To je obično prvo pitanje koje mi postave potencijalni klijenti. Međutim, moram ih razočarati jer im ne mogu odmah reći točan iznos – evo zašto.
Prvo, ukupan trošak implementacije ovisi o veličini organizacije (ili veličini poslovnih jedinica koje će biti uključene u opseg ISO 27001), razini kritičnosti informacija (na primjer, informacije u bankama se smatraju kritičnijima i zahtjevi za njihovom zaštitom su veći), tehnologiji koju organizacija primjenjuje (na primjer, podatkovni centri obično imaju veće troškove jer su njihovi sustavi vrlo složeni) i zahtjevima zakonske regulative (financijski i državni sektor obično su strože regulirani po pitanju informacijske sigurnosti).
Drugo, ne možete precizno izračunati troškove prije nego znate koja razina zaštite vam je potrebna – najprije morate provesti procjenu rizika jer će vam takva analiza reći koje sigurnosne mjere su potrebne.
Kad dobijete rezultate procjene rizika, morate uzeti u obzir sljedeće troškove:
1. Trošak literature i edukacije
Implementacija norme ISO 27001 zahtijeva provedbu promjena u organizaciji i stjecanje novih vještina. Svoje zaposlenike možete pripremiti tako da kupite razne knjige o toj temi i/ili ih pošaljete na tečajeve (uživo ili online) – takvi tečajevi traju od 1 do 5 dana (pročitajte Kako učiti o normama ISO 27001 i BS 25999-2).
I ne zaboravite kupiti samu normu ISO 27001 – često se susrećem s tvrtkama koje implementiraju normu , a da je uopće nisu ni vidjele.
2. Trošak vanjske pomoći
Obučavanje zaposlenika nažalost nije dovoljno. Ako nemate voditelja projekta s velikim iskustvom u implementaciji norme ISO 27001, trebat će vam netko tko posjeduje takvo znanje – možete angažirati konzultanta ili potražiti neku online alternativu (time se bavimo na 27001Academy).
Najvažnije što vam u ovakvom projektu može ponuditi netko s iskustvom je da se nećete gubiti u slijepim ulicama, trošeći mjesece i mjesece na aktivnosti koje nisu nužne i proizvodeći tone dokumentacije koju norma ne traži. A to zaista košta.
Ipak, budite oprezni – nemojte očekivati da će konzultant odraditi cijelu implementaciju za vas – ISO 27001 mogu implementirati samo vaši zaposlenici.
3. Trošak tehnologije
Možda se čini čudno, ali većina tvrtki s kojima sam radio nije morala investirati u hardver, softver ili nešto slično – sve je to već postojalo. Najveći izazov obično je bio kako iskoristiti postojeću tehnologiju na sigurniji način.
Međutim, ukoliko se takva tehnologija pokaže kao potrebna, morate planirati i tu investiciju.
4. Trošak vremena zaposlenika
Norma se neće implementirati sama niti je može implementirati samo konzultant (ako ga angažirate). Vaši zaposlenici moraju uložiti vrijeme u identificiranje rizika, poboljšanje postojećih procedura i politika ili implementiranje novih. Moraju odvojiti vrijeme da se educiraju o novim odgovornostima i da se prilagode novim pravilima.
5. Trošak certifikacije
Ako želite javni dokaz o sukladnosti s normom ISO 27001, certifikacijsko tijelo će morati provesti certifikacijski audit, čiji trošak će ovisiti o broju radnih dana koje će provesti na tom zadatku, u rasponu od ispod 10 dana za manje tvrtke do više desetaka radnih dana za veće organizacije. Trošak jednog radnog dana ovisi o lokalnom tržištu.
Morate paziti da ne podcijenite stvaran trošak projekta ISO 27001 – ako to učinite, menadžment će početi gledati na vaš projekt s negativnim predznakom. S druge strane, ispravnim predviđanjem svih troškova pokazat ćete svoju profesionalnost; i ne zaboravite, uvijek morate predstaviti i troškove i koristi – pročitajte Četiri ključne koristi implementacije norme ISO 27001.
Ovaj besplatni ‘white paper’ će Vam također pomoći: How to Budget an ISO 27001 Implementation Project.