The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Koliko košta implementacija ISO 27001?

To je obično prvo pitanje koje mi postave potencijalni klijenti. Međutim, moram ih razočarati jer im ne mogu odmah reći točan iznos – evo zašto.

Prvo, ukupan trošak implementacije ovisi o veličini organizacije (ili veličini poslovnih jedinica koje će biti uključene u opseg ISO 27001), razini kritičnosti informacija (na primjer, informacije u bankama se smatraju kritičnijima i zahtjevi za njihovom zaštitom su veći), tehnologiji koju organizacija primjenjuje (na primjer, podatkovni centri obično imaju veće troškove jer su njihovi sustavi vrlo složeni) i zahtjevima zakonske regulative (financijski i državni sektor obično su strože regulirani po pitanju informacijske sigurnosti).

Drugo, ne možete precizno izračunati troškove prije nego znate koja razina zaštite vam je potrebna – najprije morate provesti procjenu rizika jer će vam takva analiza reći koje sigurnosne mjere su potrebne.

Kad dobijete rezultate procjene rizika, morate uzeti u obzir sljedeće troškove:

1. Trošak literature i edukacije

Implementacija norme ISO 27001 zahtijeva provedbu promjena u organizaciji i stjecanje novih vještina. Svoje zaposlenike možete pripremiti tako da kupite razne knjige o toj temi i/ili ih pošaljete na tečajeve (uživo ili online) – takvi tečajevi traju od 1 do 5 dana (pročitajte Kako učiti o normama ISO 27001 i BS 25999-2).

I ne zaboravite kupiti samu normu ISO 27001 – često se susrećem s tvrtkama koje implementiraju normu , a da je uopće nisu ni vidjele.

2. Trošak vanjske pomoći

Obučavanje zaposlenika nažalost nije dovoljno. Ako nemate voditelja projekta s velikim iskustvom u implementaciji norme ISO 27001, trebat će vam netko tko posjeduje takvo znanje – možete angažirati konzultanta ili potražiti neku online alternativu (time se bavimo na 27001Academy).

Najvažnije što vam u ovakvom projektu može ponuditi netko s iskustvom je da se nećete gubiti u slijepim ulicama, trošeći mjesece i mjesece na aktivnosti koje nisu nužne i proizvodeći tone dokumentacije koju norma ne traži. A to zaista košta.

Ipak, budite oprezni – nemojte očekivati da će konzultant odraditi cijelu implementaciju za vas – ISO 27001 mogu implementirati samo vaši zaposlenici.

3. Trošak tehnologije

Možda se čini čudno, ali većina tvrtki s kojima sam radio nije morala investirati u hardver, softver ili nešto slično – sve je to već postojalo. Najveći izazov obično je bio kako iskoristiti postojeću tehnologiju na sigurniji način.

Međutim, ukoliko se takva tehnologija pokaže kao potrebna, morate planirati i tu investiciju.

4. Trošak vremena zaposlenika

Norma se neće implementirati sama niti je može implementirati samo konzultant (ako ga angažirate). Vaši zaposlenici moraju uložiti vrijeme u identificiranje rizika, poboljšanje postojećih procedura i politika ili implementiranje novih. Moraju odvojiti vrijeme da se educiraju o novim odgovornostima i da se prilagode novim pravilima.

5. Trošak certifikacije

Ako želite javni dokaz o sukladnosti s normom ISO 27001, certifikacijsko tijelo će morati provesti certifikacijski audit, čiji trošak će ovisiti o broju radnih dana koje će provesti na tom zadatku, u rasponu od ispod 10 dana za manje tvrtke do više desetaka radnih dana za veće organizacije. Trošak jednog radnog dana ovisi o lokalnom tržištu.

Morate paziti da ne podcijenite stvaran trošak projekta ISO 27001 – ako to učinite, menadžment će početi gledati na vaš projekt s negativnim predznakom. S druge strane, ispravnim predviđanjem svih troškova pokazat ćete svoju profesionalnost; i ne zaboravite, uvijek morate predstaviti i troškove i koristi – pročitajte Četiri ključne koristi implementacije norme ISO 27001.

Ovaj besplatni ‘white paper’ će Vam također pomoći: How to Budget an ISO 27001 Implementation Project.

Ako Vam se svidio ovaj članak, pretplatite se na ažuriranja.

Poboljšajte svoje znanje s našim besplatnim resursima za ISO 27001/ISO 22301 standarde.

Pretplatu možete otkazati u bilo kojem trenutku.

Za više informacija o tome koje osobne podatke prikupljamo, zašto su nam potrebni, što činimo s njima, koliko dugo ih čuvamo, te koja su Vaša prava, pogledajte ovu Obavijest o privatnosti.

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa *

NAŠI KLIJENTI

NAŠI PARTNERI

  • Advisera je certificirana od strane Exemplar Global kao pružatelj TPECS za IS, QM, EM, TL i AU kompetencijske jedinice.
  • ITIL® je registrirani zaštitni znak tvrtke AXELOS Limited. Koristi se prema licenci tvrtke AXELOS Limited. Sva prava pridržana.
  • DNV GL Business Assurance je jedan od vodećih pružatelja usluga certificiranja akreditiranih sustava upravljanja.