top of page
Keyboard and Mouse
logo-2.png
Zoeken

Wat kost ISO 27001 certificering?

  • 25 nov 2020
  • 2 minuten om te lezen

Bijgewerkt op: 5 jan 2021


De investering voor een ISO 27001 certificaat bestaat uit een aantal componenten, zoals:


1) Advies en begeleiding

2) Arbeid van medewerkers

3) Software

4) Audits voor certificering



Advies en begeleiding

Als de organisatie de kennis zelf niet in huis heeft, is het verstandig om begeleiding in te huren voor het opzetten van een Information Security Management System (ISMS). Goede begeleiding zorgt dat de organisatie geen tijd verspilt en direct de juiste prioriteiten stelt.

Arbeid van medewerkers

De medewerkers van de organisatie moeten zelf ook tijd investeren in de opzet van het ISMS. Bijvoorbeeld voor het deelnemen aan vergaderingen, schrijven van beleid of het implementeren van beheersmaatregelen. Vaak wordt er een vast team samengesteld die allemaal een aantal uur in de week in het traject investeren.

Software

Er zijn geen eisen m.b.t. het gebruik van software voor de implementatie van een ISMS. Dat kan bijvoorbeeld met Microsoft 365, Google Suite of Confluence. Afhankelijk van de situatie kan de organisatie er echter ook voor kiezen om specifieke ISMS software aan te schaffen. Daarnaast is het wellicht nodig om aanvullende software in te kopen voor de implementatie van beheersmaatregelen, zoals monitoring, anti-malware, back-up en vulnerability tests. Uiteraard kan ook bestaande software zo veel mogelijk ingezet worden.

Audits voor certificering

Het ISO 27001 certificaat wordt uiteindelijk uitgegeven door een daarvoor geaccrediteerde instantie. Deze instantie voert audits uit op basis van een driejaarlijkse cyclus die er globaal als volgt uit ziet:

  • Jaar 1: Initiële audit voor certificering

  • Jaar 2: Surveillance audit

  • Jaar 3: Surveillance audit

  • Jaar 4: Audit voor hercertificering

De initiële audit het eerste jaar is veelal de meest omvangrijke audit. Daarin wordt vastgesteld of de organisatie voldoet aan de gehele ISO 27001 norm. In het tweede en derde jaar vinden surveillance audits plaats. Tijdens deze minder omvangrijke tussentijdse audits wordt gecontroleerd of het ISMS nog steeds goed functioneert. In het vierde jaar begint de cyclus opnieuw. De audit voor hercertificering is vergelijkbaar met die van de initiële audit. Het aantal dagen dat de verschillende audits duren, hangt af van verschillende factoren, zoals:

  • Het aantal medewerkers (FTE) van de organisatie.

  • De scope waar de certificering betrekking op heeft.

  • Het aantal fysieke locaties die binnen de scope vallen.

  • De complexiteit van het ISMS.

Op basis van de bovenstaande factoren kan Compliance Agency in overleg een prijsindicatie opstellen voor het gehele traject.

 
 
 

Comments

Commenting has been turned off.
bottom of page