Beitrag teilen
ISO 27001 entspannt umsetzen?

Mit der SECJUR Automatisierungsplattform

Discover
HOME
/
blog
/
ISO 27001 – Der Komplett-Guide zum ISMS Standard

ISO 27001 – Der Komplett-Guide zum ISMS Standard

Tobias Forbes

Information Security Expert

March 22, 2024

15 min

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Key Takeaways

Die ISO 27001 ist ein weltweit anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS).

Die Norm hilft Unternehmen dabei, ihre Informationssicherheit zu stärken, Vertrauen von Geschäftspartnern und Kunden zu gewinnen und Transparenz im Unternehmen zu fördern.

Der Aufbau und Unterhalt eines ISMS nach ISO 27001 kostet in der Regel deutlich fünfstellige Beträge und dauert sechs bis 18 Monate

Die Implementierung und Zertifizierung eines ISMS nach ISO 27001 kann mithilfe von spezialisierten Dienstleistungen vereinfacht und automatisiert werden.

In diesem Guide geben wir einen kompakten Überblick über die ISO 27001 und zeigen auf, wie Unternehmen die Zertifizierung erlangen, für wen sie wichtig ist und mit welchen Kosten Unternehmen rechnen müssen.

Was ist ISO 27001?

Die ISO/IEC 27001 definiert einen weltweit anerkannten Standard für das Management von Informationssicherheit in Unternehmen jeder Größe und Branche.

Dieser Standard beschreibt die Anforderungen für die Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS), um die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensinformationen zu sichern.

Ein Kernstück der ISO 27001 sind die in Anhang A aufgeführten Sicherheitskontrollen (Controls), die einen Rahmen für die Adressierung spezifischer Sicherheitsrisiken in verschiedenen Bereichen bieten. Diese 114 Kontrollen decken verschiedenste Bereiche der Informationssicherheit ab, von der Zugriffskontrolle bis hin zum Incident Management.

Die Auswahl und Implementierung dieser Kontrollen basieren auf einer systematischen Risikobewertung, durch die Unternehmen ihre spezifischen Sicherheitsbedrohungen und -schwachstellen identifizieren und entsprechende Maßnahmen ergreifen können.

Der Schlüssel zur ISO 27001: Das ISMS

Infografik, die die Verschiedenen Aspekte eines ISMS nach ISO27001 aufzeigt
Ein ISMS gemäß ISO 27001

Ein ISMS definiert die Regeln, Methoden und Prozesse, um die Informationssicherheit der Organisation zu gewährleisten und kontinuierlich zu verbessern. Dadurch kann die Wahrscheinlichkeit reduziert werden, dass Verfügbarkeit, Vertraulichkeit und Integrität aller Informationen für Mitarbeitende, Kunden, Lieferanten und Partner beeinträchtigt werden.

Das ISMS ist vor allem dann von Relevanz, wenn Firmen besonders sensible und personenbezogene Daten verarbeiten, denn dann ist das Interesse besonders hoch, die Informationssicherheit systematisch zu managen und diese Informationen zu schützen.

Denn wir kennen es alle: Datendiebstähle nehmen immer weiter zu und werden oft in den Medien thematisiert – ein unangenehmer Umstand für betroffene Unternehmen. Nun muss das Ausmaß einer Cyber-Attacke nicht immer öffentlich thematisiert werden, denn auch im „privaten“ Umfang können die Auswirkungen verheerend sein. Die ISO 27001 bietet Organisationen aller Größe daher qualifizierte Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung ihrer Informationssicherheit.

Die strenge Einhaltung versucht, die Vertraulichkeit betrieblicher und personenbezogener Daten zu gewährleisten. Das ISMS sorgt zudem für eine Verbesserung der gesamten IT-Infrastruktur.

