Certificeren voor ISO 27001

Voordat u certificering aanvraagt, wilt u natuurlijk eerst scherp hebben hoeveel ISO 27001 certificering kost. De totstandkoming van kosten voor het behalen van het certificaat hangt af van de volgende elementen:

• Het overgrote deel van de kosten van ISO 27001 certificering zitten niet in de certificering zelf, maar in het implementeren van een managementsysteem voor informatiebeveiliging. Dit systeem moet worden opgezet, er moet onderzoek worden gedaan en er moeten maatregelen worden genomen. Bovendien moet dit systeem continu aangescherpt worden.
• Kosten voor het laten certificeren van uw managementsysteem voor informatiebeveiliging, het behouden van het certificaat en registratie- en afdrachtskosten. Dit beslaat echter slechts 10 tot 20% van de totale kosten.
• Mocht uw informatiebeveiligingssysteem niet voldoen aan alle eisen, dan dient u met de feedback van de auditor aan de slag te gaan. Een auditor komt u in dit geval later mogelijk nog eens beoordelen. Sommige certificerende instellingen brengen hiervoor extra kosten in rekening. Een belangrijke kostenpost waar u rekening mee dient te houden bij uw keuze voor een certificatie-instelling.
• Mogelijke kosten voor training en bijscholing.

Wanneer u een ISO 27001 certificaat aanvraagt bij een certificatie-instelling zal worden getoetst of uw organisatie aan alle vereisten voldoet. Een auditor zal uw managementsysteem voor informatiebeveiliging toetsen aan de hand van drie stappen:

• Stap 1: het vooronderzoek
  Allereerst zal er een vooronderzoek gedaan worden. Gedurende deze fase zal de auditor controleren of uw organisatie klaar is voor de audit. In deze fase kijkt de auditor naar uw managementsysteem voor informatiebeveiliging en controleert of alle benodigde onderdelen aanwezig zijn. Is er een statement of applicability? Heeft de organisatie de risicoanalyse juist uitgevoerd? Zijn de juiste maatregelen gedocumenteerd? Indien alles in orde is, wordt de audit gepland.
• Stap 2: de audit
  Tijdens de audit wordt gecontroleerd of het managementsysteem voor informatiebeveiliging goed is geïmplementeerd in uw organisatie. Hierbij wordt niet alleen de documentatie opnieuw gecontroleerd, maar loopt de auditor ook door uw bedrijf heen om te controleren of u aan alle eisen voldoet. Aan het einde van de audit ontvangt u een rapport. Hierin staat of u wel of niet aan alle ISO 27001 certificeringseisen voldoet. Is dit niet het geval? Dan krijgt u twee maanden te tijd om de benodigde veranderingen door te voeren binnen uw organisatie.
• Stap 3: certificering
  Voldoet uw managementsysteem voor informatiebeveiliging wel aan alle ISO 27001 eisen dan krijgt u een positief advies van de auditor. Hierop volgend, ontvangt u binnen enkele weken het auditrapport en de certificering.