ISO 27001 Certificering - Overzicht
Gevoelige bedrijfsgegevens, persoonlijke klanteninformatie of cloud-based software. Wachtwoorden, vertrouwelijke e-mailcorrespondentie of informatie over klanten en leveranciers - de lijst van digitale bronnen die het beschermen waard zijn, is lang.
Als u op lange termijn succesvol wilt zijn, moet u in staat zijn data te begrijpen, met data te werken en ze vooral op lange termijn te beschermen. Informatie, data en bijbehorende systemen behoren dan ook zonder twijfel tot de meest waardevolle en bedrijfskritische activa van elke onderneming van vandaag.
Met een gecertificeerd informatiebeveiliging managementsysteem (ISMS) volgens ISO 27001 creëren bedrijven de beste voorwaarden om de veiligheid van hun eigen informatiemiddelen te waarborgen en dit aan de buitenwereld te laten zien.
Wat is een ISO 27001 certificering?
Certificatie is in wezen een procedure die als doel heeft te bevestigen dat aan bepaalde eisen wordt voldaan. Op het gebied van informatiebeveiliging is de ISO 27001-norm de meest relevante en wereldwijd toonaangevende norm. Een ISO 27001 certificering bevestigt dan ook dat een bedrijf aan de eisen van deze norm voldoet.
Ontdek op deze pagina welke stappen u moet doorlopen op weg naar een succesvolle ISO 27001 certificering en welke tijd en kosten u daarvoor moet inplannen.
Proces van een ISO 27001-certificering
Hoe verloopt het certificeringsproces voor ISO 27001?
- Welkom bij LRQA
In het begin nemen we onze tijd en leren we u en uw bedrijfsdoelstellingen kennen. Daarna bepalen we samen het proces van de ISO 27001 certificering. U krijgt van ons een uitgebreid plan. Indien nodig voeren wij een pre-audit uit of zorgen wij voor de overname van een reeds bestaande certificatie. - Pre-audit (optioneel)
Tijdens een pre-audit gaan wij samen met u na of uw managementsysteem voor informatiebeveiliging al voldoet aan alle vereisten van ISO 27001 en of certificering mogelijk is.
De pre-audit is geen verplicht onderdeel van het certificeringsproces, maar een vrijwillige gelegenheid voor u om u optimaal voor te bereiden op de certificering en om eventuele zwakke punten en risicofactoren vooraf aan het licht te brengen en te verbeteren.
Tip van LRQA: Om te ontdekken in hoeverre u klaar bent voor een certificering, kunt u de ISO 27001 Self Assessment Tool gebruiken. - Aanvaarding van de certificering (optioneel)
Als uw bedrijf al door een andere certificeringsinstantie is gecertificeerd, kunnen wij u helpen met een snelle en meestal eenvoudige overname. Samen met u controleren we:
- Verslagen van bestaande bezoeken
- Veranderingen in de onderneming of in het managementsysteem
- Auditverslagen van interne en externe auditors
- Corrigerende en preventieve maatregelen
- Beoordeling van het management
- Gegevens over bestaande certificering, zoals de reikwijdte van de certificering en de duur van toezichtsaudits
Als er aan het eind van de beoordeling geen onopgeloste kwesties zijn, geven wij u een nieuw certificaat en stellen wij samen met u een jaarlijks auditprogramma. op.
- Certificeringsaudit Fase 1 "Systeemcontrole en opstartvoorwaarde"
In de eerste fase van de certificatieaudit bekijkt uw LRQA-auditor de structuur van uw ISMS, het handboek, het proceslandschap en de opeenvolging en interactie van uw processen.
In een gesprek met uw management komen we te weten welke richting uw bedrijf uitgaat en ontwikkelen we een grondig inzicht in de sterktes en zwaktes van uw organisatie. Op die manier identificeren wij het verbeteringspotentieel dat u een echt concurrentievoordeel kan opleveren. Daarnaast kijken we naar uw (voorlopige) management review en interne audits. In samenhang met de bedrijfsdoelstellingen houden wij met deze informatie rekening bij de volgende controlestap.