Plan-Do-Check-Act (PDCA)-Zyklus

Infografik die plan do check act mit konkreten Maßnahmen für den Aufbau des ISMS darstellt
Der PDCA-Zyklus zur ISO 27001

Die ISO 27001 folgt dem Plan-Do-Check-Act (PDCA)-Modell, einem iterativen Prozess, der Unternehmen einen kontinuierlichen Verbesserungsansatz für ihr ISMS bietet:

  • Plan (Planen): Identifizierung von Informationsrisiken und Planung der notwendigen Maßnahmen zur Risikominderung sowie Festlegung der Zielsetzungen für die Informationssicherheit.
  • Do (Umsetzen): Implementierung und Betrieb des ISMS gemäß den geplanten Richtlinien, Verfahren und Kontrollen.
  • Check (Überprüfen): Überwachung und regelmäßige Überprüfung der Effektivität des ISMS sowie der Sicherheitskontrollen und -maßnahmen, um Sicherheitslücken zu identifizieren und anzugehen.
  • Act (Handeln): Ergreifen von Maßnahmen zur kontinuierlichen Verbesserung der Informationssicherheit auf Basis der Überprüfungsergebnisse.

Die ISO 27001 ist somit weit mehr als nur ein Zertifikat; sie ist ein fortlaufender Prozess, der Unternehmen dabei unterstützt, auf dem neuesten Stand der Informationssicherheit zu bleiben.

In der heutigen Zeit, in der Informationen zu den wertvollsten Vermögenswerten ("Assets") eines Unternehmens gehören, bietet die ISO 27001 einen essentiellen Rahmen für den Schutz dieser Assets.

Die Norm ist nicht nur für große Konzerne, sondern auch für kleine Unternehmen und Start-ups, insbesondere im Tech-Bereich, von unschätzbarem Wert. Der neueste Standard ist dabei ISO/IEC 27001:2022, der eine Neuauflage der ISO/IEC 27001:2013 darstellt.

Welche Vorteile bietet eine ISO 27001 Zertifizierung?

Unternehmen schätzen die ISO 27001 vor allem, da sie von größeren Organisationen fast immer als Voraussetzung für Geschäftsbeziehungen gefordert wird. Zertifizierte Unternehmen qualifizieren sich also  für Ausschreibungen und ersparen sich die mühsamen Audits, die Konzerne ihren Lieferanten auferlegen.

Weitere Vorteile im Überblick:

  1. Verbessertes Sicherheitsmanagement: Durch die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß den Anforderungen der ISO 27001 verbessert das Unternehmen sein Sicherheitsmanagement. Es ermöglicht eine systematische Identifikation, Bewertung und Behandlung von Risiken.
  2. Vertrauen und Glaubwürdigkeit: Die Zertifizierung nach ISO 27001 zeigt Kunden, Geschäftspartnern und anderen Interessengruppen, dass das Unternehmen angemessene Maßnahmen zum Schutz von Informationen und Daten ergriffen hat. Dies stärkt das Vertrauen und verbessert die Glaubwürdigkeit des Unternehmens.
  3. Einhaltung gesetzlicher Anforderungen: Die ISO 27001 berücksichtigt relevante gesetzliche und behördliche Anforderungen im Bereich der Informationssicherheit. Durch die Umsetzung der Norm kann das Unternehmen sicherstellen, dass es die geltenden Datenschutz- und Sicherheitsvorschriften einhält.
  4. Risikominimierung: Die ISO 27001 hilft, Risiken im Zusammenhang mit der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu identifizieren und zu behandeln. Durch die Implementierung geeigneter Sicherheitskontrollen kann das Unternehmen potenzielle Bedrohungen minimieren und Auswirkungen von Sicherheitsvorfällen reduzieren.
  5. Wettbewerbsvorteil: Eine ISO 27001-Zertifizierung kann ein wichtiger Wettbewerbsvorteil sein, insbesondere in Branchen, in denen Informationssicherheit eine hohe Priorität hat. Es zeigt, dass das Unternehmen effektive Sicherheitsmaßnahmen umsetzt und sich für den Schutz von Informationen engagiert.
  6. Früherkennung und Prävention von Bedrohungen: Durch die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) können Unternehmen potenzielle Sicherheitsbedrohungen frühzeitig erkennen und geeignete Maßnahmen ergreifen, um ihnen vorzubeugen. Dies trägt dazu bei, die IT-Sicherheit zu stärken und ein solides Fundament für den Schutz sensibler Daten zu schaffen.
  7. Kontinuierliche Verbesserung: ISO 27001 fördert die kontinuierliche Verbesserung von Informationssicherheitsprozessen. Organisationen werden dazu ermutigt, ihre Sicherheitsmaßnahmen regelmäßig zu überprüfen und zu optimieren, um sich den sich ständig ändernden Bedrohungen anzupassen.
     

