatje met zich mee. Investeren in ISO 27001 is daarom een strategische keuze: je verkleint risico’s, vergroot je betrouwbaarheid én voldoet aan eisen van klanten, aanbestedingen of wetgeving.

De complexiteit met betrekking tot ISO 27001 komt mede doordat organisaties, onder andere door digitalisering, steeds afhankelijker worden van hun kennis en informatie, waardoor de risico’s ook groter worden. Informatiebeveiliging is echter meestal niet de kracht van een organisatie, terwijl de organisatorische en technische disciplines wel beheerst moeten worden, mét bewijs daarvan. Nieuwe kennis dus, die je jezelf eigen dient te maken en waarmee de organisatie nieuw aan de slag moet. En mogelijk een technische achterstand in beveiligingsmiddelen.

De investering in nieuwe apparatuur nemen we daarin even niet mee – die apparatuur wordt gekocht omdat hij nodig is voor het bedrijf, niet omdat er een managementsysteem geïntroduceerd wordt.

Doorgaans bekijkt het management van een organisatie of de kosten van die nieuwe werkwijze opwegen tegen de baten (minder incidenten, minder risico op datalek, professionele uitstraling en voldoen aan selectiecriteria). Wat is noodzakelijk? Wordt er gevraagd om een ISO 27001 certificering? Of kan het ook op een andere manier?

Allemaal afwegingen die het management moet doen. Het staat echter als een paal boven water dat je iets moet met informatiebeveiliging. Je wilt kwaadwillenden immers buiten de deur houden en borgen dat gevoelige informatie veilig is. Maar bedenk: zelfs als je een om puur commerciële redenen dit managementsysteem wilt introduceren en het certificaat wilt halen, is het resultaat een veiligere en professionelere organisatie. Wij zien de implementatie van ISO 27001 om die reden dan ook als een investering in plaats van een kostenpost.

De kosten van een ISO 27001 certificering zijn maatwerk en afhankelijk van meerdere factoren:

Allemaal zaken die van invloed zijn op de uiteindelijke bepaling van de kosten voor ISO 27001 certificering. Naast bovenstaande factoren, spelen ook zaken als bedrijfsgrootte en complexiteit van de organisatie en bijbehorende processen een rol. Om te bepalen hoe complex een organisatie in elkaar zit, wordt gekeken naar het aantal medewerkers, het aantal vestigingen, het aantal producten en diensten en de verschillende processen. Daarbij is het niet per definitie zo dat een groot bedrijf automatisch een groter traject moet doorlopen. Een kleine organisatie met complexe processen kan dus duurder uit zijn dan een grotere organisatie met één duidelijke dienst.

Je kunt ISO 27001 helemaal zelf implementeren, maar dat kost vaak veel interne tijd en energie – zeker als kennis ontbreekt. Kies je voor begeleiding van een adviesbureau zoals CertificeringsAdvies Nederland? Dan ben je meestal sneller, effectiever én goedkoper uit als je interne uren meerekent.

Wanneer je ervoor kiest om je te laten ondersteunen door een adviesbureau dan kan dat op verschillende manieren. Bij CertificeringsAdvies Nederland bieden we bijvoorbeeld twee varianten ondersteuning aan:

Hoe intensiever de begeleiding, des te hoger de externe kosten – en hoe lager de interne kosten.

Het adviesbureau dat je ondersteunt op weg naar ISO 27001 certificering, kan het einde van het traject ook de interne audit voor je verzorgen. Daarbij toetst een kundige adviseur of je voldoet aan alle eisen en richtlijnen die vanuit de norm gevraagd worden. Uiteindelijk ontvang je een intern auditrapport met daarin eventuele verbeterpunten. Zo kun je de puntjes op de i zetten en ben je klaar voor de certificeringsaudit (externe audit).

Een externe audit is verplicht als je wilt certificeren voor ISO 27001. Om een externe audit uit te laten voeren is het noodzakelijk om een Certificerende Instantie (CI) in te schakelen. Een dergelijke instantie is namelijk bevoegd om dit soort audits uit te voeren. Er zijn verschillende CI’s die een audit uit kunnen voeren. De aanpak en kosten verschillen daarin per CI. Wel zullen ze allemaal een traject van 3 jaar aanbieden (1 certificatiecyclus). Vraag daarom altijd een aantal offertes op bij diverse partijen. CertificeringsAdvies Nederland helpt organisaties bij de selectie van een passende certificeerder. Wij hebben ervaring met de kosten die jouw type organisatie kan verwachten.

De kosten van een ISO 27001 certificering lopen uiteen – van een paar duizend euro voor kleine organisaties die al veel geregeld hebben, tot tienduizenden euro’s voor grotere of complexere trajecten. Belangrijker nog: zie ISO 27001 niet als kostenpost, maar als investering in veiligheid, betrouwbaarheid en toekomstbestendigheid.

Wil je ISO 27001 implementeren of ben je benieuwd naar de exacte kosten voor jouw organisatie? Neem dan contact met ons op. We denken met je mee en maken vrijblijvend een offerte op maat. Zo weet je precies waar je aan toe bent. Ook voor het laten uitvoeren van een ISO 27001 interne audit ben je bij ons aan het juiste adres!