Woraus setzen sich die ISO 27001-Zertifizierungskosten zusammen?

Eine Zertifizierung Ihres Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 ist immer dann sinnvoll, wenn Sie Ihre Informationssicherheit gegenüber Dritten nachweisen wollen oder müssen. In gewissen Branchen ist eine Zertifizierung durch eine akkreditierte Zertifizierungsstelle längst eine Mindestanforderung an neue Geschäftspartner. In anderen Branchen gilt sie als „nice-to-have“ und Herausstellungsmerkmal gegenüber der Konkurrenz.

Die Kosten für eine ISO 27001-Zertifizierung hängen u. a. von folgenden Faktoren ab:

  • Größe des Unternehmens bzw. Komplexität der Informationsprozesse

  • Anwendungsbereich des ISMS

  • Reifegrad des bereits bestehendes ISMS (also Ihr Ausgangspunkt)

  • Für das Unternehmen akzeptables verbliebenes Risiko, das sich aus folgenden drei Komponenten zusammensetzt:

    • Interne Ressourcen zur Umsetzung der ISO 27001

    • Externe Beratung

    • Kosten für das externe Audit durch eine Zertifizierungsstelle


Der größte Kostenaufwand auf dem Weg zur Zertifizierung ist die eigentliche Umsetzung der spezifischen Anforderungen Norm. Sie kann – je nach den oben genannten Faktoren – Monate oder auch Jahre in Anspruch nehmen. Normalerweise benötigen Unternehmen eine interne Projektleitung, die sich Vollzeit um die ISO 27001-Implementierung kümmert. 

Hier geht es zu unserer ISO 27001 Roadmap.

Hinzu kommen Honorare für die Beratung durch externe Dienstleister. Für solche sind Tagessätze von 1.500 € und mehr keine Seltenheit.

Im Vergleich dazu fallen die Kosten für die Zertifizierungsstelle nicht so stark ins Gewicht. Allerdings entscheidet sich hier, inwiefern sich der Aufwand für die Umsetzung gelohnt hat. Findet die Zertifizierungsstelle erhebliche Mängel und besteht Ihr Unternehmen das Audit daher nicht, muss ein neuer Audittermin gefunden werden, und der Prozess beginnt von vorne. Dadurch steigen auch die Kosten.

Auditkosten: Was kostet eine ISO 27001 Zertifizierung?

Wir wissen, dass Sie sich konkrete Zahlen wünschen. Doch die Kosten für Ihr ISO 27001 Zertifizierungsaudit können nicht pauschal beziffert werden. Denn sie hängen vom Zeitaufwand für das Audit ab, der sich wiederum aus der Komplexität Ihrer Informationssicherheitsprozesse und dem Geltungsbereich Ihres ISMS ableitet. Daher dienen die folgenden Angaben nur zur groben Orientierung:

  • Ein mittelständisches Unternehmen mit 100 Mitarbeitern und relativ geringer Prozesskomplexität kann pro 15 bis 20 Mitarbeitern mit einem Audit-Tag rechnen – also rund fünf bis sieben Audit-Tagen insgesamt. Dabei fallen üblicherweise Kosten von bis zu 25.000€ an.

  • Bei größeren Unternehmen sind Auditkosten von 50.000€ durchaus normal.

  • Für ein kleines Unternehmen mit einem Standort können erfahrungsgemäß Zertifizierungskosten von rund 10.000 € anfallen. Ein verbindliches Angebot bekommen Sie jedoch nur im direkten Kontakt mit Ihrer Zertifizierungsstelle.

Umsetzung der ISO 27001 Controls und Aufbau eines ISMS 

In bis zu 3 Monaten machen wir Sie bereit für das ISO 27001 Audit. 

Reduzieren Sie dabei Ihren manuellen Aufwand um bis zu 75% 

Laden Sie jetzt Ihren kostenlosen Leitfaden herunter
DG Seal ISO 27001

Bei der Zertifizierungsstelle sparen – eine gute Idee?

Um Kosten für einen externen Auditor zu sparen, könnte man auf die Idee kommen, verschiedene Zertifizierungsstellen zu vergleichen und diejenige mit den niedrigsten Auditkosten zu wählen. Dies mag auf den ersten Blick ein wirtschaftlicher Ansatz sein. Doch Vorsicht: Nicht alle Zertifizierungen sind gleichwertig.

Für die ISO 27001 gibt es derzeit rund 50 akkreditierte Zertifizierungsstellen in Deutschland. Das heißt, dass diese Stellen von der „Deutschen Akkreditierungsstelle“ (DAkkS) geprüft und akkreditiert worden sind. Die DAkkS ist in Deutschland die Akkreditierungsstelle für alle Managementsysteme gemäß ISO-Standards.