Eine ISO 27001 Zertifizierung bietet Unternehmen die Möglichkeit, ihre Informationssicherheit auf höchstem Niveau zu verwalten und sicherzustellen, dass ihre sensiblen Daten und Prozesse angemessen geschützt sind. Dies kann langfristig die Wettbewerbsfähigkeit steigern und das Vertrauen der Stakeholder stärken.

Wer braucht die ISO 27001?

Aufgrund der umfassenden Anwendbarkeit und der steigenden Bedeutung von Informationssicherheit in der digitalen Welt ist der Standard für fast alle Organisationen relevant.

  • Konzerne: Größe, Kritikalität der Daten sowie geografische Verteilung der Operationen und Vielfalt der Geschäftsprozesse machen die ISO 27001 unerlässlich für größere Unternehmen.
  • Klein- und Mittelständische Unternehmen (KMU): Nicht nur Großunternehmen, sondern auch KMUs sind zunehmend von Cyberbedrohungen betroffen. Die ISO 27001 bietet KMUs eine strukturierte Herangehensweise an Informationssicherheit, die skalierbar ist und sich an die Größe und spezifischen Bedürfnisse des Unternehmens anpassen lässt.
  • Start-ups: Für Start-ups, besonders im Technologiebereich, kann die frühzeitige Implementierung der ISO 27001 einen Wettbewerbsvorteil darstellen. Sie signalisiert potenziellen Investoren und Kunden ein ernsthaftes Engagement für Informationssicherheit.
  • Öffentlicher Sektor: Behörden und andere öffentliche Einrichtungen, die persönliche Daten der Bürger verwalten, benötigen robuste Sicherheitskontrollen, um diese Informationen zu schützen. Die ISO 27001 bietet einen Rahmen für den Schutz solcher Daten und hilft, das Vertrauen der Öffentlichkeit in die digitale Verwaltung zu stärken.

Gesetzliche Anforderungen galten bisher nur für sogenannte KRITIS-Unternehmen. Also Organisationen, die der Gesetzgeber als essenziellen Teil der öffentlichen Infrastruktur und entsprechend schützenswert einstuft. Diese Gruppe schützenswerter Unternehmen wird Ende 2024 durch die sogenannte NIS2-Richtlinie erweitert, die Unternehmen aus Branchen mit hoher und erhöhter Kritikalität zum Aufbau eines ISMS zwingt. Wer sich gemäß der gesetzlichen Anforderungen aufstellen möchte, ist mit der ISO 27001 sehr gut beraten.

Wie erlangt man die ISO 27001 Zertifizierung und wie lange dauert der Prozess?

Die Erlangung der ISO 27001 Zertifizierung ist ein strukturierter Prozess, der aus mehreren Phasen besteht. Die Dauer des Prozesses kann je nach Organisation unterschiedlich sein, abhängig von ihrer Größe, Komplexität und dem aktuellen Stand ihrer Informationssicherheitspraktiken. Im Durchschnitt dauert der Prozess von der ersten Entscheidung bis zur Zertifizierung etwa 6 bis 18 Monate.

Phase 1: Aufbau des ISMS

Der Aufbau des ISMS erfolgt in der Regel anhand folgender Schritte, wobei als Schritt Null und absolute Grundvoraussetzung die Verpflichtung der Unternehmensleitung angesehen werden kann. Diese muss sich dem Projekt verpflichten und entsprechende Ressourcen bereitstellen.

  1. Projektplan und Definition des Anwendungsbereichs („Scope“): Definieren Sie den Geltungsbereich des ISMS.
  2. Strategie und Bestandsaufnahme: Identifizieren Sie relevante Assets, Risiken und bestehende Kontrollen.
  3. Generierung von Richtlinien: Erstellen Sie die für Ihr Unternehmen relevanten Richtlinien („Policies“)
  4. Risikomanagement: Führen Sie eine Risikobewertung durch und erstellen Sie einen Plan zur Behandlung identifizierter Risiken.
  5. Management & KPI Überprüfung: Zur Erfolgsbewertung des ISMS werden vorher festgelegte KPIs gemessen
  6. Internes Audit und Nachbesserung: Beugt unnötigen Fehlern in der externen Zertifizierung vor
  7. Finale Vorbereitung: Vor allem logistische und organisatorische Abläufe

Infografik die die sieben Schritte zum Aufbau eines zertifizierbaren ISMS zeigt
Schritte zum Aufbau eines zertifizierbaren ISMS. Die angegebenen Zeitwerte beziehen sich auf eine durchschnittlich komplexe Organisation mit 50 Mitarbeitenden. Tatsächliche Werte können stark abweichen.

Phase 2: Zertifizierung

Nach Aufbau des ISMS und Durchführung eines internen Audits, steht die Wahl einer akkreditierten Zertifizierungsstelle für das externe Audit an. Achtung: Teilweise dauert es Monate einen Audit-Termin zu erhalten. Unternehmen mit knappen Deadlines sollten sich also früh um diesen Punkt kümmern.

Die Zertifizierung geschieht in zwei Phasen. Dem Stage 1 und Stage 2 Audit.

  • Stage 1 Audit: Dient der Vorbereitung für Stage 2. Hier wird eine erste Bereitschaft der Organisation für die ISO 27001 Zertifizierung anhand der erstellten Dokumente und deren Kontext geprüft. Ziel ist es eventuelle Lücken oder Inkonsistenzen innerhalb der Dokumentation zu aufzudecken. Die praktische Implementierung des ISMS in der Organisation wird in der Regel nicht geprüft.
  • Stage 2 Audit: Dies ist das eigentliche Audit. Hier prüfen Auditoren das ISMS und dessen Implementierung tiefgehend und bewerten dessen Wirksamkeit. Das Audit beinhaltet in der Regel eine Vor-Ort-Überprüfung der praktischen Anwendung der im ISMS festgelegten Richtlinien und Maßnahmen.

Phase 3: Überwachungsaudit

Um die Zertifizierung aufrechtzuerhalten, sind jährliche Überwachungsaudits notwendig. Diese Audits überprüfen, ob das ISMS weiterhin den Anforderungen der ISO 27001 entspricht und effektiv betrieben wird.

Phase 4: Rezertifizierung

Alle drei Jahre ist ein Rezertifizierungsaudit erforderlich, um die Zertifizierung zu erneuern. Dieses Audit ist umfangreicher als die Überwachungsaudits und bewertet das ISMS in seiner Gesamtheit.

ISO 27001 im Vergleich mit anderen Informationssicherheits-Standards

Uebersicht mit Kurzbeschreibung von ISO27001, SOC 2 und TISAX

ISO 27001 vs. TISAX®

Unternehmen, die das TISAX® Label anstreben, müssen in der Regel auch die ISO 27001 Zertifizierung erlangen, da die ISO 27001 Anforderungen in den TISAX® Standard einfließen. Die TISAX® Zertifizierung kann jedoch zusätzliche Anforderungen und Bewertungen enthalten, die speziell auf die Automobilindustrie zugeschnitten sind.


Das Trusted Information Security Assessment Exchange (TISAX®) Modell ist ein in der Automobilbranche anerkannter und auf sie zugeschnittener ISMS Standard für die Informationssicherheit.


Es gibt einige Unterschiede zwischen der ISO 27001-Zertifizierung und dem TISAX®-Label:


Branchenspezifische Anwendung

Die ISO 27001 Zertifizierung kann in Unternehmen aller Branchen angewendet werden, während das TISAX® Label speziell für die Automobilindustrie entwickelt wurde. Es konzentriert sich auf die Anforderungen und spezifischen Bedürfnisse der Automobilbranche.


Prüfungsmodule

Beim TISAX® Label gibt es drei Hauptmodule: Informationssicherheit, Prototypenschutz und Datenschutz. Das Hauptmodul Informationssicherheit basiert größtenteils auf den Anforderungen der ISO 27001 oder ISO 27002 und muss obligatorisch gewählt werden. Das Prototypenschutzmodul ist spezifisch für die Automobilindustrie und muss bei hohem oder sehr hohem Schutzbedarf geprüft werden.  


Assessment-Level

Beim TISAX® Label werden verschiedene Assessment-Level verwendet, um den Schutzbedarf zu bewerten. Level 1 gilt für Unternehmen mit normalem Schutzbedarf, Level 2 für Unternehmen mit hohem Schutzbedarf und Level 3 für Unternehmen mit sehr hohem Schutzbedarf. Die ISO 27001 Zertifizierung hat keine solche Bewertungsebene.


