Informatiebeveiliging

Wat kost een ISO 27001 Certificering?

Je hebt waarschijnlijk de prangende vraag: "Hoeveel kost het om ISO 27001 gecertificeerd te worden?" In dit blog lees je alles over de verschillende soorten kosten die bij een ISO 27001 certificering komen kijken, de vergelijking tussen een consultant of het zelf in handen nemen en wat deze investering jouw organisatie oplevert.
Dit artikel is voor het laatst bijgewerkt op
9/12/2024

1. Implementatiekosten ISO 27001

Hoeveel kosten je naast tijd kwijt bent aan de implementatie van een ISO 27001 hangt af van verschillende factoren. Het begint met de huidige staat van informatiebeveiliging binnen jouw organisatie:

  • Heb je al beleid over de omgang met informatie?
  • Heb je al een managementsysteem met betrekking tot informatiebeveiliging?
  • Heb je al processen in kaart gebracht?

Ook factoren zoals bedrijfsgrootte en complexiteit spelen een rol. Dit wordt bepaald door het aantal medewerkers, vestigingen, producten en diensten, en de diversiteit van je processen. Grootte is niet per se een indicator van complexiteit; een klein bedrijf met meerdere processen kan net zo complex zijn.

Elke organisatie is anders en daarom bieden wij twee soorten implementatietrajecten aan:

Begeleidend implementatietraject

In dit traject bieden wij coaching en advies bij de implementatie van het managementsysteem en bijbehorende beleidsdocumenten.

Workload

Binnen jouw organisatie verwachten we ongeveer de volgende workload uitgedrukt in aantal uren per week. Let op: dit is een schatting.

Workload uren kosten begeleidend implementatietraject

Ontzorgend implementatietraject

In dit traject nemen wij de verantwoordelijkheid voor een succesvolle implementatie van jou volledig over. Onze consultant ontzorgd jouw organisatie en neemt je van A tot Z mee tijdens het traject.

Workload

Binnen jouw organisatie verwachten we ongeveer de volgende workload uitgedrukt in aantal uren per week. Let op: dit is een schatting.

Workload uren kosten ontzorgend implementatietraject

a) Technische Maatregelen

Om informatie te beveiligen, is het vrijwel altijd nodig om technische maatregelen te implementeren, zoals firewalls, antivirussoftware en toegangscontrolesystemen. Deze maatregelen brengen kosten met zich mee, zoals licenties, hardware en onderhoud.

b) Software

Naast technische maatregelen moeten organisaties vaak beveiligingssoftware aanschaffen en integreren. Het gaat niet alleen om de zichtbare kosten van softwarelicenties, maar ook om verborgen kosten, zoals de tijd en middelen die nodig zijn voor het implementeren.

c) Medewerkers

De ISO 27001 toetst ook of jouw medewerkers zich bewust zijn van het beleid en de veiligheidscontrols. Hiervoor is training nodig en dat kost tijd. Zowel voor de deelnemers als de trainer. Ook het management moet betrokken zijn bij het implementatieproces en tijd vrijmaken voor beleidsontwikkeling en naleving.

2. Audit Kosten ISO 27001

Om ISO 27001 gecertificeerd te raken moet het systeem geaudit worden. Eerst door middel van een interne audit, daarna met een externe audit en daarna met controleaudits.

Dit gaat volgens een 3-jaarlijkse cyclus. In jaar 1 heb je de interne audit, gevolgd door controle-audits in jaar 2 en 3. Dan, in jaar 4, komt de her-certificatieaudit. De her-certificatieaudit werkt weer op dezelfde manier als de audit om het certificaat in eerste instantie te verkrijgen.

Interne Audit: Interne audits zijn noodzakelijk om je ISO 27001-certificering te krijgen en te behouden. Dit verplichte onderdeel van de norm brengt kosten met zich mee zoals de tijd van je medewerkers en het zoeken naar een geschikte onafhankelijke auditor.

