Certificeren voor ISO 27001
U bent druk bezig geweest met het opzetten van een managementsysteem voor informatiebeveiliging in uw organisatie en denkt klaar te zijn voor ISO 27001 certificering. Wellicht heeft u onze checklist gebruikt om te toetsen of u alle juiste informatie heeft opgenomen in uw beleid en heeft u interne audits uitgevoerd om uw beleid te toetsen.
De volgende stap is het aanvragen van certificatie bij een onafhankelijke instelling. Om te toetsen of u aan alle eisen voldoet, komt een externe auditor bij uw organisatie een audit uitvoeren. Wat kost certificering nu en wat kunt u verwachten van een audit?
Wat zijn de kosten van certificeren?
Voordat u certificering aanvraagt, wilt u natuurlijk eerst scherp hebben hoeveel ISO 27001 certificering kost. De totstandkoming van kosten voor het behalen van het certificaat hangt af van de volgende elementen:
- Het overgrote deel van de kosten van ISO 27001 certificering zitten niet in de certificering zelf, maar in het implementeren van een managementsysteem voor informatiebeveiliging. Dit systeem moet worden opgezet, er moet onderzoek worden gedaan en er moeten maatregelen worden genomen. Bovendien moet dit systeem continu aangescherpt worden.
- Kosten voor het laten certificeren van uw managementsysteem voor informatiebeveiliging, het behouden van het certificaat en registratie- en afdrachtskosten. Dit beslaat echter slechts 10 tot 20% van de totale kosten.
- Mocht uw informatiebeveiligingssysteem niet voldoen aan alle eisen, dan dient u met de feedback van de auditor aan de slag te gaan. Een auditor komt u in dit geval later mogelijk nog eens beoordelen. Sommige certificerende instellingen brengen hiervoor extra kosten in rekening. Een belangrijke kostenpost waar u rekening mee dient te houden bij uw keuze voor een certificatie-instelling.
- Mogelijke kosten voor training en bijscholing.
Wat kunt u van een ISO 27001 audit verwachten?
Wanneer u een ISO 27001 certificaat aanvraagt bij een certificatie-instelling zal worden getoetst of uw organisatie aan alle vereisten voldoet. Een auditor zal uw managementsysteem voor informatiebeveiliging toetsen aan de hand van drie stappen:
- Stap 1: het vooronderzoek
Allereerst zal er een vooronderzoek gedaan worden. Gedurende deze fase zal de auditor controleren of uw organisatie klaar is voor de audit. In deze fase kijkt de auditor naar uw managementsysteem voor informatiebeveiliging en controleert of alle benodigde onderdelen aanwezig zijn. Is er een statement of applicability? Heeft de organisatie de risicoanalyse juist uitgevoerd? Zijn de juiste maatregelen gedocumenteerd? Indien alles in orde is, wordt de audit gepland. - Stap 2: de audit
Tijdens de audit wordt gecontroleerd of het managementsysteem voor informatiebeveiliging goed is geïmplementeerd in uw organisatie. Hierbij wordt niet alleen de documentatie opnieuw gecontroleerd, maar loopt de auditor ook door uw bedrijf heen om te controleren of u aan alle eisen voldoet. Aan het einde van de audit ontvangt u een rapport. Hierin staat of u wel of niet aan alle ISO 27001 certificeringseisen voldoet. Is dit niet het geval? Dan krijgt u twee maanden te tijd om de benodigde veranderingen door te voeren binnen uw organisatie. - Stap 3: certificering
Voldoet uw managementsysteem voor informatiebeveiliging wel aan alle ISO 27001 eisen dan krijgt u een positief advies van de auditor. Hierop volgend, ontvangt u binnen enkele weken het auditrapport en de certificering.
De certificatiecyclus
Het ISO 27001 certificaat is drie jaar geldig. Na drie jaar moet u opnieuw op voor certificering. Ook wordt er jaarlijks een controle uitgevoerd om te toetsen of uw informatiebeveiligingssysteem nog voldoet aan alle certificeringseisen.
Bent u al gecertificeerd voor ISO 27001? Dan volgt na drie jaar een hercertificering. Hierin moet u opnieuw alle stappen van het certificeringsproces doorlopen.
Stel uw vraag over ISO 27001
- Wat zijn voordelen van het behalen van het ISO 27001 certificaat?
- Hoe zorgt u dat u voldoet aan alle certificeringseisen?
- Hoe bereid u zich voor op een audit?
In een vrijblijvend gesprek leggen onze TÜV-specialisten uit welke stappen u moet zetten om tot ISO 27001 certificering te komen. Zo weet u zeker dat u goed voorbereid bent op een audit. Stel uw vraag aan een specialist.
Certificering van managementsystemen, keurmerken en andere schema's
TÜV Nederland
Tel.: 0499 - 339 525