Die Kosten einer ISO 27001 Zertifizierung hängen stark von der jeweiligen Situation des Unternehmens ab und setzen sich im wesentlichen aus sechs Komponenten zusammen:
- Interne Aufwände für die Zertifizierungsvorbereitung
- externe Kosten für ISO 27001 Consulting
- gegebenenfalls ISMS Tool Unterstützung
- Kosten für die Verbesserung der IT Infrastruktur
- Kosten der ISO 27001 Zertifizierungsstelle für die eigentliche ISO 27001 Zertifizierung sowie
- laufende interne Aufwände für das eigentliche Information Security Management
Der Aufwand für eine erfolgreiche ISO 27001 Zertifizierung und die damit verbundenen Kosten sind abhängig von der Größe des Unternehmens, dem Reifegrad des bestehenden Information Security Management Systems (ISMS), der Unternehmenskultur und dem damit verbundenen Aufwand bei Abstimmung von Policies und Prozessen, sowie der Nutzung von externem Know How (im Sinne von externer Expertise und anpassbaren Templates).
Grundsätzlich ist, wenn man von Kosten der Einführung eines Information Security Management Systems (ISMS) nach ISO 27001 spricht, zu klären, welche Kosten konkret gemeint sind und welche direkt der ISO 27001 Zertifizierung zuzurechnen sind:
Kosten der Zertifzierungsvorbereitung
Diese Kosten umfassen alle externen Ausgaben und internen Aufwände die direkt der Entwicklung und dem Rollout des Information Security Management Systems zuzuordnen sind. Dazu gehören:
- interne Kosten des Informationssicherheitsverantwortlichen
- Kosten der internen Abstimmung
- Entwurf und Abstimmung von Policies und Prozessen
- ISMS Softwareunterstützung
- externe Beratungskosten
Kosten für die Verbesserung der IT-Infrastruktur
Diese Kosten beinhalten Aufwände für die Umsetzung von Information Security Maßnahmen die aufgrund durch das ISMS gefundener Sicherheitslücken notwendig sind. Diese Maßnahmen können sowohl die klassische IT-Infrastruktur wie Firewall, Netzwerk oder Serverräume umfassen, aber auch IT-Support-Prozesse oder zusätzliche Mitarbeiter oder externe Ressourcen. Die Kosten für die Verbesserung der IT-Infrastruktur lassen sich erst nach einer ersten Gap-Analyse seriös abschätzen. Zudem ist hier auch anzumerken, dass nicht alle Verbesserungen für die IT-Infrastruktur in der Phase der Zertifizierungsvorbereitung anfallen müssen. Auch eine spätere Umsetzung von geplanten Maßnahmen ist hier gegebenenfalls zulässig.
Kosten für die eigentliche ISO 27001 Zertifizierung
Die Kosten für die eigentliche ISO 27001 Zertifizierung beinhalten vor allem jene Kosten die die Zertifizierungsstelle für die Zertifizierung verlangt. Hierfür gibt es, was den zu veranschlagenden Aufwand betrifft, klare, normierte Regelungen. Diese lassen jedoch ausreichend Interpretationsspielraum für Zertifizierungsstellen zu. Ein Preisvergleich mehrer Anbieter ist hierfür sehr zu empfehlen. Wir unterstützen Sie natürlich auch gerne hierbei mit Kontaktdaten und Ausschreibungsunterlagen. Zudem ist natürlich auch für die eigentliche Zertifizierung interner Aufwand der berücksichtigt werden muss – und gegebenfalls auch Kosten für externe Berater, wenn diese Sie bei der Zertifizierung begleiten sollen.
Kosten für den laufenden Betrieb des Information Security Management Systems
Die ISO 27001 gibt vor, dass die Informationssicherheit laufend verbessert werden muss, interne Audit durchgeführt werden müssen und in regelmäßigen Abständen das ISMS von einer externen Zertifzierungsstelle überwacht und rezertifiziert werden muss. Auch dafür fallen laufend kosten an, die jedoch mit dem Einsatz eines geeigneten ISMS Tools relativ gering gehalten werden können.
Kontaktieren Sie einen Experten!
In einem kurzen Gespräch lassen sich Fragen oft einfach klären
Die ISO 27001 Kosten liegen daher für kleine Unternehmen, die einfach Standard-Policies und Standard-Prozesse umsetzen können; sowie wenig eigene IT-Infrastruktur verwenden im unteren 5-stelligen Bereich. Für mittlere und große Unternehmen können die Kosten auch deutlich höher ausfallen. Sehr gerne beraten wir Sie kostenlos mit welchen Kosten Sie für Ihr Unternehmen zu rechnen haben.