Leestijd: 6 minuten

Wat zijn de kosten voor ISO 27001 certificering?

De kosten voor ISO 27001 verschillen per organisatie en hangen af van factoren zoals de huidige situatie, complexiteit en begeleiding. ISO 27001 wordt steeds belangrijker vanwege toenemende risico’s op datalekken en cybersecurity-eisen. Organisaties kunnen kiezen voor begeleiding door CAN om sneller en efficiënter te implementeren. Uiteindelijk is ISO 27001 een waardevolle investering in veiligheid en vertrouwen.

Kosten ISO 27001
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Innovatiemanager & Adviseur

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

De titel van dit blogartikel verraadt het al: we krijgen regelmatig de vraag gesteld ‘wat kost ISO 27001 certificering?’. Daar kunnen we kort over zijn: die vraag is helaas niet met één vast antwoord te beantwoorden. Een ISO 27001 traject is maatwerk. Dat neemt niet weg dat we in dit blogartikel wel uiteen kunnen zetten hoe de kostenstructuur is opgebouwd. Op die manier krijg je een indicatie van hetgeen dat er allemaal bij een ISO 27001 certificeringstraject komt kijken. Mochten er verdere vragen zijn, stel ze gerust. Wij helpen je graag op weg!

ISO 27001 kosten als investering in veiligheid en vertrouwen

Het implementeren en laten certificeren van een managementsysteem voor informatiebeveiliging is qua inspanningen wat complexer dan bijvoorbeeld ISO 9001 trajecten, vanwege het feit dat informatiebeveiliging veel technische en organisatorische aspecten kent. Om die reden brengt ISO 27001 ook een ander kostenplaatje met zich mee. Investeren in ISO 27001 is daarom een strategische keuze: je verkleint risico’s, vergroot je betrouwbaarheid én voldoet aan eisen van klanten, aanbestedingen of wetgeving.

De complexiteit met betrekking tot ISO 27001 komt mede doordat organisaties, onder andere door digitalisering, steeds afhankelijker worden van hun kennis en informatie, waardoor de risico’s ook groter worden. Informatiebeveiliging is echter meestal niet de kracht van een organisatie, terwijl de organisatorische en technische disciplines wel beheerst moeten worden, mét bewijs daarvan. Nieuwe kennis dus, die je jezelf eigen dient te maken en waarmee de organisatie nieuw aan de slag moet. En mogelijk een technische achterstand in beveiligingsmiddelen.

De investering in nieuwe apparatuur nemen we daarin even niet mee – die apparatuur wordt gekocht omdat hij nodig is voor het bedrijf, niet omdat er een managementsysteem geïntroduceerd wordt.

Doorgaans bekijkt het management van een organisatie of de kosten van die nieuwe werkwijze opwegen tegen de baten (minder incidenten, minder risico op datalek, professionele uitstraling en voldoen aan selectiecriteria). Wat is noodzakelijk? Wordt er gevraagd om een ISO 27001 certificering? Of kan het ook op een andere manier?

Allemaal afwegingen die het management moet doen. Het staat echter als een paal boven water dat je iets moet met informatiebeveiliging. Je wilt kwaadwillenden immers buiten de deur houden en borgen dat gevoelige informatie veilig is. Maar bedenk: zelfs als je een om puur commerciële redenen dit managementsysteem wilt introduceren en het certificaat wilt halen, is het resultaat een veiligere en professionelere organisatie. Wij zien de implementatie van ISO 27001 om die reden dan ook als een investering in plaats van een kostenpost.

Wat bepaalt de kosten van ISO 27001 certificering?

De kosten van een ISO 27001 certificering zijn maatwerk en afhankelijk van meerdere factoren:

  • Huidige situatie: Heb je al veel geregeld op gebied van informatiebeveiliging?
  • Bestaande certificaten: Heb je al een ISO 9001 of andere ISO-norm? Dan sluit de structuur vaak goed aan en scheelt dat werk.
  • Procesinrichting: Zijn je processen al in kaart gebracht of begin je from scratch?
  • Bedrijfsgrootte en complexiteit: Aantal medewerkers, locaties, diensten en processen hebben allemaal invloed op het traject.