Standortbezogenes Label

Das TISAX® Label betrachtet den jeweiligen einzelnen Standort eines Unternehmens. Es kann auch mehrere Standorte umfassen. Im Gegensatz dazu kann die ISO 27001 Zertifizierung einzelne Produktlinien, Teilbereiche des Unternehmens oder das gesamte Unternehmen abdecken.


Obwohl TISAX® auf der ISO 27001 aufbaut, ist es ein eigenständiger Standard mit spezifischen Schwerpunkten für die Automobilindustrie. Die Wahl zwischen ISO 27001 und TISAX® hängt von den spezifischen Anforderungen und dem Anwendungsbereich eines Unternehmens ab. In einigen Fällen kann es sinnvoll sein, beide Zertifizierungen zu erlangen, um sowohl branchenübergreifende als auch branchenspezifische Anerkennung zu erlangen.

ISO 27001 vs. SOC 2

ISO 27001 ist ein umfassenderer Standard, der sich auf die Einrichtung und Aufrechterhaltung eines ISMS konzentriert. SOC 2 hingegen eignet sich spezifischer für SaaS-Unternehmen und Cloud-Services. Die Wahl zwischen ISO 27001 und SOC 2 hängt von den spezifischen Anforderungen sowie dem geografischen Standort eines Unternehmens ab.

Zu den wichtigsten Unterschieden zwischen den beiden Standards zählen:

Anwendungsbereich  

Die ISO 27001 ist ein global anerkannter Standard und kann in Unternehmen aller Branchen und Größen angewendet werden. Sie ist branchenübergreifend und flexibel. SOC 2 ist in erster Linie für Unternehmen in den USA und insbesondere für SaaS-Unternehmen und Cloud-Dienstleister relevant. Es hat eine stärkere Verbreitung in Nordamerika.

Schwerpunkt

Die ISO 27001 konzentriert sich auf die Implementierung und Aufrechterhaltung eines ISMS. SOC 2 konzentriert sich hauptsächlich auf die Sicherheit, wobei der Schutz eines Systems nach außen im Mittelpunkt steht. Es gibt fünf Trust-Services-Kriterien, wobei nur das Sicherheitskriterium obligatorisch ist.

Flexibilität

Die ISO 27001 bietet konkrete Anforderungen und definierte Maßnahmen zur Sicherstellung der Informationssicherheit. Es ist konsequenter und einheitlicher in Bezug auf die Sicherheitsmaßnahmen. SOC 2 bietet mehr Flexibilität bei der Auswahl der Maßnahmen zur Beseitigung von Sicherheitsrisiken. Dies kann schneller und kostengünstiger umzusetzen sein, führt jedoch zu weniger Einheitlichkeit in der Umsetzung.

Industrierelevanz

Die ISO 27001 ist für Unternehmen in allen Branchen und Größen relevant. Sie kann auf verschiedene Geschäftsbereiche und Unternehmensgrößen angewendet werden. SOC 2 ist besonders relevant für SaaS-Unternehmen, Cloud-Dienstleister und Unternehmen im Finanz- und Gesundheitswesen. Es ist in Nordamerika weit verbreitet.


Gemeinsamkeiten  

Beide Standards legen einen Schwerpunkt auf die Sicherheit von Unternehmenswerten und Daten. Das bedeutet, dass es in beiden Standards gewisse Überschneidungen bei den umzusetzenden Maßnahmen gibt. Beispielsweise müssen in beiden Standards angemessene Sicherheitskontrollen implementiert werden, um sicherzustellen, dass Daten vor unbefugtem Zugriff geschützt sind. Wenn ein Unternehmen also eine Zertifizierung beider Standards anstrebt, kann es einige Sicherheitsprozesse und -maßnahmen gemeinsam nutzen.


Sowohl ISO 27001 als auch SOC 2 erfordern eine unabhängige Überprüfung und Zertifizierung durch einen Dritten. In beiden Fällen führt eine unabhängige Prüfungsstelle (zum Beispiel ein Zertifizierungsunternehmen oder ein Prüfdienstleister) Audits durch, um sicherzustellen, dass die Anforderungen des jeweiligen Standards erfüllt sind.  

