Experttips voor ISO 27001 implementatie

december 11, 2023

security island

Kies jij ervoor om voor jouw organisatie de ISO 27001 normen te implementeren? In dit artikel legt co-founder van ISOPlanner Ivar van Duuren je alles uit over de voordelen, de uitdagingen, de duur en de kosten van implementatie van ISO 27001. Zodat je weet waar je aan begint en van dit project een succes kan maken!

De 3 voordelen van ISO 27001 certificering

Het belangrijkste voordeel van het halen van een ISO 27001 certificering is allereerst dat je het certificaat hebt. Want dat betekent dat je kan aantonen, ook richting bijvoorbeeld nieuwe klanten die het belangrijk vinden dat jij als leverancier goed omgaat met hun data, dat je goed omgaat met informatiebeveiliging.Daarbij kan het schelen dat je bij zo'n nieuwe klant misschien niet meer een uitgebreide informatiebeveiliging checklist hoeft in te vullen. Maar kan voldoen met het tonen van je certificaat.

Daaraan gerelateerd kan het ook het internationaal zakendoen makkelijker maken, want ISO is natuurlijk een internationale organisatie. En ISO 27001 is een internationaal erkend certificaat. Dus als je ook over de grens wilt ondernemen, kan het hebben van het certificaat dat een stuk makkelijker maken.

And, perhaps the most important benefit: implementing ISO 27001 makes you take information security much more seriously. No matter how well you are already doing as an organization, you will find that by implementing ISO 27001, the level of information security gets a whole lot better.

Lees ook: Voordelen van ISO 27001 voor cloud service bedrijven

Hoe lang duurt een ISO 27001 certificeringtraject?

Hoe lang duurt een ISO 27001 certificeringstraject? Dat kan behoorlijk verschillen. Veel organisaties doen daar zeker wel een jaar over. Andere organisaties zeggen: hier zetten we alle mensen op die we beschikbaar hebben. En die doen het dan in een half jaar.

Maak je nou gebruik van een applicatie die jou ook de documentatie aanlevert die je nodig hebt voor ISO 27001, dan kan het zo snel gaan als binnen drie maanden.

Lees ook: Stappenplan ISO 27001 certificering

Wat zijn de kosten van een ISO 27001 certificeringstraject?

Voor een ISO 27001 certificeringstraject heb je een aantal dingen nodig. Eén van de dingen die je in ieder geval nodig hebt is een certificatie-audit. Dus iemand die komt controleren of jij als organisatie voldoet aan de eisen van ISO 27001.

De kosten daarvan, die hangen natuurlijk erg af van de grootte van de organisatie. En ook van de vraag hoeveel vestigingen je als organisatie hebt. Maar voor een kleine organisatie moet je toch al snel rekenen met €15.000 over de periode van drie jaar.

Lees ook: Wat doet een auditor bij ISO certificering?

Daarnaast kun je ervoor kiezen om een consultant in te huren die jou gaat helpen bij de implementatie van ISO 27001. Ook daarvan kunnen de kosten natuurlijk behoorlijk variëren. Maar als uitgangspunt kun je rekenen met zo'n €10.000.

Tot slot wil je misschien software gebruiken die je helpt structuur aan te brengen. De kosten daarvan zijn over het algemeen beperkt. Je kunt al voor €1.500 per jaar goede managementsoftware krijgen.

En daarbinnen zou je ervoor kunnen kiezen om met die software ook een pakket aan documentatie aan te schaffen voor tussen de €2.000 - €4.000. Waarmee je heel veel documentatie krijgt die je nodig hebt. En waarmee je ook weer op een groot deel van de consultantskosten bespaart.

Lees ook: Tips bij risicobeheersing van bedrijfsmiddelen door ISO 27001

Wat is een ISMS?

ISMS staat voor Information Security Management System. En het is eigenlijk het geheel aan documentatie en taken en dingen die je vastlegt, waarmee je invulling geeft aan de eisen van ISO 27001. Dus ISMS is niet per se software, het is niet per se een bepaalde applicatie.