Externe Audit: Als je ISO 27001 implementeert, ontkom je niet aan een externe audit om certificering te behalen. Auditors zullen zorgvuldig controleren of je aan de norm voldoet en doen hier minimaal meerdere dagen over. De exacte kosten variëren, maar kunnen aanzienlijk zijn.

Controleaudit: De controleaudit is onderdeel van de auditcyclus voor ISO 27001 certificering. Tijdens deze audit wordt opnieuw gekeken naar de naleving van de norm, maar in tegenstelling tot de externe audit, is de controleaudit gericht op het bevestigen dat je nog steeds voldoet aan de ISO 27001 in de tussenliggende jaren tussen hercertificering. Deze audits vinden plaats in jaar 2 en 3 van de 3-jaarlijkse cyclus. De kosten van deze controleaudits liggen lager dan de externe audit.

De ISO omschrijft hoeveel tijd een audit mag duren, zonder uitzonderingen. Wel zijn er verlagende factoren zoals de leeftijd van het managementsysteem en het aantal fte. Wanneer er voldoende verlichtende factoren zijn, mag er maximaal 30% korting op de audittijd gegeven worden. Wij streven altijd naar deze 30%. Lees meer hierover in ons blog over de partnerschappen met Certificerende Instellingen.

3. Onderhoud van het managementsysteem

ISO 27001 is geen eenmalige inspanning. Het systeem moet voortdurend worden onderhouden en bijgewerkt om relevant te blijven. Dit betekent doorlopende kosten voor monitoring, rapportage en evaluatie. Een Security Officer is een paar uur tot een dag per week bezig met dit onderhoud. Ook dit ligt aan de omvang en complexiteit van jouw organisatie.

Bij Fendix merken we dat klanten dit liever door ons laten doen. Daarom neemt 98% na implementatie ook een onderhoudspakket af. Bij Fendix laat 98% van onze klanten na implementatie ook het onderhoud door ons doen. Hier hebben we verschillende pakketten voor, zie.

Vergelijking: Zelf Doen vs. Consultant

Bij het overwegen van ISO 27001-implementatie moet je de kosten van zelf doen versus het inhuren van een consultant evalueren. Hoewel zelf doen directe kosten kan besparen, is voor de meeste organisaties een consultant die al tientallen keren het volledige implementatie traject heeft doorlopen de investering dubbel en dwars waard.

Een consultant kan jouw organisatie veel tijd en stress besparen:

  • Templates
  • Expertise en eravring
  • Onafhankelijk beoordeling
  • Netwerk van experts

Als jouw organisatie ruimschoots tijd en middelen heeft, kun je zelf het initiatief nemen. In de praktijk zien wij dat dit vaak niet het geval is. Daarom bieden wij verschillende implementatietrajecten aan die aansluiten bij de behoeften van jouw organisatie. Wanneer jouw organisatie weinig tijd en budget heeft, is ons ontzorgend traject de beste keuze. Hiermee nemen we de verantwoordelijkheid voor het implementeren van de norm op ons. Als jouw organisatie meer betrokken wil zijn en bepaalde aspecten zelf wil aanpakken, sluit ons begeleidend traject aan.

Investering

Om te bepalen of een ISO 27001 de kosten waard is moet je ook kijken wat het jouw organisatie op de lange termijn oplevert. Onze klanten noemen de volgende voordelen van hun ISO.

  • Betere bescherming van gevoelige gegevens tegen bedreigingen en risico's
  • Verhoogd vertrouwen en reputatie bij klanten, partners en stakeholders
  • Wettelijke naleving zoals de AVG
  • Verbeterde interne processen

Wil je precies weten wat een ISO 27001 kost voor jouw organisatie: vraag een offerte aan of plan een vrijblijvende kennismaking.

Ontdek de juiste software voor jouw ISO-managementsysteem
Download gratis whitepaper
Kilian Houthuijzen
Commercieel Manager & Partner
085 773 60 05
Naar nieuwsoverzicht
KAM Certificeringen is nu Fendix

Wij zijn partner van