Ist eine Zertifizierungsstelle nicht auf dieser Liste und somit nicht durch die DAkkS akkreditiert, verliert das erlangte Zertifikat an Vertrauenswürdigkeit. Es wird dann von Vertragspartnern oft nicht anerkannt. Enthält zum Beispiel ein Vertrag die Anforderung an eine ISO 27001-Zertifizierung, ist damit normalerweise die Zertifizierung durch eine akkreditierte Stelle gemeint.

In unserem Artikel „ISO 27001: Konformität & (nicht) akkreditierte Zertifizierungen“ erfahren Sie mehr über anerkannte Zertifizierungsstellen.

Wie komme ich möglichst günstig zur ISO 27001-Zertifizierung?

Von den drei Kostentreibern für eine ISO 27001-Zertifizierung eignen sich einer besonders gut zum Einsparen von Kosten:

  • Interne Ressourcen zur Umsetzung der ISO 27001. Hier können Sie nur indirekt sparen, indem Sie bei der Umsetzung durch Ihr Projektmanagement effizient vorgehen.

  • Kosten für das externe Audit durch eine Zertifizierungsstelle. Hier können Sie sparen, indem Sie sich so gut auf das Audit vorbereiten, dass Sie nicht durchfallen und die Gebühr so doppelt bezahlen müssen.

  • Externe Beratung - Der Schlüssel zum Erfolg!

Der richtige Dienstleister kann Ihnen unterm Strich viel Geld sparen. Und zwar so:

  1. Experten für Informationssicherheit im Allgemeinen und die ISO 27001 im Speziellen wissen, wie Sie Ihr ISMS-Projekt bestmöglich managen. Dadurch können Sie Stolpersteine beim Aufbau Ihres ISMS und den Audits vermeiden.

  2. Viele Dienstleister bringen Vorlagen für die ISO 27001-Richtlinien (Controls) mit, die ein wichtiger Bestandteil der Zertifizierung darstellen. Dadurch sparen Sie Zeit und können sich darauf verlassen, dass Ihre Richtlinien externe Auditoren überzeugen werden.

  3. Den Status Quo können Berater durch automatisierte Fragebögen und / oder fertige Interviews erheben. Daraus ergeben sich dann Handlungsempfehlungen zur Risikominimierung.

  4. Risikoanalyse, Gap-Analyse, Handlungsempfehlungen Ihre ISMS-Dokumentation können an einem zentralen Ort verwaltet werden. Bei DataGuard zum Beispiel haben Sie über eine Webplattform Zugriff auf alle Informationen und können diese im Audit per Knopfdruck aufrufen.  

  5. Dienstleister führen interne Audits durch und finden so frühzeitig mögliche Schwachstellen. Auch das hilft Ihnen dabei, direkt im ersten Durchlauf des externen Audits zu bestehen.

  6. Beim Audit stehen Berater Ihnen zur Seite und sorgen dafür, dass Ihre Mitarbeiter gut vorbereitet sind und genau wissen, mit welchen Fragen sie seitens der externen Auditoren zu rechnen haben. Das minimiert die Gefahr für Abweichungen im Audit.

Vector-1

ISO 27001-Zertifizierung und DSGVO-Compliance sind entscheidend, um den langfristigen Erfolg unseres Unternehmens zu sichern.

Calin Coman-Enescu
Behaviour Lab

100% unserer Kunden bestehen die
ISO 27001-Zertifizierung beim ersten Mal

Jetzt zertifizieren

Nach dem Audit ist vor dem Audit: Welche Kosten erwarten mich für die Re-Zertifizierung?

Die ISO 27001 sieht alle drei Jahre eine Re-Zertifizierung mit einem komplett neuen Auditprozess vor. Dann fallen die gleichen Auditkosten wie beim ersten Zertifizierungsaudit an. Zusätzliche Kontrollen (sogenannte Überwachungsaudits) durch die Zertifizierungsstelle müssen sogar jährlich stattfinden. Diese sind jedoch weniger umfangreich und somit auch günstiger.

Auch bei der Aufrechterhaltung einer ISO 27001-Zertifizierung gilt: Die größten Kosten fallen für den Betrieb des ISMS an sich an – also für die Gehälter Ihrer Compliance- und Informationssicherheits-Manager, Compliance-Software, etc.

Fazit: Guter Rat ist… am Ende günstiger

Die Kosten für den Aufbau und die Zertifizierung eines ISMS hängen von zahllosen Faktoren ab. Ein wichtiger Faktor für das Endergebnis Ihrer Arbeit ist dabei die Wahl des richtigen Beraters. Ein erfahrener Dienstleister, der moderne Lösungen zur Automatisierung manueller Aufgaben nutzt und sich in Ihrer Branche auskennt, ist dabei Gold wert.  

Die gute Nachricht: Sie müssen nicht weiter suchen. Wir bei DataGuard unterstützen bereits über 2.000 Unternehmen auf ihrem Weg zur Compliance.

Und bisher können unsere Kunden eine 100%ige Erfolgsquote beim ihrem ersten ISO 27001-Zertifizierungsaudit vorweisen. Lernen Sie uns persönlich kennen.

Angebot anfordern
Demo buchen