How long does ISO 27001 certification take for a small or medium-sized business?

A small or medium-sized business without a dedicated security team can typically achieve ISO 27001 certification in six to twelve months. The timeline depends on how mature your existing security controls are, how quickly you can complete the gap assessment and implement missing controls, and the availability of your chosen certification body. Smaller organisations starting from a reasonable baseline often certify in six to nine months; larger or more complex organisations should allow nine to twelve months or more.

How much does ISO 27001 certification cost for a small or medium-sized business?

Total costs typically range from 15,000 to 40,000 euros for a small or medium-sized business, covering consultancy support, internal staff time, any tooling or software needed to implement controls, and the certification audit itself. Certification body fees for a small organisation are usually 3,000 to 8,000 euros for the two-stage audit. Ongoing surveillance audits cost less. Organisations that take a do-it-yourself approach with minimal consultancy spend more time but less money.

What is the difference between ISO 27001 and Cyber Essentials?

Cyber Essentials is a UK government-backed scheme covering five basic technical controls: firewalls, secure configuration, access control, malware protection, and patch management. It is relatively quick to achieve and mandatory for some UK government contracts. ISO 27001 is a full information security management system standard covering governance, risk management, people, physical security, and 93 controls across all aspects of information security. ISO 27001 is internationally recognised and carries significantly more weight with enterprise clients and regulated sector procurement teams.

Do small and medium-sized businesses need a consultant to achieve ISO 27001?

No, but most small and medium-sized businesses benefit from one. The standard is well-documented and self-implementation is possible if you have someone internally with the time and information security knowledge to lead it. In practice, most small and medium-sized businesses lack a dedicated security function, and a consultant accelerates the process significantly by conducting the gap assessment, writing policies, and managing the audit process. A good consultant also helps you avoid over-engineering the ISMS, which is a common mistake that makes ongoing compliance unnecessarily burdensome.

What is an ISMS and does a small or medium-sized business need one?

An ISMS, or Information Security Management System, is the set of policies, processes, procedures, and controls that an organisation uses to manage information security risk. ISO 27001 requires you to build, implement, maintain, and continually improve an ISMS. For a small or medium-sized business, this does not need to be complex: a practical ISMS can be a set of documented policies, a risk register, and regular management reviews. The standard is scalable and explicitly allows organisations to scope it proportionately to their size and risk.

ISO 27001: IT-beveiligingsbeheer bouwen voor kleine en middelgrote bedrijven

Belangrijkste afhaalrestaurants

Organisaties zonder een speciaal beveiligingsteam kunnen ISO 27001-certificering behalen
Het proces bestaat uit zes fasen: scoping, beoordeling van de tekortkomingen, het bouwen van de ISMS, het implementeren van controles, interne audit en externe certificeringsaudit
De totale kosten voor een klein of middelgroot bedrijf liggen doorgaans tussen de 15.000 en 40.000 euro, inclusief consultancy-, tooling- en certificeringskosten
De meest voorkomende reden dat projecten in de loop van de tijd verlopen, is een ISMS die te veel is ontworpen voor de omvang van de organisatie
Certificering is niet het einde: er vinden jaarlijks surveillance-audits plaats en elke drie jaar een volledige hercertificeringsaudit

Wat ISO 27001 eigenlijk vereist

ISO 27001 is de internationale standaard voor informatiebeveiligingsbeheersystemen (ISMS). Het biedt een raamwerk voor de manier waarop een organisatie informatiebeveiligingsrisico's identificeert, beoordeelt en beheert. Het behalen van de certificering betekent dat een geaccrediteerde externe auditor heeft geverifieerd dat uw ISMS voldoet aan de vereisten van de norm.

De standaard bestaat uit twee hoofdonderdelen. De belangrijkste clausules (4 tot en met 10) hebben betrekking op governance: leiderschapsbetrokkenheid, methodologie voor risicobeoordeling, doelstellingen, documentatie en managementbeoordeling. Bijlage A bevat 93 controles over vier thema's: organisatorisch, menselijk, fysiek en technologisch. U hoeft niet elke controle uit te voeren. U moet motiveren welke controles van toepassing zijn op uw risicoprofiel en documenteren waarom u de controles heeft uitgesloten die dat niet doen.

De update van 2022 van de norm (ISO/IEC 27001:2022) verving de oudere bijlage A met 114 controles door 93 geconsolideerde controles. Als u nu met de implementatie start, werkt u naar de versie 2022.

Reikwijdte is belangrijk

U hoeft niet uw hele organisatie te certificeren. Veel kleine en middelgrote bedrijven certificeren een specifieke servicelijn of product, waardoor de reikwijdte beheersbaar blijft en de complexiteit van de audit wordt verminderd. Definieer uw reikwijdte aan het begin zorgvuldig: het is moeilijk om deze te verkleinen als het project eenmaal is gestart.

