Je hebt je ISO 27001, ISO 9001, NEN 7510 en misschien nog veel meer ISO certificeringen geïmplementeerd. Gefeliciteerd! Of nog niet en je bent nieuwsgierig hoe het werkt. Hier leggen we in hoofdlijnen pragmatisch uit hoe alles rondom ISO eruit ziet.
Hoe duur is ISO?
Dit is natuurlijk afhankelijk van je vraag maar omdat je volgens ons niets hebt aan vage taal zouden we dit zeggen als we op een verjaardag deze vraag zouden krijgen:
Het behalen van ISO certificering kost ongeveer tienduizend euro bij ons en daarna moet je het nog laten certificeren door een externe partij. Dit is helemaal afhankelijk van je bedrijfsomvang maar als je rekening houdt met vijf- tot zevenduizend euro zit je wel redelijk goed voor een MKB organisatie tot dertig mensen. Grotere en/of complexere bedrijven hebben een grotere investering en als je meer certificeringen tegelijkertijd haalt kost dit iets meer (maar dat valt reuze mee hoor, gewoon doen!).
Dan moet je natuurlijk je ISO bijhouden, dat kun je prima zelf doen maar we raden aan om je te laten ondersteunen door een expert, ons Security Officer abbonement begint vanaf 375 euro per maand.
De externe partij komt elk jaar terug, dit kost exact 1/3 van het bedrag wat je voor de initiële audit hebt betaald.
Hoe haal je je ISO certificering
Even kort samengevat, dat doe je zo:
- Je doet een contextanalyse gedaan. Je vergeet hierbij niet belanghebbenden en hun eisen en zaken die impact kunnen hebben op je managementsysteem.
- Je hebt een risicoanalyse gedaan, rekening houdend met je contact.
- Je gaat de risico’s brengen naar het gewenste restrisico. Je vergeet niet dat de risico-eigenaren het behandelplan moeten goedkeuren en het restrisico moeten accepteren.
- Je stelt beleid op.
- Je bepaalde doelen, deze maak je concreet en meetbaar in het Monitoren & Meten.
- Je implementeert alle benodigde en verplichte procedures.
- Je doet wat je zegt in je beleid, volgt procedures.
- Je doet regelmatige updates, controles, steekproeven en verbeteringen zoals bepaald in je Operationele Planning.
- We doen een interne audit en kijken of alles klopt.
- Je doet een Directiebeoordeling
- Externe audit, gefeliciteerd!
Hoe behoud je je ISO certificering
- Je hebt alle belangrijke doelen die je hebt opgenomen in het Monitoren & Meten document.
- Je hebt een solide Operationele Planning en je kunt aantoonbaar laten zien dat je alles doet.
- Iedereen houdt zich aan de Procedures en het beleid, als mensen zich er niet aan houden maak je er een incident van met een goede oorzaakanalyse en leert hiervan.
- We doen een interne audit.
- Je leert en verbetert continue
Klaar!
Hierbij een voorbeeld Operationele Planning
En hierbij een voorbeeld Monitoren & Meten
De cyclus van een ISO certificering
De ISO certificeringen hebben normaliter een cyclus van drie jaar. Dit houdt natuurlijk niet in dat je drie jaar niets hoeft te doen, jaarlijks zal een auditor zoals bijvoorbeeld Digitrust, TUV, DVGNL, KIA of Brandcompliance langskomen en moet je bepaalde zaken laten zien.
Hoe ziet de auditplanning er precies uit
Voordat de externe auditor langs komt zal er een auditplan worden opgesteld. Soms in overleg met jullie maar vaak hanteren organisaties (zoals Digitrust, TUV, DVGNL, KIA of Brandcompliance) een gebruikelijke cyclus. Kun je hiervan afwijken? Jazeker, maar in de meeste gevallen is het prima om hun programma’s te volgen als je een MKB organisatie bent. Voor grotere organisaties worden er maatwerk programma’s gemaakt, zeker als het diverse landen zijn en er samen gewerkt wordt met audit teams.
Wat auditten ze precies?
- Verplichte normelementen die elk jaar geaudit moet worden.