Diese Gemeinsamkeiten erleichtern es Unternehmen, beide Standards gleichzeitig zu implementieren und zu zertifizieren, da sie Synergieeffekte nutzen können. Dennoch ist es wichtig zu beachten, dass es auch Unterschiede gibt, insbesondere in Bezug auf den Anwendungsbereich, die spezifischen Anforderungen und die Zielgruppe der Zertifizierung.

Die Unterschiede zwischen ISO 27001, SOC 2 und TISAX® im Überblick

In der folgenden Vergleichstabelle stellen wir die unterschiedlichen Anwendungsbereiche und Anforderungen der ISMS Standards ISO 27001, SOC 2 und TISAX® vor.

 

Eigenschaft

SOC 2

ISO 27001

TISAX®

Anwendungsbereich

Primär in den USA und Nordamerika weit verbreitet

International weit verbreitet

In der deutschen Automobilbranche

Einführung und Aufsicht

Eingeführt von der AICPA (American Institute of Certified Public Accountants)

Eingeführt von der ISO (International Organization for Standardization)

Entwickelt für die Automobilindustrie

Art des Standards

Freiwilliger Compliance-Standard

Freiwilliger Compliance-Standard

Branchenspezifischer Standard

Prüfungsbereich

Prüft ein System auf Zugriff und Veränderung von außen, umfasst auch die Prüfung des betrieblichen ISMS

Betrifft die Informationssicherheit eines Unternehmens und fördert die Einrichtung eines ISMS

Erweitert die Anforderungen der ISO 27001 um spezifische Anforderungen für die Automobilbranche

Hauptziel

Zeigt, dass Daten sicher verwahrt werden und schafft Vertrauen bei Investoren und Kunden

Stärkt die Informationssicherheit, minimiert das Risiko von Hackerangriffen und erhöht das Vertrauen

Bietet einen Prüf- und Austauschmechanismus für Informationssicherheit in der Automobilbranche

Risikobewertung

Fokussiert auf den Schutz sensibler Daten und die Sicherung der IT-Systemverfügbarkeit

Basierend auf einer Risikoanalyse, die das Unternehmen durchführt, um angemessene Schutzmaßnahmen festzulegen

Berücksichtigt branchenspezifische Anforderungen und beinhaltet den Schutz von Prototypen und Geschäftsgeheimnissen

Transparenz und Verantwortung

Schafft Transparenz und betont die Verantwortung des Managements und der Mitarbeiter

Integriert Informationssicherheit in die Unternehmenskultur und erfordert die Schulung der Mitarbeiter

Bietet Transparenz und zeigt, dass sensible Daten sicher aufbewahrt sind, speziell in Bezug auf Automobilhersteller und Zulieferer

Schneller und günstiger zur ISO 27001?

Mithilfe der SECJUR Automatisierungsplattform erlangen Unternehmen ihre ISO 27001 Zertifizierung entspannt und sparen sich bis zu 50% der Kosten gegenüber herkömmlicher Beratung.

Mehr erfahren

Was kostet die ISO 27001 Zertifizierung?

Die Kosten für eine ISO 27001 Zertifizierung können erheblich variieren, abhängig von der Größe und Komplexität der Organisation, dem Standort, der Anzahl der zu zertifizierenden Geschäftseinheiten und den Gebühren der Zertifizierungsstelle. Generell lassen sich die Kosten in drei Hauptbereiche gliedern: Kosten für den Auditor/die Zertifizierungsstelle, interne Aufwände und Kosten für externe Expertise.