Heeft uw bedrijf ISO 27001 nodig?

ISO 27001 is in de meeste sectoren niet wettelijk verplicht. Bedrijven streven ernaar om vier belangrijke redenen:

Eisen van de klant: Zakelijke klanten en kopers uit de publieke sector hebben ISO 27001 steeds vaker nodig als inkoopvoorwaarde, vooral in professionele dienstverlening, SaaS en IT-toeleveringsketens.
Concurrentievoordeel: Certificering onderscheidt u van concurrenten die geen gelijkwaardige beveiligingsvolwassenheid kunnen aantonen.
Afstemming van de regelgeving: ISO 27001 biedt een sterke basis voor GDPR-compliance, NIS2-verplichtingen en sectorspecifieke vereisten zoals NHS DSPT.
Interne verbetering: Het proces van het implementeren van de standaard dwingt organisaties om processen te documenteren, de verantwoordelijkheid voor risico's toe te wijzen en controles in te stellen die ze vaak al hadden moeten hebben ingevoerd.

Als geen van deze op uw situatie van toepassing is, is ISO 27001 mogelijk niet de juiste prioriteit. Cyber Essentials Plus of een gerichte beveiligingsbeoordeling kunnen meer waarde opleveren voor minder moeite.

De zes stappen naar certificering

Het traject van besluit tot certificering verloopt doorgaans in zes fasen, ongeacht de omvang van de organisatie.

Bepaal uw reikwijdte

Bepaal welke delen van het bedrijf, welke services en welke systemen binnen de ISMS-grens vallen. Een beperkte, goed gedefinieerde reikwijdte is gemakkelijker te certificeren en gemakkelijker te onderhouden. Documenteer de reikwijdteverklaring formeel, aangezien deze onderdeel wordt van uw controle-informatie.

Beoordeling van de kloof

Meet uw huidige praktijken aan de vereisten van ISO 27001 en de 93 controles van bijlage A. Het resultaat is een hiaatrapport dat laat zien wat u heeft, wat u mist, en de moeite die nodig is om elk hiaat te dichten. Dit wordt uw projectplan.

Bouw uw ISMS-documentatie

Schrijf het beleid, de procedures en de documenten die de norm vereist. Dit omvat een informatiebeveiligingsbeleid, een risicobeoordelingsmethodiek, een risicoregister, een Verklaring van Toepasselijkheid (de documentenlijst welke controles u toepast en waarom) en ondersteunende procedures op gebieden als toegangscontrole, incidentbeheer en leveranciersbeveiliging.

Implementeer bedieningselementen en bedien de ISMS

Breng de controles in de praktijk: configureer systemen, voer bewustmakingstrainingen voor het personeel uit, implementeer technische maatregelen, beoordeel leverancierscontracten en zet uw managementbeoordelingsproces op. U moet de ISMS gedurende een periode (doorgaans drie tot zes maanden) vóór de certificeringsaudit gebruiken om het bewijs te verkrijgen dat de controles werken.

Interne audit

Voer een interne audit uit op basis van de vereisten van de norm. De auditor moet onafhankelijk zijn van de gebieden die worden gecontroleerd. Documenteer bevindingen en eventuele afwijkingen en behandel deze vóór de externe audit. Het interne auditrapport is een vereist certificeringsbewijs.

Certificeringsaudit

De externe audit bestaat uit twee fasen. Fase 1 beoordeelt uw ISMS-documentatie om te bevestigen dat deze voldoet aan de vereisten van de norm en dat u klaar bent voor fase 2. Fase 2 is de belangrijkste certificeringsaudit: de auditor beoordeelt bewijsmateriaal dat de controles zijn geïmplementeerd en effectief werken. Succesvolle afronding resulteert in een driejarig certificaat, onderworpen aan jaarlijkse controleaudits.

Realistische tijdlijnen

6-9

maanden voor een bedrijf dat uitgaat van een redelijke beveiligingsbasis

9-12

maanden voor organisaties met minimale bestaande controles of documentatie

jaar geldigheid van het certificaat, met jaarlijkse toezichtaudits

De fase van beoordeling en scoping van de hiaten duurt doorgaans twee tot vier weken. Het bouwen van de ISMS-documentatie duurt vier tot acht weken, afhankelijk van hoeveel er al bestaat. De implementatie- en gebruiksperiode, waarin u de ISMS gebruikt en bewijsmateriaal genereert, moet minimaal drie maanden bedragen. Interne audit duurt één tot twee weken. Fase 1- en Fase 2-certificeringsaudits worden doorgaans met een tussenpoos van twee tot vier weken gepland.

De meest voorkomende oorzaak van vertragingen is scope creep of over-engineering van de documentatie. Beleid dat is geschreven voor een bedrijf met tien medewerkers hoeft geen veertig pagina's lang te zijn. Proportionaliteit is in de norm ingebouwd.

