如果获得 ISO 27001 认证的决定是投标或客户要求的直接结果,那么投资回报率可以是合同成本与初始和持续成本的简单计算,以达到合规性,但是 ISO 27001 认证的费用是多少?这是一次性成本还是持续成本?

首先,重要的是要了解“ISO 27001 认证费用是多少”这个问题不容易回答,可以根据组织的规模和复杂性、安全控制的当前成熟度和可用资源来估算成本——但是当您开始考虑持续成本和所需的任何外部支持时,这种估算可能会变得困难,认证机构将收取审核本身的额外费用,那么,我们通常会关注什么样的预算?

拥有少于 500 名员工和少数几个物理地点的小型组织可能需要花费 5,000 到 15,000 英镑来实施符合 ISO 27001 的信息安全管理系统。

这一粗略估计假设组织处于相对成熟的安全状态,并且有足够的、称职的资源可用于运行和管理信息安全管理系统,如果无法满足这些假设中的任何一个,则 ISO 27001 的成本将显着增加,并且可能需要外部顾问的补充,这可能会增加成本。

地理上分散、拥有许多办公室和大量员工的大型组织可能需要花费超过 20,000 英镑来实施和维护符合 ISO 27001 的信息安全管理系统,增加的成本反映了所有地点都需要由系统管理、额外的风险、需要培训的员工人数增加以及复杂性的总体增加。

ISO 27001 认证花费在哪里

不应低估持续成本,因为一旦系统实施和认证,维持认证通常是最昂贵的方面。

如前所述,上述估计仅供参考,可能会有很大差异。用于初始差距分析的顾问可能会增加成本,但也会就认证机构的期望提供宝贵的指导;此外,缺乏称职的、训练有素的内部资源也将显着增加成本,因为系统管理对于许多组织来说可能是一项全职工作。

那么,考虑到这么多因素,如何才能准确估算 ISO 27001 认证成本呢?不能以这些估计的一小部分来使用盒子服务中的认证,组织必须首先准确了解他们目前在合规方面的差距,应进行差距分析以根据 ISO 27001 要求评估组织,并编制补救计划。

这将表明需要多少努力才能填补空白并变得合规,应为每个合规差距分配一个现实的时间表,以补救和相关成本,例如,如果需要一个新的系统、流程或政策,成本应该与时间尺度相关联,此过程完成后,将获得 ISO 27001 认证费用的总体视图。