Wat zijn de kosten voor ISO 27001 certificering?

De titel van dit blogartikel verraadt het al: we krijgen regelmatig de vraag gesteld ‘wat zijn de kosten voor ISO 27001 certificering?’. Daar kunnen we kort over zijn: die vraag is helaas niet met één vast antwoord te beantwoorden. Een ISO 27001 traject is maatwerk. Dat neemt niet weg dat we in dit blogartikel wel uiteen kunnen zetten hoe de kostenstructuur is opgebouwd. Op die manier krijg je een indicatie van hetgeen dat er allemaal bij een ISO 27001 certificeringstraject komt kijken. Mochten er verdere vragen zijn, stel ze gerust. Wij helpen je graag op weg!

Het implementeren en laten certificeren van een managementsysteem voor informatiebeveiliging is qua inspanningen wat complexer dan bijvoorbeeld ISO 9001 trajecten. Daardoor brengt ISO 27001 ook een ander kostenplaatje met zich mee.

Die complexiteit komt mede doordat organisaties, onder andere door digitalisering, steeds afhankelijker worden van hun kennis en informatie, waardoor de risico’s ook groter worden. Informatiebeveiliging is echter meestal niet de kracht van een organisatie, terwijl de organisatorische en technische disciplines wel beheerst moeten worden, mét bewijs daarvan. Nieuwe kennis dus, die je jezelf eigen dient te maken en waarmee de organisatie nieuw aan de slag moet. En mogelijk een technische achterstand in beveiligingsmiddelen.

De investering in nieuwe apparatuur nemen we daarin even niet mee – die apparatuur wordt gekocht omdat hij nodig is voor het bedrijf, niet omdat er een managementsysteem geïntroduceerd wordt.

Doorgaans bekijkt het management van een organisatie of de kosten van die nieuwe werkwijze opwegen tegen de baten (minder incidenten, minder risico op datalek, professionele uitstraling en voldoen aan selectiecriteria). Wat is noodzakelijk? Wordt er gevraagd om een ISO 27001 certificering? Of kan het ook op een andere manier?

Allemaal afwegingen die het management moet doen. Het staat echter als een paal boven water dat je iets moet met informatiebeveiliging. Je wilt kwaadwillenden immers buiten de deur houden en borgen dat gevoelige informatie veilig is. Maar bedenk: zelfs als je een om puur commerciële redenen dit managementsysteem wilt introduceren en het certificaat wilt halen, is het resultaat een veiligere en professionelere organisatie. Wij zien de implementatie van ISO 27001 om die reden dan ook als een investering in plaats van een kostenpost.

De kosten van een ISO 27001 certificering worden bepaald aan de hand van een aantal factoren. Wanneer je naar de ISO 27001 certificering kosten kijkt, dan speelt daarin allereerst mee wat je als organisatie reeds geïmplementeerd hebt op het gebied van informatiebeveiliging:

Allemaal zaken die van invloed zijn op de uiteindelijke bepaling van de kosten voor ISO 27001 certificering. Je kunt je namelijk voorstellen dat het makkelijker wordt als er al e.e.a. is ingeregeld, dan wanneer je alles vanaf de basis op moet gaan zetten.

Naast bovenstaande factoren, spelen ook zaken als bedrijfsgrootte en complexiteit van de organisatie en bijbehorende processen een rol. Om te bepalen hoe complex een organisatie in elkaar zit, wordt gekeken naar het aantal medewerkers, het aantal vestigingen, het aantal producten en diensten en de verschillende processen. Daarbij is het niet per definitie zo dat een groot bedrijf automatisch een groter traject moet doorlopen. Een klein bedrijf met meerdere processen en producten kan dus complexer in elkaar zitten.

Wanneer je met ISO 27001 aan de slag gaat kun je ervoor kiezen om het volledig zelf te doen, maar je kunt er ook een adviesbureau voor in de arm nemen. Het adviesbureau heeft ervaring, is doeltreffender en helpt je snel op weg. Bovendien kan het adviesbureau je werk uit handen nemen. Wanneer je namelijk alles intern doet, maar je niet voldoende kennis hebt dan kost dat juist relatief meer uren van je eigen mensen, en dus geld, dan wanneer je het uitbesteedt.

Wanneer je ervoor kiest om je te laten ondersteunen door een adviesbureau dan kan dat op verschillende manieren. Bij CertificeringsAdvies Nederland bieden we bijvoorbeeld twee varianten ondersteuning aan: een coachende variant, waarbij de adviseur op hoofdlijnen de organisatie coacht, en een uitvoerende variant waarbij de adviseur je, naast coaching, ook veel werk uit handen neemt. Hoe intensiever de begeleiding, des te hoger de externe kosten – en hoe lager de interne kosten.

Het adviesbureau dat je ondersteunt op weg naar ISO 27001 certificering, kan het einde van het traject ook de interne audit voor je verzorgen. Daarbij toetst een kundige adviseur of je voldoet aan alle eisen en richtlijnen die vanuit de norm gevraagd worden. Uiteindelijk ontvang je een intern auditrapport met daarin eventuele verbeterpunten. Zo kun je de puntjes op de i zetten en ben je klaar voor de certificeringsaudit (externe audit).

Een externe audit is verplicht als je wilt certificeren voor ISO 27001. Om een externe audit uit te laten voeren is het noodzakelijk om een Certificerende Instantie (CI) in te schakelen. Een dergelijke instantie is namelijk bevoegd om dit soort audits uit te voeren. Er zijn verschillende CI’s die een audit uit kunnen voeren. De aanpak en kosten verschillen daarin per CI. Wel zullen ze allemaal een traject van 3 jaar aanbieden (1 certificatiecyclus). Vraag daarom altijd een aantal offertes op bij diverse partijen. CertificeringsAdvies Nederland helpt organisaties bij de selectie van een passende certificeerder. Wij hebben ervaring met de kosten die jouw type organisatie kan verwachten.

Wil je aan de slag met ISO 27001, de norm voor informatiebeveiliging, en kun je daarbij wel wat ondersteuning gebruiken? Neem dan gerust contact met ons op. Wij helpen je graag op weg en vertellen je graag meer over de mogelijkheden. Uiteraard stellen we ook met plezier een offerte voor je op, zodat je wel een exact bedrag hebt voor de advieskosten. Ook voor het laten uitvoeren van een ISO 27001 interne audit ben je bij ons aan het juiste adres!