Hoe vraag je ISO 27001 certificatie aan?

Veel organisaties willen een ISO 27001 certificaat, omdat dit gevraagd wordt bij aanbestedingen, of om zo aantoonbaar in controle te zijn. In dit artikel leggen we uit hoe je de certificatie aanvraagt.

Bepaal de scope van de certificering

De ISO 27001 certificering geldt voor een Information Security Management System (ISMS) van een organisatie. Je vraagt deze certificering dus niet aan voor één product. Het certificaat is voor een hele organisatie geldig. In sommige gevallen kun je bepaalde joint ventures of zelfstandige dochters buiten scope te laten. Voor de meeste bedrijven zal de scope echter de hele organisatie zijn. Het is daarom ook van belang dat de directie ook tijd maakt voor de certificering en dat er een team wordt aangewezen om het ISMS te ontwikkelen.

Wanneer aanvragen

Je moet de ISO 27001 op tijd aanvragen, want veel certificerende instellingen zijn snel volgeboekt. Vraag de certificering minimaal zes maanden aan voordat je het certificaat wilt hebben. Je hebt dan vier maanden implementatietijd en twee maanden doorlooptijd voor certificatie. De certificatie zelf gaat in twee fases: een korte fase 1, dan 3-6 weken wachttijd, en dan een iets langere fase 2. Fase 1 is vaak enkele dagen in één week, fase 2 duurt 1-2 weken.

Certificerende instellingen voor ISO 27001

Een organisatie mag ISO-certificaten uitreiken als de organisatie geaccrediteerd is. ICT Institute is dat niet, wij doen het advies en soms ook de interne audit, maar niet de uiteindelijke certificeringsaudit. Bij de raad voor accreditatie (rva.nl) kun je zien dat de volgende organisaties ISO 27001-certificatie doen:

• Digitrust
• Brand Compliance
• Dekra
• Kiwa
• TÜV
• BSI
• PWC
• Nederlands Certificatie Instituut
• Ernst & Young
• CIIO
• DB Audit
• GLI

Al deze organisaties kunnen dus de certificeringsaudit doen. Welke je het beste kiest hangt ervan af of je tegelijk ook voor andere normen wilt certificeren, de aanpak van het bedrijf en de prijs. De prijzen van certificering verschillen niet heel veel van elkaar, omdat er regels zijn hoeveel auditdagen zij moeten besteden. Bij certificeringen die wij begeleid hebben hebben we het meest gewerkt met Digitrust en Brand Compliance.

Implementeer ISO 27001

Je kunt pas gecertificeerd worden als je ISMS aantoonbaar geïmplementeerd is. Je moet alle documenten gemaakt hebben, maar ook verspreid in de organisatie. Alle mensen moeten getraind zijn en de regels van het ISMS ook volgen.
De volgende stappen moeten afgerond zijn voordat de certificeringsaudit begint:

• Risico-analyse
• Doelen en KPI’s vaststellen
• Beleid, procedures en werkinstructies maken
• Awareness-training geven
• Monitoren en meten
• Interne audit
• Directiebeoordeling

Er is dus altijd sprake van twee audits: een interne audit die het bedrijf zelf organiseert, gevolgd door de certificerings-audit die ook wel externe audit heet. De externe audit gaat ervan uit dat er al een goede interne audit gedaan is en de resultaten besproken zijn in een directiebeoordeling. Als dat nog niet gebeurd is, wordt de externe audit uitgesteld.

Benodigde documentatie voor certificering

De onderstaande checklist kun je gebruiken om te controleren of je voldoende documenten hebt voor de audit:

• Belanghebbendenanalyse
• Risicoregister
• Hoofddocument ‘Informatiebeveilingsbeleid’
• Informatiebeveiligingsprocedures (1 of meer documenten)
• Verklaring van Toepasselijkheid
• Intern auditrapport
• Verslag directiebeoordeling
• Incidentenregistratie
• AVG register van verwerkingsactiviteiten
• Register van afwijkingen en correctieve maatregelen

In de praktijk zul je vaak ook de volgende documenten moeten laten zien, als invulling van je gekozen beheersmaatregelen:

• Assetregistratie
• Autorisatie/toegangsmatrix
• Functieprofielen
• Business continuity plan
• PEN-testrapport

Kosten van ISO 27001-certificering

De kosten van een audit en certificering voor het eerste jaar liggen tussen de 6000 euro voor een bedrijf met minder dan 10 FTE tot rond de 20.000 euro voor grotere organisaties. Je neemt een ISO 27001-certificering altijd af voor drie jaar. In het eerste jaar is er een uitgebreide audit. In jaar twee en drie zijn er kortere controle-audits, die ongeveer één derde kosten van de eerstejaarsaudit. De kosten in jaar twee en drie zijn dus tussen de 2000 en 7000 euro per jaar.
Dit zijn alleen de kosten van de certificering. Het opzetten van een ISMS kost ook tijd van directie en andere medewerkers, en veel organisaties huren een adviseur en/of een interne auditor in. De totale kosten van een ISMS zijn dus veel hoger; tussen de 20.000 euro en 100.000 euro per jaar als je de tijd van interne medewerkers meetelt.

Wel of niet certificeren

We raden iedere organisatie aan om in ieder geval een informatiebeveiligingsbeleid te hebben. Het is namelijk wettelijk verplicht vanuit de AVG om passende technische en organisatorische maatregelen te nemen. Voor een organisatie met weinig gevoelige data is het hebben van een goed beleid soms al voldoende en kan certificering achterwege blijven. Eventueel kan men als compromis een adviesbureeau een controle laten doen, bijvoorbeeld een Security Verified controle, of een AVG-scan. Dit is minder intensief en grondig dan een ISO-certificering en is soms een goede tussenstap. De ISO-certificering kan men dan uitstellen totdat dit een harde eis is van klanten.

Zelf doen of met adviseur

Het is goed mogelijk om zonder adviseur de ISO 27001 norm te implementeren. Het helpt dan wel om externe kennis te verzamelen. ICT Institute biedt een ISO 27001 training (en kan ook templates delen) en verzorgt interne audits. Bedrijven als Instant27001 en Trustbound hebben tools die ook goed helpen bij de implementatie. Als je het zelf doet: kijk de hierboven genoemde lijstjes goed na. Als je al deze stappen en documenten zelf al gemaakt hebt, kun je het waarschijnlijk goed zelf. Als je hier niet op uitgekomen bent, is een adviseur toch nodig.

Foto  door Felipe Gregate