ISO 27001-Zertifierung Kosten – damit sollten Sie rechnen

Woraus setzen sich die ISO 27001-Zertifizierungskosten zusammen?

Eine Zertifizierung Ihres Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 ist immer dann sinnvoll, wenn Sie Ihre Informationssicherheit gegenüber Dritten nachweisen wollen oder müssen. In gewissen Branchen ist eine Zertifizierung durch eine akkreditierte Zertifizierungsstelle längst eine Mindestanforderung an neue Geschäftspartner. In anderen Branchen gilt sie als „nice-to-have“ und Herausstellungsmerkmal gegenüber der Konkurrenz.

Die Kosten für eine ISO 27001-Zertifizierung hängen u. a. von folgenden Faktoren ab:

• Größe des Unternehmens bzw. Komplexität der Informationsprozesse

• Anwendungsbereich des ISMS

• Reifegrad des bereits bestehendes ISMS (also Ihr Ausgangspunkt)

• Für das Unternehmen akzeptables verbliebenes Risiko und setzen sich aus drei Komponenten zusammen:

• Interne Ressourcen zur Umsetzung der ISO 27001

• Externe Beratung

• Kosten für das externe Audit durch eine Zertifzierungsstelle

Der größte Kostenaufwand auf dem Weg zur Zertifizierung ist die eigentliche Umsetzung der Norm. Sie kann – je nach den oben genannten Faktoren – Monate oder auch Jahre in Anspruch nehmen. Normalerweise benötigen Unternehmen eine interne Projektleitung, die sich Vollzeit um die ISO 27001-Implementierung kümmert. 

Hier geht es zu unserer ISO 27001 Roadmap.

Hinzu kommen Honorare für die Beratung durch externe Dienstleister. Für solche sind Tagessätze von 1.500 € und mehr keine Seltenheit.

Im Vergleich dazu fallen die Kosten für die Zertifzierungsstelle nicht mehr allzu sehr ins Gewicht. Allerdings entscheidet sich hier, inwiefern sich der Aufwand zur Umsetzung gelohnt hat. Findet die Zertifizierungsstelle erhebliche Mängel und besteht Ihr Unternehmen daher das Audit nicht, muss ein neuer Audittermin gefunden werdenund der Prozess beginnt von vorne. Dadurch steigen auch die Kosten.

Auditkosten: Was kostet eine ISO 27001 Zertifizierung?

Wir wissen, dass Sie sich konkrete Zahlen wünschen. Doch die Kosten für Ihr ISO 27001 Zertifizierungsaudit können nicht pauschal beziffert werden. Denn sie hängen vom Zeitaufwand für das Audit ab, der sich wiederum aus derKomplexität Ihrer Informationssicherheitsprozesse und dem Geltungsbereich Ihres ISMS ableitet. Daher dienen die folgenden Angaben nur einer groben Orientierung:

Ein mittelständisches Unternehmen mit 100 Mitarbeitern und relativ geringer Prozesskomplexität kann pro 15 bis 20 Mitarbeitern mit einem Audit-Tag rechnen – also rund fünf bis sieben Audit-Tagen insgesamt. Dabei fallen üblicherweise Kosten von bis zu 25.000€ an.

Bei größeren Unternehmen sind Auditkosten von 50.000€ durchaus normal.

Für ein kleines Unternehmen mit einem Standort können erfahrungsgemäß Zertifizierungskosten von rund 10.000 € anfallen. Ein verbindliches Angebot bekommen Sie aber nur im direkten Kontakt mit Ihrer Zertifizierungsstelle.

Bei der Zertifzierungsstelle sparen – eine gute Idee?

Um bei den Kosten für einen externen Auditor zu sparen, könnte man jetzt auf die Idee kommen, verschiedene Zertifzierungsstellen miteinander zu vergleichen und die mit den billigsten Auditkosten zu beauftragen. An sich ein ökonomischer Ansatz. Aber Achtung: Zertifizierung ist nicht gleich Zertifizierung.

Für die ISO 27001 gibt es derzeit rund 50 akkreditierte Zertifizierungsstellen in Deutschland. Das heißt, dass diese Stellen von der „Deutschen Akkreditierungsstelle“ (DAkkS) geprüft und akkreditiert worden sind. Die DAkkS ist in Deutschland die Akkreditierungsstelle für alle Managementsysteme gemäß ISO-Standards.