  1. Kosten für Auditor/Zertifizierungsstelle: Die Auditkosten umfassen die Gebühren der Zertifizierungsstelle für die Durchführung des Zertifizierungsaudits sowie der jährlichen Überwachungsaudits und der Rezertifizierung nach drei Jahren. Die Höhe dieser Gebühren variiert je nach Anbieter und Region. Für ein Unternehmen mit 50 Mitarbeitenden und mittlerer Komplexität kann grob von 10.000 Euro pro Jahr ausgegangen werden. Während die Kosten für das initiale Audit in der Regel am höchsten sind, fallen für die Überwachungsaudits und die Rezertifizierung ebenfalls nicht zu unterschätzende Kosten an.
  2. Interne Aufwände: Die internen Aufwände umfassen die Zeit und Ressourcen, die Ihre Organisation direkt in die Vorbereitung und Aufrechterhaltung des Informationssicherheitsmanagementsystems (ISMS) investiert. Dazu gehören die Zeit für die Schulung von Mitarbeitern, die Durchführung interner Audits, die Risikobewertung und -behandlung sowie die Implementierung von Sicherheitskontrollen. Diese Kosten können schwer zu quantifizieren sein, da sie stark von der bestehenden Ausgangslage und den internen Kapazitäten abhängen. Eine wesentliche Rolle spielen dabei die Mitarbeiterstunden, die für Planung, Implementierung und Management des ISMS aufgewendet werden. Erneut von 50 Mitarbeitenden in einer Organisation mittlerer Komplexität ausgehend, lässt sich sehr grob sagen, dass ein halber bis zwei Personentage an Aufwänden pro Woche entstehen.
  3. Kosten für externe Expertise: Viele Organisationen ziehen es vor, externe Berater oder Sicherheitsexperten hinzuzuziehen, um bei der Vorbereitung auf die ISO 27001 Zertifizierung zu unterstützen. Diese Experten können wertvolle Unterstützung bei der Erstellung der erforderlichen Dokumentation, der Implementierung von Sicherheitskontrollen und der Schulung von Mitarbeitern leisten. Die Kosten für externe Beratung variieren ebenfalls stark, je nach Bedarf und Dauer des Projekts, und können von einigen Zehntausenden bis hin zu Hunderttausenden Euro reichen.

Schneller und günstiger zur ISO 27001 dank Automatisierung

Wie wir in diesem Artikel dargestellt haben, ist das Erlangen und Halten der ISO 27001 Zertifizierung komplex und mit teilweise erheblichen Kosten verbunden. Mit unserer Automatisierungsplattform, dem SECJUR Digital Compliance Office (DCO), bauen und managen Unternehmen ihr zertifizierbares ISMS bequem, sparen sich einen Großteil der anfallenden Kosten und verkürzen ihre Zeit zur Zertifizierung signifikant. Dank unserer Expertinnen und Experten sind keine externen Berater notwendig, um Ihr Ziel zu erreichen.

Tobias Forbes

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 22, 2023
7 min
ISMS Zertifizierung: Welches Audit lohnt sich wirklich?

Sichern Sie nicht nur die Informationssicherheit Ihres Unternehmens, sondern stärken Sie auch das Vertrauen von Kunden und Partnern durch eine ISMS Zertifizierung. Erfahren Sie, was ein ISMS ist und wie es Risiken minimiert, die durch interne und externe Faktoren entstehen können. Die Implementierung eines ISMS ist nicht nur entscheidend für den Schutz sensibler Daten, sondern auch für die Erfüllung gesetzlicher Anforderungen und die Sicherung von Geschäftsmöglichkeiten, insbesondere in Branchen wie Gesundheitswesen, Finanzwesen und Industrie.

Lesen
June 7, 2023
5 min
Informationssicherheitsbeauftragter – das macht der ISB!

Ein Informationssicherheitsbeauftragter (ISB) ist zuständig für die allgemeine Informationssicherheit in einem Unternehmen oder einer Institution. Dabei ist zu beachten, dass es beim Informationssicherheitsbeauftragten keine fest geschriebene gesetzliche Definition gibt, wie es etwa bei einem Datenschutzbeauftragten der Fall ist. Vielmehr werden je nach Branche verschiedene Definitionen genutzt, beispielsweise im Finanzdienstleistungssektor. Woher weiß ein Unternehmen nun, ob es einen Informationssicherheitsbeauftragten braucht? Wir haben es in diesem Überblick zusammengefasst.

Lesen
July 7, 2023
5 min
Für wen gilt NIS 2? Der Überblick mit Infografik!

Viele deutsche Unternehmen und Einrichtungen stehen vor den Auswirkungen der neuen NIS2-Richtlinie. Ab 2024 wird in der gesamten EU ein hohes Maß an Cybersicherheit für Betreiber kritischer Infrastrukturen (KRITIS) durchgesetzt. Allerdings besteht nach wie vor viel Unsicherheit darüber, welche Unternehmen tatsächlich von der NIS 2 betroffen sind und welche bereits Maßnahmen ergreifen sollten. In diesem Artikel erfahren Sie, für wen die neue EU-Richtlinie NIS2 gilt und wie SECJUR die betroffenen Unternehmen bei der Umsetzung unterstützt.

Lesen
TO TOP