Certificering voor ISO 27001

Het opzetten van een managementsysteem voor informatiebeveiliging is vaak een eerste stap richting de ISO 27001 certificering van een organisatie. Mogelijk heeft u hiertoe al gebruik gemaakt van de checklist om het gevoerde beleid op dit punt na te lopen. Uiteindelijk gaat het er om dat de juiste informatie in het beleid is opgenomen en dat dit beleid is getoetst via een interne audit.

De volgende stap in het certificeringsproces, is de aanvraag van de certificering bij een daartoe bevoegde, onafhankelijk instelling. Een externe auditor zal in uw organisatie een audit uitvoeren waarbij wordt gekeken of uw organisatie voldoet aan de gestelde eisen. De vragen die nu centraal staan zijn de volgende:

  • Wat kost de uiteindelijke certificering?
  • Hoe ziet de ISO 27001 audit er uit?

Het kostenplaatje voor ISO 27001 certificering

Voor uw organisatie toe is aan de feitelijke aanvraag tot certificering, is het belangrijk om een helder beeld te hebben van het totale kostenplaatje. Een aantal elementen zijn hierbij van belang.

1. De grootste kostenpost is niet de certificering op zich, maar in de implementatie van het managementsysteem voor informatiebeveiliging. Zo moet dit systeem worden opgezet, dient er onderzoek te worden gedaan en moeten er mogelijk maatregelen genomen worden om de functionaliteit te waarborgen. Daarnaast dient dit systeem ook continu verbeterd worden.

2. Een deel van de kosten, zo’n 10 – 20% bestaat uit kosten voor de certificering van het managementsysteem voor informatiebeveiliging. Ook de kosten voor het behoud van het certificaat en de afdracht- en registratiekosten komen er bij.

3. Indien uw organisatie onverhoopt niet voldoet aan de gestelde eisen, dan moet u binnen uw organisatie werk maken van de feedback die u van de externe auditor ontvangt. Deze auditor zal dan op een later te bepalen tijd nogmaals een audit uitvoeren. De certificerende instelling kan hiervoor extra kosten rekenen. Alhoewel het natuurlijk niet te hopen is dat dit het geval is, kan het raadzaam zijn om hier rekening mee te houden.

4. Eventuele kosten voor training en bijscholing

Wat kunt u van een ISO 27001 audit verwachten?

Indien uw organisatie een ISO 27001 certificering aanvraagt, zal er getoetst worden of de organisatie aan de vereisten voor de certificering voldoet. Aan de hand van drie stappen zal uw managementsysteem voor informatiebeveiliging, via een audit worden getoetst.

Stap 1: het vooronderzoek

De eerste stap bestaat uit een vooronderzoek. Hierbij zal de auditor een antwoord proberen te krijgen op de vraag of uw organisatie klaar is voor de audit. Zo is er specifieke aandacht voor uw managementsysteem voor informatiebeveiliging en wordt er bepaald of alle noodzakelijke onderdelen aanwezig zijn. Vragen die door de auditor zullen worden gesteld zijn de volgende:

  • Is er een statement of applicability?
  • Heeft de organisatie de risicoanalyse op de juiste manier uitgevoerd?
  • Zijn de gewenste maatregelen goed gedocumenteerd?

Als deze vragen positief worden beantwoord, kan de audit worden gepland.

Stap 2: de audit

De implementatie van het managementsysteem voor informatiebeveiliging zal tijdens de audit worden gecontroleerd op juistheid. In deze stap gaat het om het krijgen van een totaal beeld. Zo is niet alleen gekeken naar de aanwezige documentatie, maar wordt de gehele onderneming cq organisatie doorgelicht om te achterhalen of men voldoet aan de gestelde eisen. Als de audit is voltooid ontvang u een rapportage. Hierin wordt vermeld of de organisatie voldoet aan de ISO 27001 vereisten. Indien dit laatste niet het geval is, krijgt uw organisatie twee maanden de tijd om veranderingen door te voeren.

Stap 3: ISO 27001 certificering

Indien uit de audit blijkt dat uw organisatie beschikt over een managementsysteem voor informatiebeveiliging dat wel voldoet aan de ISO 27001 eisen, dan volgt er een positief advies. Binnen een tijdsbestek van enkele weken ontvangt u het auditrapport en de bijbehorende certificering.

De ISO 27001 certificatiecyclus

Een ISO 27001 certificaat heeft geen onbeperkte geldigheid. Na drie jaar is de certificering verlopen en zal uw organisatie een nieuwe certificering moeten aanvragen. Naast deze hernieuwde certificering, wordt er jaarlijks een controle uitgevoerd ter controle van de certificeringseisen van het informatiebeveiligingssysteem.