Kiest u ervoor om de ISO 27001-normen voor uw organisatie te implementeren? In dit artikel legt de mede-oprichter van IsoPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van de implementatie van ISO 27001. Zo weet je waar je aan begint en kun je dit project tot een succes maken!
De 3 voordelen van ISO 27001-certificering
Het belangrijkste voordeel van het behalen van een ISO 27001-certificering is dat u over het certificaat beschikt. Dat betekent dat u bijvoorbeeld aan nieuwe klanten die het belangrijk vinden dat u als leverancier goed met hun gegevens omgaat, kunt aantonen dat u goed omgaan met informatiebeveiliging. Het kan helpen dat u bij nieuwe klanten niet langer een uitgebreide checklist voor informatiebeveiliging hoeft in te vullen. Maar u kunt volstaan op vertoon van uw certificaat.
Certificering kan er ook voor zorgen internationaal zakendoen eenvoudiger omdat ISO een internationale organisatie is. En ISO 27001 is een internationaal erkend certificaat. Als u ook grensoverschrijdend zaken wilt doen, maakt het hebben van het certificaat dit een stuk eenvoudiger.
En misschien wel het belangrijkste voordeel: de implementatie van ISO 27001 zorgt ervoor dat u informatiebeveiliging veel serieuzer. Hoe goed je het als organisatie ook al doet, je zult merken dat door de implementatie van ISO 27001 het niveau van informatiebeveiliging een stuk beter wordt.
Lees ook: Voordelen van ISO 27001 voor cloudservicebedrijven
Hoe lang duurt het om ISO 27001-gecertificeerd te worden?
Hoe lang duurt het om ISO 27001-gecertificeerd te worden? Dat kan nogal variëren. Veel organisaties doen er minstens een jaar over. Andere organisaties kiezen ervoor om al het beschikbare mankracht in het project te steken. En dat doen ze in zes maanden.
Als u een toepassing gebruikt die u ook de documentatie biedt die u nodig hebt voor ISO 27001, kan dat al binnen drie maanden.
Lees ook: Stapsgewijze handleiding voor ISO 27001
Wat zijn de kosten van een ISO 27001-certificeringsproces?
Voor een ISO 27001-certificeringsproces heb je verschillende dingen nodig. Een van de dingen die je in ieder geval nodig hebt, is een certificeringsaudit. Een auditor controleert of uw organisatie voldoet aan de vereisten van ISO 27001.
Die kosten zijn sterk afhankelijk van de grootte van je organisatie. En ook over hoeveel vestigingen je organisatie heeft. Maar voor een kleine organisatie kun je rekenen op €15.000 in drie jaar.
Lees ook: Wat doet een ISO-certificeringsauditor?
Vervolgens kunt u ervoor kiezen om een consultant in te huren om u te helpen bij de implementatie van ISO 27001. Nogmaals, deze kosten kunnen aanzienlijk variëren. Maar als uitgangspunt kun je ongeveer €10.000 bedragen.
Tot slot wilt u misschien software gebruiken om uw processen te structureren. De kosten hiervan zijn over het algemeen beperkt. Voor slechts €1.500 per jaar kunt u goede beheersoftware krijgen.
Bovendien kunt u ervoor kiezen om een documentatiepakket aan te schaffen voor tussen de €2.000 en €4.000. Hiermee krijg je veel documentatie die je nodig hebt. Dit helpt u om de kosten van uw consultants te verlagen.
Lees ook: Tips voor risicobeheer van activa via ISO 27001
Wat is een ISMS?
ISMEN staat voor Information Security Management System. Het is de verzameling documentatie, taken en dingen die u vastlegt om te voldoen aan de vereisten van ISO 27001. ISMS is dus niet noodzakelijk software, het is niet noodzakelijk een specifieke toepassing.
Het kan bijvoorbeeld een combinatie zijn van documenten en taken die verspreid zijn over uw systeem. Maar dat alles samen vormt in feite uw ISMS.
U kunt er ook voor kiezen om software te gebruiken voor uw ISMS. Dat heeft als voordeel dat alle elementen bij elkaar worden gebracht. Zo hebt u op één plek een overzicht van uw beheersysteem voor informatiebeveiliging.
Lees ook: Wat zijn de voordelen van ISMS-software?
Uitdagingen bij de implementatie van ISO 27001
Wat komen organisaties het meest tegen bij de implementatie van ISO 27001? Eén is vooruitgang handhaven over het project. Een project kan behoorlijk lang duren, ongeveer tussen de 3 en 12 maanden. Je moet er dus voor zorgen dat je gedurende die tijd betrokken blijft en dat de vooruitgang wordt gehandhaafd.
Het tweede dat een uitdaging kan zijn bij de implementatie van ISO 27001, is waarbij al je medewerkers betrokken zijn die hierin een rol spelen. Zorg ervoor dat ze de informatie krijgen die ze nodig hebben en dat ze doen wat ze moeten doen.
Tot slot, als u eenmaal de ISO 27001-certificering hebt behaald, kan het een uitdaging zijn om blijf op de hoogte van de maatregelen daarna. Je moet controleren of het beleid wordt gevolgd. En of de zaken zijn ingericht zoals je hebt afgesproken.
Is het verplicht om alle ISO 27001-maatregelen te implementeren?
Zijn de maatregelen opgenomen in ISO 27001 verplicht om te implementeren? Het korte antwoord is: neen.
Volgens de ISO 27001-norm bent u verplicht een inventarisatie te maken van de risico's die uw organisatie bevat op het gebied van informatiebeveiliging. En neem vervolgens maatregelen om die risico's te beperken. Daarbij kunt u suggesties uit de lijst met maatregelen in ISO 27001 gebruiken om te beoordelen of u ze wel of niet kunt gebruiken.
U bent ook verplicht om aan te geven waarom u de specifieke maatregel uit die lijst uitvoert. Bijvoorbeeld omdat je een risico ontdekt, of omdat het een soort best practice is. Voor elke maatregel die u niet uitvoert, moet u ook aangeven waarom u deze niet uitvoert.
In theorie kun je er dus voor kiezen om niet al die maatregelen uit te voeren. En stel je eigen set van maatregelen samen en voer precies die uit. Allemaal met goede uitleg en onderbouwing.
Wat zijn de voordelen van het gebruik van voorbeelddocumentatie?
Wat zijn de voordelen van het gebruik van voorbeelddocumentatie bij de implementatie van ISO 27001? Het eerste voordeel is dat je bespaar veel tijd. Alle documenten die je nodig hebt voor ISO 27001 worden je ter beschikking gesteld, zodat je ze niet zelf hoeft te schrijven.
Je krijgt ook een structuur. Je documentatie bestaat niet alleen uit een lijst met documenten. Het wordt in een structuur geleverd, zodat u weet welke risico's bij welke maatregelen horen. En welk beleid bij welke maatregelen hoort. Alles wat daarmee samenhangt, is dus al aan elkaar gekoppeld. Dit geeft je een geweldig overzicht.
Het derde voordeel is dat u niet alleen tijd bespaart en een overzicht krijgt, maar dat u ook gemoedsrust. Omdat je een voorbeeld hebt waarvan je weet dat het al OK is. En je zult weten wanneer je de maatregel implementeert, dat het voldoende zal zijn. En je hoeft je nooit meer af te vragen: „Is dit genoeg?”