Ist eine Zertifizierungsstelle nicht auf dieser Liste und somit nicht durch die DAkkS akkreditiert, verliert das erlangte Zertifikat an Vertrauenswürdigkeit. Es wird dann von Vertragspartnern oft nicht anerkannt. Enthält zum Beispiel ein Vertrag die Anforderung an eine ISO 27001-Zertifizierung, ist damit normalerweise die Zertifizierung durch eine akkreditierte Stelle gemeint.

In unserem Artikel „ISO 27001: Konformität & (nicht) akkreditierte Zertifizierungen“ erfahren Sie mehr über anerkannte Zertifizierungsstellen.

Wie komme ich möglichst günstig zur ISO 27001-Zertifizierung?

Von den drei Kostentreibern für eine ISO 27001-Zertifzierung eignen sich einer besonders gut zum Sparen:

• Interne Ressourcen zur Umsetzung der ISO 27001  Hier können Sie nur indirekt sparen, indem Sie bei der Umsetzung durch Ihr Projektmanagement effizient vorgehen.
• Kosten für das externe Audit durch eine Zertifzierungsstelle  Hier können Sie sparen, indem Sie sich so gut auf das Audit vorbereiten, dass Sie nicht durchfallen und die Gebühr so doppelt bezahlen müssen.
• Externe Beratung - Der Schlüssel zum Erfolg!

Der richtige Dienstleister kann Ihnen unterm Strich viel Geld sparen. Und zwar so:

1. Experten für Informationssicherheit im Allgemeinen und die ISO 27001 im Speziellen wissen, wie Sie Ihr ISMS-Projekt bestmöglich managen. Dadurch können Sie Stolpersteine beim Aufbau Ihres ISMS und den Audits vermeiden.
2. Viele Dienstleister bringen Vorlagen für die ISO 27001-Richtlinien (Controls) mit, die ein wichtiger Bestandteil der Zertifizierung darstellen. Dadurch sparen Sie Zeit und können sich darauf verlassen, dass Ihre Richtlinien externe Auditoren überzeugen werden.
3. Den Status Quo können Berater durch automatisierte Fragebögen und / oder fertige Interviews erheben. Daraus ergeben sich dann Handlungsempfehlungen zur Risikominimierung.
4. Risikoanalyse, Gap-Analyse, Handlungsempfehlungen Ihre ISMS-Dokumentation können an einem zentralen Ort verwaltet werden. Bei DataGuard zum Beispiel haben Sie über eine Webplattform Zugriff auf alle Informationen und können diese im Audit per Knopfdruck aufrufen.  
5. Dienstleister führen interne Audits durch und finden so frühzeitig mögliche Schwachstellen. Auch das hilft Ihnen dabei, direkt im ersten Durchlauf des externen Audits zu bestehen.
6. Beim Audit stehen Berater Ihnen zur Seite und sorgen dafür, dass Ihre Mitarbeiter gut vorbereitet sind und genau wissen, mit welchen Fragen sie seitens der externen Auditoren zu rechnen haben. Das minimiert die Gefahr für Abweichungen im Audit.

Nach dem Audit ist vor dem Audit: Welche Kosten erwarten mich für die Re-Zertifizierung?

Die ISO 27001 sieht alle drei Jahre eine Re-Zertifizierung mit einem komplett neuen Auditprozess vor. Dann fallen die gleichen Auditkosten wie beim ersten Zertifizierungsaudit an. Zusätzliche Kontrollen (sogenannte Überwachungsaudits) durch die Zertifizierungsstelle müssen sogar jährlich stattfinden. Diese sind jedoch weniger umfangreich und somit auch günstiger.

Auch bei der Aufrechterhaltung einer ISO 27001-Zertifzierung gilt: Die größten Kosten fallen für den Betrieb des ISMS an sich an – also für die Gehälter Ihrer Compliance- und Informationssicherheits-Manager, Compliance-Software, etc.

Fazit: Guter Rat ist… am Ende günstiger

Die Kosten für den Aufbau und die Zertifizierung eines ISMS hängen von zahllosen Faktoren ab. Ein wichtiger Faktor für das Endergebnis Ihrer Arbeit ist dabei die Wahl des richtigen Beraters. Ein erfahrener Dienstleister, der moderne Lösungen zur Automatisierung manueller Aufgaben nutzt und sich in Ihrer Branche auskennt, ist dabei Gold wert.  

Die gute Nachricht: Sie müssen nicht weiter suchen. Wir bei DataGuard unterstützen bereits über 2.000 Unternehmen auf ihrem Weg zur Compliance. Und bisher können unsere Kunden eine 100%ige Erfolgsquote beim ihrem ersten ISO 27001-Zertifizierungsaudit vorweisen. Lernen Sie uns persönlich kennen.