Het kan bijvoorbeeld een combinatie zijn van documenten en taken die verspreid zitten in je systeem. Maar dat geheel samen vormt dus eigenlijk je ISMS.

Je kunt er ook voor kiezen om software te gebruiken voor je ISMS. En dat heeft als voordeel dat je alle elementen samenbrengt. En dat je dus op één plek een overzicht hebt van je managementsysteem voor informatiebeveiliging.

Lees ook: Wat zijn de voordelen van ISMS-software?

Uitdagingen bij ISO 27001 implementatie

Waar lopen organisaties het meeste tegenaan bij het implementeren van ISO 27001? Eén is het behouden van voortgang in het project. Een project kan best wel een tijd duren, tussen de 3-12 maanden ruim genomen. Dus je moet ervoor zorgen dat je in die periode betrokken blijft en dat de voortgang behouden blijft. Dat kan heel lastig zijn.

Het tweede wat lastig kan zijn bij de implementatie van ISO 27001 is het betrekken van al je medewerkers die hier een rol in spelen. Zorgen dat ze de informatie krijgen die ze nodig hebben, dat ze doen wat ze moeten doen.

En tot slot, als je dan eenmaal het ISO 27001 certificaat gehaald hebt, dan kan het een uitdaging zijn om daarna de maatregelen bij te houden. Je moet controleren of beleid gevolgd wordt. Of technische dingen ingeregeld zijn zoals je hebt afgesproken. En om daar ook de voortgang in te houden, dat is een derde punt wat soms lastig is voor organisaties.

Moet je alle ISO 27001 maatregelen verplicht invoeren?

Zijn de maatregelen die zijn opgenomen in ISO 27001 verplicht te implementeren? Het korte antwoord is: nee.

Wat je verplicht bent te doen vanuit ISO 27001 is te bekijken welke risico's jij als organisatie ziet op het gebied van informatiebeveiliging. En vervolgens maatregelen nemen om die risico's te beperken. En daarbij is de suggestie dat je kijkt naar de lijst van maatregelen die zijn opgenomen in ISO 27001 om te beoordelen of je die kunt gebruiken.

Wat daarbij ook verplicht is, is aangeven waarom je de maatregel uit die lijst implementeert. Bijvoorbeeld omdat je een risico ziet, of omdat het een soort best practice is. En ook voor elke maatregel die je niet implementeert, ben je verplicht aan te geven waarom je die niet implementeert.

Maar in theorie kun je er dus voor kiezen om al die maatregelen niet te implementeren. En je eigen set van maatregelen samen te stellen en juist die te implementeren.

Wat zijn de voordelen van het gebruik van voorbeelddocumentatie?

Wat zijn de voordelen van het gebruik van voorbeelddocumentatie bij het implementeren van ISO 27001? Het eerste voordeel is dat je gewoon heel veel tijd bespaart. Want alle documenten die je nodig hebt voor ISO 27001 krijg je gewoon aangeleverd en die hoef je dus niet zelf te schrijven.

Dus tijd is een belangrijk voordeel. Wat je daarbij ook krijgt, is heel veel structuur. Dus die documentatie, en als je een goed pakket hebt, is dat niet gewoon een simpel lijstje met documenten. Maar is dat ook documentatie die in een structuur wordt aangeleverd. Waarbij je bijvoorbeeld weet welke voorbeeldrisico's horen bij welke maatregelen? Welk beleid hoort bij welke maatregelen? Dus alles wat bij elkaar hoort, is dan al aan elkaar gekoppeld. En dat geeft heel veel overzicht.

Het derde voordeel is dat je niet alleen tijd bespaart en dat overzicht hebt, maar ook heel veel rust. Omdat je een voorbeeld hebt waarvan je weet dat het al OK is. Dus je weet dat als we dit nou gewoon doen, dan is het voldoende. Je hoeft je dus nooit meer af te vragen: "Is dit eigenlijk wel genoeg?"

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over ISO 27001 certificatie?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

Overweegt u uw organisatie te certificeren voor een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner de meest gestelde vragen over ISO-certificering. 1. Wie zijn verantwoordelijk voor de implementatie van ISO...

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten