Een ISO-certificaat, wat kost dat nou?
“Jeetje, ga je certificeren? Dat gaat je flink wat kosten.” Dit soort opmerkingen hoor je geregeld als je het over het halen van een ISO-certificaat hebt. Een dure business, is hoe veel mensen het zien. In dit artikel geef ik antwoord: Wat zijn de kosten van een ISO-implementatie en het behouden van het certificaat?
Een ISO 27001-certificaat hebben, eventueel in combinatie met de ISO 9001 en/of NEN 7510, brengt nu eenmaal voordelen met zich mee. Klanten vragen ernaar, het geeft vertrouwen, en voor bepaalde aanbestedingen is het zelfs een must. Het vraagt ook wat, dat wel. Je moet risicoanalyses doen, een ISMS (Information Security Management System) opzetten en beheren. En niet te vergeten, audits laten uitvoeren.
Wanneer je besluit dat je gecertifieerd wilt worden ga je zowel tijd als geld investeren. Houd er in de initiële fase rekening mee dat één van je werknemers minimaal 1 dagdeel per week, en voor grote, complexe organisaties, tot 5 dagen per week nodig zal hebben om de boel op poten te zetten. Vrijwel alle organisaties huren daarnaast een adviseur in. De kennis, ervaring en niet te vergeten de voorbeelden en templates, die een externe specialist meeneemt, zijn vaak onmisbaar.
Inhuren van ISO-ondersteuning
Ook organisaties waar wel al (veel) kennis over informatiebeveiliging aanwezig is, huren (bijna) altijd een adviseur in. Dit helpt vooral om tussen de regels door te lezen en slimme tips en trics te krijgen. Door het inhuren van een externe adviseur wordt de doorlooptijd van het certificeringstraject enorm verkort.
Wat ik vaak zie is dat veel ICT-dienstverleners goede inhoudelijke begeleiding krijgen met betrekking tot ISO kennis. Wel schort het regelmatig aan daadwerkelijke integratie in de dagelijkse processen, zorg dus dat je een adviseur hebt die veel ervaring en referenties heeft in de ICT-dienstverleningssector. Niet als verkoopverhaal, maar met referenties en trackrecord. Het is, eerlijkheidshalve, wel zo dat goede ISO-adviseurs weten dat ze het waard zijn en dat de tarieven daarom liggen tussen de €1000 en €1500 per dag, soms meer.
Een bijkomend voordeel is dat bij veel begeleidingstrajecten een volledig Template ISMS en eventuele andere benodigde documenten, inclusief zijn.
Initiële audit
En dan de audits. De interne audit, zoals de naam al zegt, kun je zelf doen. Vaak wordt die samen met de externe adviseur uitgevoerd, zeker de eerste keer. De audit en het uitwerken ervan nemen 2 tot 4 dagen in beslag. En dan is het zover. Je regelt een externe auditor voor die eerste audit, de accreditatieaudit. Deze initiële audit is het meest uitgebreid. De richtlijn voor het uitvoeren van audits zegt dat een initiële audit voor een bedrijf tot 10 medewerkers, 5 dagen in beslag neemt. Voor een bedrijf met 50 medewerkers is dat 10 dagen, bij 250 medewerkers, 15 dagen etc. Dit betekent overigens niet dat je al die tijd auditors over de vloer hebt. De voorbereiding off-site, de verslaglegging en de besprekingen achteraf zijn bij het aantal dagen inbegrepen. De complexiteit van je organisatie kan er overigens voor zorgen dat er tijd in mindering wordt gebracht (lage complexiteit) of dat er iets meer tijd nodig is (hoge complexiteit). Ook voor het bepalen van die complexiteit zijn er richtlijnen.
De kosten van de accreditatieaudit hebben een directe relatie met bedrijfsomvang en complexiteit.
Je ISMS onderhouden
In de beheerfase, na certificering, is een Security Officer een paar uur tot een dag per week bezig met het onderhouden van het ISMS. Ook dit is weer afhankelijk van de omvang en complexiteit van je bedrijf en kan periodiek meer of minder zijn. Maak je een flinke verandering door, omdat je een ander bedrijf hebt opgekocht bijvoorbeeld, dan is er extra tijd nodig om je ISMS aan de nieuwe situatie aan te passen. In de praktijk is het zo dat je veel van de werkzaamheden die je nu uitvoert, ook zou hebben gehad zonder ISO-certificaat. Informatiebeveiliging is tenslotte meestal niet nieuw. Er is waarschijnlijk meer structuur in gekomen en dat vraagt een iets andere aanpak. Je besteedt misschien wat meer tijd aan training en bewustwording van personeel en bent bewuster bezig met verbeteracties. Helemaal nieuw en anders is het zeker niet.