Veelgemaakte fout

Veel organisaties proberen alle 93 controles te implementeren, ongeacht of ze van toepassing zijn. De Verklaring van Toepasselijkheid is er juist om u controles uit te laten sluiten die niet relevant zijn voor uw risicoprofiel. Een klein softwarebedrijf zonder fysieke productlijn heeft geen fysieke en omgevingsbeveiligingsmaatregelen nodig die zijn ontworpen voor een datacenter.

Kostenindicaties

ISO 27001 heeft drie belangrijke kostencomponenten: advies- of interne personeelstijd, tooling en vergoedingen voor certificeringsinstanties. De kosten variëren afhankelijk van de grootte en complexiteit. Onderstaande bandbreedtes zijn indicatief voor het MKB.

Gap-beoordeling en projectmanagement

5.000 tot 15.000 euro

ISMS-documentatie en beleidsschrijven

3.000 tot 8.000 euro

Ondersteuning bij implementatie van technische controles

2.000 tot 8.000 euro

Ondersteuning van interne audits

1.500 tot 4.000 euro

Vergoedingen certificatie-instelling (Fase 1 en Fase 2)

3.000 tot 8.000 euro

GRC-gereedschap (optioneel)

0 tot 3.000 euro per jaar

Organisaties die een groter deel van het werk intern afhandelen, verminderen de consultancycomponent aanzienlijk. Degenen die uitgaan van een sterke basislijn (bestaand beveiligingsbeleid, gedocumenteerde inventaris van bedrijfsmiddelen, gevestigde toegangscontroleprocessen) gaan ook sneller en geven minder uit.

Jaarlijkse toezichtaudits van de certificatie-instelling kosten doorgaans 1.500 tot 4.000 euro, afhankelijk van de omvang en reikwijdte van de organisatie. De volledige hercertificeringsaudit in jaar drie is qua kosten vergelijkbaar met de oorspronkelijke fase 2.

"De standaard is schaalbaar. Een professioneel dienstverlener met 15 medewerkers en een SaaS-bedrijf met 150 medewerkers hebben verschillende ISMS-implementaties nodig, en de standaard ondersteunt beide. De fout is om het te behandelen als een one-size ondernemingsoefening."

Wat gebeurt er na certificering

Certificering is geen eenmalig project. De standaard vereist voortdurende verbetering en uw certificaat is afhankelijk van het aantonen dat de ISMS in de loop van de tijd effectief blijft.

Concentreer u in het eerste jaar na de certificering op het inbedden van de ISMS in de normale bedrijfsvoering: zorg ervoor dat managementbeoordelingen plaatsvinden, incidenten worden geregistreerd en beoordeeld, en dat het risicoregister wordt bijgewerkt wanneer uw bedrijfs- of dreigingslandschap verandert. Personeelsverloop is de meest voorkomende oorzaak van ISMS-drift, dus integreer bewustwordingstraining in uw onboardingproces.

Toezichtaudits vinden plaats met tussenpozen van ongeveer twaalf maanden. Ze beoordelen een deel van de controles en controleren of eventuele tekortkomingen uit de vorige audit zijn verholpen. Ze zijn minder intensief dan de oorspronkelijke fase 2, maar vereisen actueel bewijsmateriaal.

In het derde jaar onderga je een volledige hercertificeringsaudit. Organisaties die hun ISMS drie jaar lang actief onderhouden, vinden hercertificering eenvoudig. Degenen die de documentatie verouderd laten en de gegevens alleen bijwerken in de weken vóór de audit, vinden dit meestal stressvol en duur.

Aan de slag

De meest waardevolle eerste stap is een gap assessment. Voordat u zich aan een projecttijdlijn of budget vastlegt, moet u de afstand begrijpen tussen waar u nu bent en waar ISO 27001 u nodig heeft. Een gap assessment duurt doorgaans één tot twee weken en geeft u een duidelijk projectplan met een geschatte inspanning per werkstroom.

Als u ISO 27001 overweegt omdat een klant erom heeft gevraagd, begin dan met het begrijpen van hun tijdlijn en of Cyber Essentials Plus in de tussentijd aan hun vereisten zou voldoen, terwijl u toewerkt naar volledige certificering.

Cyvra's audit- en complianceteam voert ISO 27001-gapbeoordelingen uit en ondersteunt bedrijven tijdens het volledige certificeringsproces, van scoping tot en met fase 2-auditvoorbereiding. Als u wilt begrijpen hoe uw pad naar certificering eruit ziet, begint het gesprek met een kort gesprek.

ISO/IEC 27001:2022 is gepubliceerd door de Internationale Organisatie voor Standaardisatie. ENISA's bronnen voor beste praktijken op het gebied van cyberbeveiliging implementatierichtlijnen bevatten die een aanvulling vormen op de controledoelstellingen van de standaard voor organisaties aan het begin van hun ISMS-traject.