Det som är viktigt att förstå tidigt är att kostnaden för ISO 27001 egentligen består av flera delar. Det handlar inte bara om själva certifieringsrevisionen, utan också om intern arbetstid, konsultstöd, standardinköp och det arbete som krävs för att bygga, införa och underhålla ledningssystemet.
| Intern arbetstid Tid som era medarbetare behöver lägga på projektet, till exempel workshops, riskbedömningar, dokumentation, implementering, internrevision och uppföljning. |
Konsultstöd Externt stöd för exempelvis gap-analys, scope, riskmetodik, policyer, rutiner, SoA, internrevision och förberedelse inför certifiering. |
| Standardinköp Inköp av relevanta standarder, exempelvis ISO/IEC 27001 och ISO 27002, så att ni kan arbeta utifrån rätt krav och vägledning. |
Extern revision Kostnad för certifieringsorganets revision, vanligtvis uppdelad i stage 1 och stage 2 samt återkommande uppföljningsrevisioner. |
| Sammanfattning Kostnaden för en ISO 27001-certifiering varierar kraftigt mellan organisationer. Det finns ingen fast prislapp, eftersom kostnaden beror på hur stor er verksamhet är, hur moget ert säkerhetsarbete redan är, vilket stöd ni behöver och hur bred certifieringen ska vara. |
|
Det innebär att två organisationer med 50 anställda kan ha helt olika projektkostnader beroende på förutsättningarna.
Vad påverkar kostnaden?
Den enskilt viktigaste kostnadsdrivaren är scope, alltså hur stor del av er verksamhet som ska ingå i ledningssystemet. Ett tydligt och avgränsat scope håller nere komplexiteten, minskar antalet revisionsdagar och gör projektet mer hanterbart.
Utöver scope påverkar följande faktorer kostnaden:
| Organisationens storlek Certifieringsorganet prissätter revisionen efter antalet medarbetare inom scope. Fler personer innebär fler revisionsdagar, vilket driver upp kostnaden direkt. |
Befintlig mognad Har ni redan policyer, rutiner och dokumentation på plats? Då är det kortare väg till certifiering. En organisation som börjar från noll behöver mer tid och resurser för att bygga upp ledningssystemet. |
| Intern kapacitet Hur mycket tid kan era egna medarbetare lägga på projektet? Låg intern kapacitet ökar behovet av extern konsulthjälp. |
Komplexitet i IT-miljön Många system, molntjänster, externa leverantörer och integrationer ökar arbetsomfånget. En enklare IT-miljö med ett tydligt scope är snabbare att arbeta igenom. |
| Om ledningssystem redan finns Har ni ISO 9001 eller ISO 14001 sedan tidigare? Då kan delar av strukturen, dokumentationen och processerna återanvändas, vilket minskar kostnaden för att bygga informationssäkerhetsdelen. |
|
Som grov riktlinje kan ett ISO 27001-projekt för en mindre eller medelstor organisation ofta bestå av tre kostnadsdelar: intern arbetstid, konsultstöd och extern certifieringsrevision. Den externa revisionen är vanligtvis en mindre del av totalkostnaden, medan den största variationen ofta ligger i hur mycket internt arbete och konsultstöd som krävs. Därför är det klokt att börja med en scope- och nulägesbedömning innan ni sätter budget.
Kostnadskomponenter – vad ingår?
Det är lättare att budgetera rätt om man delar upp kostnaden i sina faktiska komponenter. För de flesta organisationer handlar det om standardinköp, konsultstöd, certifieringsrevision och löpande uppföljning.
Standardinköp
Standardinköp är den minsta och mest förutsägbara posten. SS-EN ISO/IEC 27001 köps via SIS och kostar cirka 1 100 kronor för en PDF-licens. ISO 27002, som är den praktiska vägledningen för kontroller, kostar cirka 2 200 kronor. Det finns också ett paketpris hos SIS för informationssäkerhetsstandarderna samlat.
Konsultstöd för implementering
Konsultstöd för implementering är helt beroende av er situation. En organisation med låg mognad som behöver ta fram riskmetodik, policyer, rutiner, utbildning och dokumentstyrning från grunden behöver mer stöd än en organisation som redan har mycket på plats.
Konsultkostnaden är därför en av de poster som varierar mest och bör diskuteras utifrån just er verksamhet.