- Gekozen beheersmaatregelen afhankelijk van de kritiekheid van bepaalde onderdelen of processen.
- Aandachtspunten naar aanleiding van de vorige audit(s)
- Eventueel door jullie gekozen extra onderdelen
Dit is hoe een auditplanning eruit kan zien, deze leggen we onder de afbeelding uit.
Q2 2022 INT
Als eerste zie je in dit voorbeeld in Q2 2022 INT staan. Dit houdt in dat in dit kwartaal de aller-allereerste interne audit wordt gedaan. Dit doen wij in 99% van de gevallen bij onze klanten ter afronding van een implementatietraject. Nadat iedereen zijn best heeft gedaan controleren we nog per normelement of alle details kloppen, ook is dit gelijk een mooie “testronde” zodat je weet wat je van een externe audit (door bijvoorbeeld Digitrust, TUV, DVGNL, KIA of Brandcompliance) kunt verwachten. Alle interne audits worden gecontroleerd en geaccodeerd door Jasper van Horssen, hij is Lead Auditor en zou zwart/wit gezien ook externe audits mogen doen (maar hij vindt implementeren en begeleiden stiekem veel leuker!).
Q1 2023 CERT
Vervolgens zie je Q1 2022 CERT staan in het eerste kwartaal van 2023. Tussen de interne audit en de externe audit (door bijvoorbeeld Digitrust, TUV, DVGNL, KIA of Brandcompliance) zitten een aantal maanden, zo weten we zeker dat er voldoende tijd is om eventuele verbeterkansen en aandachtspunten uit onze interne audit opgepakt kunnen worden door onze klanten en opgelost zijn voor de externe audit. Want zo haal je hopelijk een perfecte externe audit. Het resultaat: Een fantastische ISO certificering!
Al onze klanten die succesvol een ISO of NEN certificering behalen krijgen een Dxfferent prijsbeker, tof toch? Deze krijg jij natuurlijk ook als we je helpen!
INT Q3 2023
Hier zie je dat het weer tijd is voor een interne audit, deze plannen we in en voeren we uit bij klanten zoals jij. Je ziet dat we niet een volledige interne audit doen, dat hoeft niet. Net zoals een externe auditor (zoals bijvoorbeeld Digitrust, TUV, DVGNL, KIA of Brandcompliance) hoeft de interne audit ook niet elk jaar helemaal.
Voor een gedeeltelijke interne audit, die we ook wel controleaudit noemen rekenen we in principe 50% van de tijd die nodig is voor een interne audit en bijna altijd is dit een dag.
1e en 2e controleaudit
Hierbij geldt hetzelfde als de interne audit / controleaudit. Ook externe partijen hoeven niet elk jaar een hele audit te doen. Ze doen als eerste een hele audit en de opkomende twee jaar een gedeeltelijke audit.
Hercertificeren
Nadat er twee controleaudits zijn geweest met voorbereidend de interne audits, als onderdeel van jullie eigen interne audit planning, is het derde jaar een hercertificering. Dit is weer een volledige audit en dan wordt het certificaat bij een positief advies weer voor drie jaar verlengd.
Hulp nodig met dit alles?
Het doel van dit artikel is om mensen beknopt en pragmatisch uit te leggen wat ze kunnen verwachten en hoe een cyclus eruit ziet. Ik begrijp heel goed dat dit misschien complex is of vragen oproept. Heb je hulp nodig bij je huidige implementatie omdat deze misschien te complex of te uitgebreid is? Plan gerust een moment in en we kijken even mee.
Heb je nog geen ISO of NEN implementatie? Dan helpen we je natuurlijk ook graag. We werken met een vast bedrag en met een 100% slagingsgarantie. Ook hebben we een Security Officer training en een Security Officer abonnement. Ons doel is altijd dat bedrijven zo zelfstandig mogelijk hun ISO kunnen beheren maar vaak vinden mensen het wel erg fijn dat ze dingen kunnen checken bij ons, we ondersteunen bij de Operationele Planningstaken en dat de interne audit door een gecertificeerde Lead Auditor wordt uitgevoerd.