Na een rondleiding bepalen we samen met u de verdere controleprocedure. U hebt de kans om potentiële zwakke punten te verbeteren tot de volgende stap. - Certificeringsaudit Fase 2 "Praktische uitvoering"
In fase 2 controleren wij hoe u de eisen voor uw managementsysteem hebt geïmplementeerd. Uitgaande van een bepaalde reikwijdte van de controle, stellen wij hiervoor een team van gekwalificeerde auditoren samen. Wij zullen u dat van tevoren laten weten, zodat u uw planning daarop kunt afstemmen.
In het begin interviewen we uw management. Actuele vragen vloeien rechtstreeks in de audit in. Vervolgens controleren wij de onderdelen van het managementsysteem die basisinformatie verschaffen. We kijken naar de praktische toepassing ter plaatse.
Ten slotte overhandigen wij u het volledige auditrapport met een samenvatting voor uw directie. Als er geen afwijkingen zijn, ontvangt u een internationaal erkend certificaat dat drie jaar geldig is. Indien afwijkingen worden vastgesteld, moeten deze op passende wijze worden aangepakt en door ons bij een surveillance audit opnieuw worden geëvalueerd. Als de afwijkingen met succes zijn weggewerkt, ontvangt u na de surveillance audit uw certificaat.
Tip van LRQA: Het controleverslag bevat een eenvoudig overzicht van mogelijke sterke en zwakke punten. Uw LRQA-auditor zal ook wijzen op verbeteringsmogelijkheden. - Jaarlijkse audit om certificering te behouden
Uiterlijk twaalf maanden na afronding van de initiële audit vindt een audit plaats van deelgebieden van uw ISO 27001-managementsysteem. Kortere tussenpozen van negen of zes maanden zijn mogelijk. Aan het eind ontvangt u opnieuw het auditrapport met een samenvatting voor uw management.
Tip van LRQA: De jaarlijkse audits zijn in de eerste plaats bedoeld om uw bedrijf te dienen. Daartoe richt uw auditor zich op belangrijke kritische aspecten, zoals de invloed van uw managementsysteem op uw bedrijfsresultaten. Uw doelstellingen en de huidige problemen staan centraal in het auditproces. - Focus audit – uw toekomst plannen
In de laatste stap voor de hercertificering bundelen we de resultaten voor uw management: Hoe heeft uw ISO 27001 ISMS zich ontwikkeld sinds de initiële audit? Welke vooruitgang is er geboekt? Wij houden rekening met de zwaartepunten van uw bedrijfsstrategie.
Bij de planning van de controle wordt rekening gehouden met de resultaten van de toekomstige planning. Op deze basis kunt u met succes een nieuwe certificeringscyclus (hercertificering) beginnen over een periode van drie jaar. Het certificeringsproces begint opnieuw.
Duur van een ISO 27001-certificering
Hoelang duurt het certificeringsproces voor ISO 27001?
De vraag over de duur van een ISO 27001-certificering kan niet in het algemeen worden beantwoord, maar is afhankelijk van verschillende factoren.
- Grootte van uw bedrijf, bijv:
- Aantal locaties
- Aantal werknemers
- Omvang of complexiteit van de processen
- Interne capaciteiten
- Bestaande knowhow over informatiebeveiliging en ISO 27001
Hoe groter en complexer uw bedrijf is, hoe meer tijd u nodig hebt om de ISO 27001-certificering te plannen. Afhankelijk van de omvang kan het hele proces een paar maanden tot zelfs meer dan een jaar duren.
Wij bespreken het proces en de verwachte duur van uw ISO 27001-certificering graag met u in een gezamenlijk gesprek. Wij bieden u een gekwalificeerde planning en begeleiden u vanaf het eerste contact tot de afgifte van het certificaat.
Tip van LRQA: Om moeite te besparen bij procedures, processen en documentatie, is de integratie van verschillende normen een goed idee.
Kosten van een ISO 27001 certificering
Hoeveel kost een ISO 27001 Certificering?
Er kan geen algemene uitspraak worden gedaan over de kosten van een ISO 27001 certificering.
Een doorslaggevende factor is de omvang van uw onderneming en de daaruit voortvloeiende kosten. Hoeveel locaties heeft u? Hoeveel werknemers werken er in uw bedrijf? Het speelt ook een rol of uw bedrijf al gecertificeerd is.
In ieder geval is het zinvol om vooraf een gesprek te hebben met een van onze medewerkers, zodat wij u beter kunnen leren kennen en een offerte kunnen opstellen die precies op uw bedrijf is afgestemd.