Ga ervan uit dat één persoon er zeker 50% van zijn tijd mee bezig is tijdens de implementatie, en één dag per week erna. Niet per se ISO maar ook doordat je “troep” vindt en dit (als het goed is) gelijk wilt rechttrekken. Bijvoorbeeld de Active Directory opschonen.
Wel komt er nu ieder jaar een audit voorbij. Eerst de interne en dan de externe. ISO werkt met een cyclus van 3 jaar. In jaar 1 vindt de initiële audit plaats en in jaar 2 en 3 is er controle-audit, waarna je in jaar 4 een her-certificatieaudit krijgt. En ja, ook voor deze audits zijn er richtlijnen. De controle audits nemen 1/3 van de tijd van de initiële audit in beslag. Voor de her-certificatieaudit wordt 2/3 van de tijd van de initiële audit gerekend.
Overigens geldt een vergelijkbaar ritme voor de interne audit. In jaar 1 audit je je volledige systeem en in de volgende jaren kun je delen ervan onder de loep nemen. Je moet wel rekening houden met de resultaten van voorgaande audits. Voor de her-certificatieaudit doe je dan weer een uitgebreide interne audit.
Hoe zorg je dat het goedkoper wordt
Het wordt veel goedkoper als je alles tegelijkertijd doet. Met een geïntegreerd managemensteem (GMS), door alle normen ineens te behalen en samen te werken met een auditor die alle normen mag doen, bijvoorbeeld.
De ISO 27006 omschrijft bruto tijd die een certificaatuitgevende instelling moet hanteren, hier mag niet van afgeweken worden. Wel zijn er verlagende en verlichtende factoren. Bij de ISO 27001 en NEN 7510 mag, als er voldoende verlichtende factoren zijn, maximaal 30% korting op de audittijd gegeven worden en bij de NEN 9001 maximaal 20%.
Beperk de kosten van een ISO-implementatie door te combineren
Ga je op voor de ISO 27001 in combinatie met de NEN 7510, dan kost dit meestal maar een halve dag extra, slim dus om te combineren! Valt mee toch? Maar het kan nog goedkoper! Als de auditor alle normen mag certificeren en je de normen in één geïntegreerd managementsysteem gecombineerd hebt dan mag er nogmaals 20% korting gegeven worden bij een gecombineerde audit van ISO 9001, ISO 27001 en NEN 7510.
Wel of niet certificeren
Een ISO-certificaat kunnen laten zien geeft vertrouwen, dat staat vast. Dat het ook wat vraagt is net zo goed waar. Nu je een beeld hebt van de tijd, en daarmee de kosten die eraan vastzitten, kun je de afweging maken. Certificeren of niet? Het zal afhankelijk zijn van je situatie. Hoe vaak vragen je klanten ernaar? Hoe vaak zie je het terug als eis in offertetrajecten? Maar zeker ook: waar ga je naartoe met je organisatie en welke rol wil je dat continu verbeteren speelt? Vragen om eens rustig bij stil te staan.
Lees ook: de zin en onzin van een ISO 27001-certificaat
Dus, wat kost het?
Voor een gemiddelde Managed Service Provider die ITIL begrijpt en processen al redelijk op orde heeft, is onderstaande een realistisch kostenplaatje. Natuurlijk kan het een stuk goedkoper als je alles zelf doet. Ik wil je vooral niet voor de gek houden, ISO kost simpelweg geld.
Dit zijn de kosten van een ISO-implementatie die we vaak tegenkomen:
| Inhuur ISO Consultant | €10.000 – €15.000 |
| Onafhankelijke interne Audit | €3.000 – €4.000 |
| Accreditatie Audit | €4000 – €7000 |
| Begeleiding bij Accreditatie Audit | €4000 – €7000 |
Jaarlijks zijn er de kosten van de Externe Audits, dit is 33% van de Accredtiatie Audit. Ook raad ik het aan om één keer per jaar, enige maanden voordat de Externe audit plaatsvindt, een onafhankelijke interne audit te laten doen, dit kost ongeveer €3000 – €4000.
Als je een plat ICT bedrijf bent en we volgens onze bewezen aanpak werken
Fixed Price ISO certificering behalen met Dxfferent
We werken 100% resultaatgericht met scherpe prijzen en zorgen ervoor dat ISO, NEN of BIO vereisten ECHT geïmplementeerd worden in jouw primaire processen. Ons record is enkele maanden, de snelheid bepaal vooral jij. We werken met sprints van twee werken en je krijgt je eigen omgeving.
Veel beleidsstukken? Maar 1 Word Document die eventueel ook nog in jouw systemen geborgd kan worden. Ben jij klaar voor ISO implementaties zonder gedoe en complexe taal?
Hulp?
Heb je nog vragen over de kosten van een ISO-implementatie? Boek direct een afspraak in, helemaal gratis.