MSP Kennisbank

Kosten ISO implementatie

Een ISO certificaat, wat kost dat nou?

“Jeetje, ga je certificeren? Dat gaat je flink wat kosten.” Dit soort opmerkingen hoor je geregeld als je het over het halen van een ISO certificaat hebt. Een dure business, is hoe veel mensen het zien. In dit artikel geef ik antwoord: Hoe duur is het behalen en behouden van ISO certificering.

Een ISO 27001 certificaat hebben, eventueel in combinatie met de ISO9001 en/of NEN7510, brengt nu eenmaal voordelen met zich mee. Klanten vragen ernaar, het geeft vertrouwen, en voor bepaalde aanbestedingen is het zelfs een must. Het vraagt ook wat, dat wel. Je moet risicoanalyses doen, een ISMS (Information Security Management System) opzetten en beheren. En niet te vergeten, audits laten uitvoeren.

Wanneer je besluit dat je gecertifieerd wilt worden zal je zowel tijd als geld gaan investeren. Hou er in de initiële fase rekening mee dat iemand uit de organisatie minimaal 1 dagdeel per week en voor grote, complexe organisaties, tot 5 dagen per week nodig zal hebben om de boel op poten te zetten. Vrijwel alle organisaties huren daarnaast een adviseur in. De kennis en ervaring en niet te vergeten de voorbeelden en templates, die een externe specialist meeneemt, zijn vaak onmisbaar.

Inhuren van ISO ondersteuning

Ook organisaties waar wel al (veel) kennis over informatiebeveiliging aanwezig is, huren (bijna) altijd een adviseur in. Dit helpt vooral om tussen de regels door te lezen en slimme tips en trics te krijgen. Door het inhuren van een externe adviseur wordt de doorlooptijd van het certificeringstraject enorm verkort.

Wat ik vaak zie is dat veel ICT dienstverleners goede inhoudelijke begeleiding krijgen met betrekking tot ISO kennis. Wel schort het regelmatig aan daadwerkelijke integratie in de dagelijkse processen, zorg dus dat je een adviseur hebt die veel ervaring en referenties heeft in de ICT dienstverleningssector. Niet als verkoopverhaal maar met referenties en trackrecord. Het is, eerlijkheidshalve, wel zo dat goede ISO Adviseurs weten dat ze het waard zijn en de tarieven liggen tussen de 1000 en 1500 per dag.

Een bijkomend voordeel is dat bij veel begeleidingstrajecten een volledig Template ISMS en eventuele andere benodigde documenten inclusief zijn.

Initiële audit

En dan de audits. De interne audit, zoals de naam al zegt, kun je zelf doen. Vaak wordt die samen met de externe adviseur uitgevoerd, zeker de eerste keer. De audit en het uitwerken ervan nemen 2 tot 4 dagen in beslag. En dan is het zo ver. Je regelt een externe auditor voor die eerste audit. Deze initiële audit is het meest uitgebreid. De richtlijn voor het uitvoeren van audits zegt dat een initiële audit voor een bedrijf tot 10 medewerkers, 5 dagen in beslag neemt. Voor een bedrijf met 50 medewerkers is dat 10 dagen, bij 250 medewerkers, 15 dagen etc. Dit betekent overigens niet dat je al die tijd auditors over de vloer hebt. De voorbereiding off-site, de verslaglegging en de besprekingen achteraf zijn bij het aantal dagen inbegrepen. De complexiteit van je organisatie kan er overigens voor zorgen dat er tijd in mindering wordt gebracht (lage complexiteit) of dat er iets meer tijd nodig is (hoge complexiteit). Ook voor het bepalen van die complexiteit zijn er richtlijnen.

De kosten van de accreditatieaudit hebben een directe relatie met bedrijfsomvang en complexiteit.

Je ISMS onderhouden

In de beheerfase, na certificering, is een Security Officer een paar uur tot een dag per week bezig met het onderhouden van het ISMS. Ook dit is weer afhankelijk van de omvang en complexiteit van je bedrijf en kan periodiek meer of minder zijn. Maak je een flinke verandering door, omdat je een ander bedrijf hebt opgekocht bijvoorbeeld, dan is er extra tijd nodig om je ISMS aan de nieuwe situatie aan te passen. In de praktijk is het zo dat je veel van de werkzaamheden die je nu uitvoert, ook zou hebben gehad zonder ISO certificaat. Informatiebeveiliging is tenslotte meestal niet nieuw. Er is waarschijnlijk meer structuur in gekomen en dat vraagt een iets andere aanpak. Je besteed misschien wat meer tijd aan training en bewustwording van personeel en bent bewuster bezig met verbeteracties. Helemaal nieuw en anders is het zeker niet.