Ta reda på vad det kostar för er
Certifieringsrevision
Certifieringsrevisionen prissätts av certifieringsorganet och baseras primärt på antalet revisionsdagar.
| Stage 1 – dokumentgranskning I det första steget kontrollerar certifieringsorganet att ledningssystemet är rätt uppbyggt. De granskar exempelvis scope, dokumentation, riskmetod, policyer och förberedande underlag. |
Stage 2 – granskning i verksamheten I det andra steget granskas hur ledningssystemet faktiskt används. Organisationen behöver kunna visa att rutiner, riskhantering, ansvar och uppföljning fungerar i praktiken. |
| Be om specificerad offert Totalkostnaden för stage 1 och stage 2 tillsammans är offertbaserad. Be certifieringsorganet redovisa antal revisionsdagar, upplägg för eventuell fjärrrevision och om resor tillkommer. |
|
Löpande övervakningsrevisioner
Efter att certifikatet är utfärdat tillkommer löpande övervakningsrevisioner. Certifikatet gäller i tre år och kräver återkommande uppföljningsrevisioner, vanligen en gång per år under de två mellanliggande åren och en förnyelsecertifiering det tredje året.
Dessa kostnader bör planeras in i budgeten redan från start. De är en naturlig del av att ha och underhålla ett certifierat ledningssystem.
Är ISO 27001 dyrt för mindre organisationer?
Det är en vanlig fråga, och svaret är att det beror på hur projektet läggs upp. Det som avgör kostnaden för en liten organisation är framför allt hur väl scope definieras och hur effektivt implementeringen genomförs.
En organisation med tio till femtio medarbetare och ett tydligt avgränsat scope kan genomföra en certifiering utan att det blir ett tungt eller dyrt projekt. Det kräver att man inte försöker certifiera hela verksamheten på en gång, att dokumentationen är proportionerlig och praktiskt användbar, och att man fokuserar på de risker och kontroller som faktiskt är relevanta.
Så håller mindre organisationer nere kostnaden
Börja med ett tydligt scope, fokusera på relevanta risker, undvik onödig dokumentation och skapa rutiner som fungerar i vardagen.
Externt stöd kan minska totalkostnaden
Att ta in externt stöd tidigt, särskilt för gap-analys, riskmetodik och dokumentstruktur, kan i praktiken minska den totala kostnaden jämfört med att korrigera misstag senare i processen.
Vanligt misstag
Ett vanligt misstag är att försöka göra allt internt utan rätt kompetens. Om riskbedömning, SoA och rutiner tas fram på ett sätt som inte håller för extern revision kan det leda till merarbete och fördröjning.
Få hjälp att avgränsa projektet
Läs mer om ISO 27001 för små och medelstora företag
Så hjälper Ecowise er att hålla ISO 27001-projektet effektivt
Ecowise hjälper er att lägga upp ISO 27001-arbetet på ett sätt som passar er verksamhet, er storlek och era mål. Vi börjar ofta med en gap-analys där vi går igenom nuläget, identifierar vad som redan finns på plats och tydliggör vad som behöver utvecklas för att ledningssystemet ska kunna möta kraven i ISO 27001.
Därefter hjälper vi er att sätta ett realistiskt scope, ta fram en praktisk projektplan och bygga de delar som behövs.
Vi kan bland annat hjälpa er med:
- Gap-analys mot ISO 27001
- Scope och projektplan
- Riskmetodik och riskbedömning
- Informationsklassning
- Policyer och rutiner
- Dokumentstyrning
- Leverantörsuppföljning
- Mål och mätetal
- Internrevision
- Förberedelse inför extern certifiering
Om ni redan har ISO 9001, ISO 14001 eller andra ledningssystem kan vi hjälpa er att integrera informationssäkerhetsarbetet i den befintliga strukturen.
Spineweb som digitalt stöd i ISO 27001-arbetet
Som digitalt stöd kan Spineweb användas för flera centrala delar av ISO 27001, bland annat riskhantering, dokumenthantering, lagbevakning, leverantörer, mål och mätetal samt incidenthantering.
| Riskhantering Samla risker, riskägare, åtgärder och uppföljning på ett strukturerat sätt. |
Dokumenthantering Håll ordning på policyer, rutiner, versioner, ansvar och godkännanden. |
| Lagbevakning och krav Följ upp lagkrav, kundkrav, avtalskrav och andra bindande krav som påverkar informationssäkerheten. |
Leverantörer Dokumentera leverantörer, risker, krav och uppföljning kopplat till externa parter. |
| Mål och mätetal Följ upp informationssäkerhetsmål, åtgärder, revisioner, incidenter och förbättringar. |
Incidenter och avvikelser Registrera, hantera och följa upp incidenter, avvikelser och korrigerande åtgärder. |
Det gör det enklare att hålla ledningssystemet levande, följa upp ansvar och samla den evidens som behövs vid internrevision, kundgranskningar och extern certifiering.
Ecowise genomför inte själva certifieringsrevisionen, men vi kan stötta er inför kontakten med certifieringsorgan, hjälpa er att förbereda underlag och finnas med som stöd genom processen.
Vill ni veta vad ISO 27001 skulle kosta för just er organisation?
Kostnaden för ISO 27001 beror på era förutsättningar. Därför är det klokt att börja med en första bedömning av scope, nuläge, intern kapacitet och behov av stöd.
Kontakta Ecowise så hjälper vi er att göra en första bedömning.