ISO 27001: wat zijn de kosten en doorlooptijd?

Je bent eigenaar van een bedrijf of misschien wel de IT-manager die nu voor een grote klus staat: informatiebeveiliging op orde brengen. Je hebt vast al gehoord van ISO 27001. Het is de wereldwijde standaard voor het beveiligen van gegevens. De hamvraag is natuurlijk: hoeveel tijd en geld gaat dit kosten? Een simpele prijs geven is onmogelijk, omdat het afhangt van de grootte van je bedrijf en hoeveel werk je al hebt verzet. We duiken in de cijfers en de kalender.

Waarom is ISO 27001 eigenlijk belangrijk?

Stel je voor dat je bedrijf een kluis is. Je wilt niet dat zomaar iedereen de sleutel heeft. ISO 27001 is het strenge, maar eerlijke protocol om die kluis goed te beveiligen. Het gaat niet alleen om techniek, zoals firewalls. Het gaat ook over regels voor je medewerkers, hoe je fysieke documenten bewaart en wat je doet bij een calamiteit.

Veel bedrijven kiezen voor certificering omdat klanten erom vragen. Het geeft vertrouwen. Het laat zien dat je serieus bent met data. Zonder dit certificaat loop je soms zelfs opdrachten mis. Het is dus een investering in je reputatie.

De kosten: een blik achter de schermen

Laten we eerlijk zijn: geld is belangrijk. Er is geen vaste prijs voor ISO 27001. De kosten hangen af van een aantal factoren. Denk aan het aantal medewerkers, hoe complex je processen zijn en of je al een beveiligingssysteem hebt opgezet.

Over het algemeen zijn de kosten onder te verdelen in drie delen:

1. De voorbereiding (interne uren)

Dit is vaak de grootste kostenpost, maar die zie je niet direct op een factuur. Je moet namelijk zelf aan de slag. Je moet beleid schrijven, risico’s analyseren en procedures vastleggen. Dit doen je eigen mensen. Hoeveel uur dat kost? Dat hangt ervan af hoe gestructureerd je team is. Een klein bedrijf doet hier misschien 5 tot 10 dagen werk aan, terwijl een groter bedrijf hier maanden mee bezig is.

2. Externe hulp (adviseurs)

Veel bedrijven schakelen een consultant in. Die helpt bij het opzetten van het systeem. Dit voorkomt dat je in de fouten trapt die anderen al hebben gemaakt. De kosten voor een consultant variëren enorm. Sommige freelancers rekenen een scherp tarief, terwijl grote adviesbureaus meer vragen. Wees hier kritisch. Vraag altijd om een offerte op maat.

3. De audit (de certificeringsinstelling)

Dit is de onafhankelijke partij die het certificaat uitreikt. Dit zijn vaste kosten. Voor een klein bedrijf (bijvoorbeeld tot 25 medewerkers) liggen deze kosten vaak tussen de € 4.000 en € 5.000. Voor een middelgroot bedrijf met meerdere locaties kan dit oplopen tot € 6.000 tot € 10.000. Dit bedrag dekt de reisuren van de auditor en het aantal dagen dat hij of zij op kantoor doorbrengt.

De doorlooptijd: hoe lang duurt het traject?

ISO 27001 is een marathon, geen sprint. Als je denkt dat je het in een maand kunt regelen, dan moet je helaas teleurstellen. Een realistische planning voor een gemiddeld bedrijf ziet er zo uit:

Stap 1: De basis (1 tot 2 maanden)
Je begint met de zogenaamde ‘Scope’. Wie doen er mee? Welke processen vallen eronder? Daarna maak je een risicoanalyse. Dit is het hart van je beveiliging.

Stap 2: Implementatie (3 tot 4 maanden)
Nu ga je het echt doen. Je schrijft documenten, past procedures aan en train je medewerkers. Misschien moet je technisch iets aanpassen, zoals het instellen van tweestapsverificatie. Dit is het moment waarop je organisatie verandert.

Stap 3: De interne audit (1 maand)
Voordat de echte auditor komt, moet je zelf checken of het werkt. Dit heet de interne audit. Je kijkt kritisch naar je eigen werk. Werkt de kluis echt goed?

Stap 4: De certificeringsaudit (1 tot 2 weken)
De auditor komt langs. Dit gebeurt meestal in twee fasen. Fase 1 is controleren of je documenten op orde zijn. Fase 2 is kijken of je het in de praktijk ook echt doet.

Reken in totaal op een half jaar tot negen maanden voor het hele traject.

De geldigheid: is het klaar na de audit?

Nee, zeker niet. Een ISO 27001 certificaat is drie jaar geldig. Na die drie jaar moet het helemaal opnieuw. Maar het is niet zo dat je drie jaar niets doet.

