Hoe kies ik scope en plan ik de doorlooptijd van een ISO 27001-traject?

Het traject staat of valt met een realistische scope. Te breed wordt het zwaar, te smal wordt het ongeloofwaardig voor klanten. Doorlooptijd hangt af van volwassenheid en team-grootte.

Probeer dit eerst zelf

1. 1Bepaal de scope op basis van wat je verkoopt en aan wie. Voor een SaaS-mkb is dat vaak het product, het team dat eraan werkt en de ondersteunende processen, niet de hele BV.
2. 2Maak een gap-analyse tegen ISO 27001:2022. Loopt over je governance, policies, risk management, mensen, fysieke beveiliging, technische maatregelen en leveranciersmanagement.
3. 3Plan in twee fases. Eerst het ISMS opbouwen en in de praktijk minstens een paar maanden laten draaien. Pas daarna stage 1 audit door de certificerende instelling.
4. 4Reken op meerdere maanden tot grofweg een jaar voor een eerste certificering, afhankelijk van het volwassenheidsniveau en hoeveel tijd het team kan vrijmaken. Geen exacte garantie, vraag een externe partij om een schatting voor jouw situatie.
5. 5Plan de jaarlijkse her-certificering en interne audits direct in. Een ISMS dat na audit stilvalt, valt bij de eerstvolgende ronde door.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.