Ga er vanuit dat één persoon er zeker 50% van zijn tijd mee bezig is tijdens de implementatie en één dag per week erna. Niet perse ISO maar ook doordat je “troep” vindt en dit (als het goed is) gelijk wilt rechttrekken. Bijvoorbeeld de Active Directory opschonen.

Wel komt er nu ieder jaar een audit voorbij. Eerst de interne en dan de externe. ISO werkt met een cyclus van 3 jaar. In jaar 1 vindt de initiële audit plaats en in jaar 2 en 3 is er controle audit, waarna je in jaar 4 een her-certificatieaudit krijgt. En ja, ook voor deze audits zijn er richtlijnen. De controle audits nemen 1/3 van de tijd van de initiële audit. Voor de her-certificatieaudit wordt 2/3 van de tijd van de initiële audit gerekend.

Overigens geldt een vergelijkbaar ritme voor de interne audit. In jaar 1 audit je je volledige systeem en in de volgende jaren kun je delen ervan onder de loep nemen, hier moet je wel rekening houden met de resultaten van voorgaande audits. Voor de her-certificatieaudit doe je dan weer een uitgebreide interne audit.

Hoe zorg je dat het goedkoper wordt

Het wordt veel goedkoper als je alles tegelijkertijd doet. Dit doe je door het hebben van een geintegreerd managemensteem (GMS), alle normen ineens te behalen en samen te werken met een Auditor die alle normen mag doen.

De ISO 27006 omschrijft bruto tijd die een certificaat uitgevende instelling moet hanteren, hier mag niet van afgeweken worden. Wel zijn er verlagende en verlichtende factoren. Bij de ISO 27001 en NEN 7510 mag je, als er voldoende verlichtende factoren zijn maximaal 30% korting op de audittijd gegeven worden en bij de NEN 9001 maximaal 20%.

Ga je op voor de ISO 27001 in combinatie met de NEN 7510 dan kost dit meestal maar een halve dag extra, slim dus om te combineren! Valt mee toch? Maar het kan nog goedkoper! Als de auditor alle normen mag certificeren en je de normen in één geïntegreerd managementsysteem gecombineerd hebt dan mag er nogmaals 20% korting gegeven worden bij een gecombineerde audit van ISO 9001, ISO 27001 en NEN 7510.

Wel of niet certificeren

Een ISO certificaat kunnen laten zien geeft vertrouwen, dat staat vast. Dat het ook wat vraagt is net zo goed waar. Nu je een beeld hebt van de tijd, en daarmee de kosten die eraan vastzitten, kun je de afweging maken. Certificeren of niet? Het zal afhankelijk zijn van je situatie. Hoe vaak vragen je klanten ernaar? Hoe vaak zie je het terug als eis in offertetrajecten? Maar zeker ook; waar ga je naartoe met je organisatie en welke rol wil je dat continu verbeteren speelt? Vragen om eens rustig bij stil te staan.

Dus, wat kost het?

Voor een gemiddelde Managed Service Provider die ITIL begrijpt en processen al redelijk op orde heeft is onderstaande een realistisch kostenplaatje. Natuurlijk kan het een stuk goedkoper als je alles zelf doet. Ik wil je vooral niet voor de gek houden, ISO kost simpelweg geld.

Inhuur ISO Consultant10.000 – 15.000
Onafhankelijke interne Audit3.000 – 4.000
Accreditatie Audit4000 – 7000
Begeleiding bij Accreditatie Audit4000 – 7000

Jaarlijks zijn er de kosten van de Externe Audits, dit is 33% van de Accredtiatie Audit. Ook raad ik het aan om één keer per jaar, enige maanden voordat de Externe audit plaats vindt een onafhankelijke interne audit te laten doen, dit kost ongeveer 3000 – 4000.

Lowbudget kost de eerste implementatie ongeveer 10.000 en normaliter tussen de 20.000 en 30.000. Jaarlijks kun je ongeveer 33% van de eenmalige kosten budgetteren.

Let wel op: Dit is voor de gemiddelde Managed Service Provider. Hoe meer personeel (o.b.v. FTE) hoe duurder.