Elk jaar komt de auditor terug voor een ‘surveillance audit’. Dit is een kleinere check. De auditor controleert of je het beveiligingssysteem blijft onderhouden. Doe je dat niet? Dan wordt het certificaat ingetrokken.

Deze cyclus heet de PDCA-cyclus (Plan-Do-Check-Act). Het is een continue raderwerk. Wil je weten wat dit voor je bedrijf concreet oplevert? Lees dan verder over wat levert PDCA cyclus je bedrijf concreet op?. Het zorgt ervoor dat je niet stil blijft staan.

Hoe kun je de kosten beïnvloeden?

Je wilt natuurlijk niet te veel betalen. Er zijn manieren om de kosten te drukken zonder in te leveren op kwaliteit.

Als je al veel regels hebt, bijvoorbeeld omdat je al ISO 9001 (kwaliteitsmanagement) hebt, dan hoef je niet alles opnieuw uit te vinden. Overlap bespaart tijd.

Ook de keuze van de audit-instelling is belangrijk. Er zijn veel verschillende partijen. Vergelijk offertes. Kijk niet alleen naar de prijs, maar ook naar de klik met de auditor. Een auditor die je begrijpt, werkt prettiger.

Daarnaast is het slim om je medewerkers goed te betrekken. Als iedereen weet waarom het belangrijk is, voorkom je dat je alles van bovenaf moet opleggen. Dat scheelt weer weerstand en tijd.

Is ISO 27001 geschikt voor elk bedrijf?

Voor kleine bedrijven kan de investering groot voelen. Toch is het vaak noodzakelijk, vooral als je met gevoelige data werkt of samenwerkt met grote bedrijven.

Er zijn ook andere normen. Als je vooral bezig bent met de veiligheid van je personeel, dan is ISO 45001 interessant. De kosten en doorlooptijd daarvan verschillen, maar de basisprincipes lijken op elkaar. Het is goed om te weten hoe ISO 45001: wat zijn de kosten en doorlooptijd? zich verhoudt tot informatiebeveiliging. Vaak kiezen bedrijven voor een geïntegreerd systeem, waarbij ze meerdere normen combineren.

Wil je het totale plaatje zien van alle ISO normen? Dan is het handig om te kijken naar Alles over ISO Certificering: de complete gids voor 2025. Dit geeft je een breder perspectief.

Praktische stappen om te beginnen

Ben je er klaar voor? Volg deze stappen om chaos te voorkomen:

1. Projectleider aanwijzen: Iemand moet de kar trekken. Zorg dat deze persoon de tijd krijgt.
2. Scope bepalen: Wat valt er onder het certificaat? Alleen het hoofdkantoor of ook de vestiging in het buitenland?
3. Risicoanalyse: Bedenk wat er mis kan gaan. Brand? Diefstal? Phishing? Weeg de risico’s.
4. Maatregelen kiezen: Bepaal welke maatregelen je treft om de risico’s te verkleinen.
5. Uitvoeren: Zet de maatregelen in de praktijk.
6. Controleren: Doe een interne audit.
7. Audit plannen: Vraag een offerte aan bij een certificerende instelling.

Als je deze stappen volgt, voorkom je dat je tegen onverwachte kosten aanloopt. Een veelgemaakte fout is te laat beginnen met documenteren. Begin meteen met schrijven zodra je een idee hebt.

De audit: hoe bereid je je voor?

De audit is het moment van de waarheid. Het is normaal dat je zenuwachtig bent. De auditor is er niet om je te laten zakken, maar om te kijken of je systeem werkt.

Zorg dat je alle bewijzen paraat hebt. Denk aan logboeken, opleidingscertificaten en verslagen van vergaderingen. Wees transparant. Als iets nog niet perfect is, geef het dan toe. Dat is beter dan iets verbergen.

Er zijn veel handige artikelen te vinden die je helpen bij de voorbereiding. Zoek bijvoorbeeld naar Praktische tips voor een succesvolle certificeringsaudit. Dit soort tips helpen je om de audit soepel te laten verlopen.

Een goede voorbereiding voorkomt dat je tijdens de audit voor verrassingen komt te staan. Het scheelt ook tijd (en dus geld) als je niet hoeft te zoeken naar documenten.

Conclusie

ISO 27001 kost tijd en geld, maar het is een investering die zich terugbetaalt in klantvertrouwen en een betere bedrijfsvoering. De kosten variëren van € 4.000 tot ver boven de € 10.000, afhankelijk van je situatie. De doorlooptijd is ongeveer zes tot negen maanden.

Begin op tijd, betrek je team en kies de juiste partners. Het is geen eenmalig project, maar een manier van werken. En als je eenmaal bent gecertificeerd, merk je dat het je bedrijf sterker maakt. Niet alleen voor de klant, maar ook voor jezelf.