Allemaal zaken die van invloed zijn op de uiteindelijke bepaling van de kosten voor ISO 27001 certificering. Naast bovenstaande factoren, spelen ook zaken als bedrijfsgrootte en complexiteit van de organisatie en bijbehorende processen een rol. Om te bepalen hoe complex een organisatie in elkaar zit, wordt gekeken naar het aantal medewerkers, het aantal vestigingen, het aantal producten en diensten en de verschillende processen. Daarbij is het niet per definitie zo dat een groot bedrijf automatisch een groter traject moet doorlopen. Een kleine organisatie met complexe processen kan dus duurder uit zijn dan een grotere organisatie met één duidelijke dienst.

Zelf doen of begeleiding inschakelen?

Je kunt ISO 27001 helemaal zelf implementeren, maar dat kost vaak veel interne tijd en energie – zeker als kennis ontbreekt. Kies je voor begeleiding van een adviesbureau zoals CertificeringsAdvies Nederland? Dan ben je meestal sneller, effectiever én goedkoper uit als je interne uren meerekent.

“Ga niet als een kip zonder kop aan de slag!”

Thijs Baars van onze klant Fastned over zijn ervaringen met CertificeringsAdvies Nederland: “Gelukkig hebben we voor het gehele traject de begeleiding ingeschakeld van CertificeringsAdvies Nederland, want zonder hen waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval hadden we niet zonder hen kunnen doen.”
Wil je het hele verhaal lezen? Bekijk dan de Fastned klantcase.

Wanneer je ervoor kiest om je te laten ondersteunen door een adviesbureau dan kan dat op verschillende manieren. Bij CertificeringsAdvies Nederland bieden we bijvoorbeeld twee varianten ondersteuning aan:

  • een coachende variant, waarbij de adviseur op hoofdlijnen de organisatie coacht;
  • een uitvoerende variant waarbij de adviseur je, naast coaching, ook veel werk uit handen neemt.

Hoe intensiever de begeleiding, des te hoger de externe kosten – en hoe lager de interne kosten.

“CAN voelde als verlengstuk van ons team.”

Martijn Stuart – Infield ICT

ISO 27001 certificering kosten voor de audit

Het adviesbureau dat je ondersteunt op weg naar ISO 27001 certificering, kan het einde van het traject ook de interne audit voor je verzorgen. Daarbij toetst een kundige adviseur of je voldoet aan alle eisen en richtlijnen die vanuit de norm gevraagd worden. Uiteindelijk ontvang je een intern auditrapport met daarin eventuele verbeterpunten. Zo kun je de puntjes op de i zetten en ben je klaar voor de certificeringsaudit (externe audit).

Een externe audit is verplicht als je wilt certificeren voor ISO 27001. Om een externe audit uit te laten voeren is het noodzakelijk om een Certificerende Instantie (CI) in te schakelen. Een dergelijke instantie is namelijk bevoegd om dit soort audits uit te voeren. Er zijn verschillende CI’s die een audit uit kunnen voeren. De aanpak en kosten verschillen daarin per CI. Wel zullen ze allemaal een traject van 3 jaar aanbieden (1 certificatiecyclus). Vraag daarom altijd een aantal offertes op bij diverse partijen. CertificeringsAdvies Nederland helpt organisaties bij de selectie van een passende certificeerder. Wij hebben ervaring met de kosten die jouw type organisatie kan verwachten.

Kosten ISO 27001 certificering

Conclusie: wat kost ISO 27001 nou echt?

De kosten van een ISO 27001 certificering lopen uiteen – van een paar duizend euro voor kleine organisaties die al veel geregeld hebben, tot tienduizenden euro’s voor grotere of complexere trajecten. Belangrijker nog: zie ISO 27001 niet als kostenpost, maar als investering in veiligheid, betrouwbaarheid en toekomstbestendigheid.

Veelgestelde vragen over ISO 27001

Ondersteuning nodig bij ISO 27001?

Wil je ISO 27001 implementeren of ben je benieuwd naar de exacte kosten voor jouw organisatie? Neem dan contact met ons op. We denken met je mee en maken vrijblijvend een offerte op maat. Zo weet je precies waar je aan toe bent. Ook voor het laten uitvoeren van een ISO 27001 interne audit ben je bij ons aan het juiste adres!

Download Informatiegids ISO 27001

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Innovatiemanager & Adviseur

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Weten wat ISO 27001 kost en direct starten?

Voldoe net als 500+ andere organisaties aan de eisen!

  • Voorkom risico op boetes
  • Voldoe aan de wet- en regelgeving
  • Vrijblijvende offerte op maat

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields