ISO 27001:
Daten- & IT-Sicherheit

Die ISO 27001 beschäftigt sich mit der IT und Datensicherheit. Sie stellt sicher, dass dein Unternehmen sich der in ihm schlummernden Risiken bewusst ist und einen Umgang mit ihnen definiert hat. Zusätzlich betrachtet sie allgemeine Vorgaben der IT-Sicherheit, wie Verschlüsselung, Passwortsicherheit und Zugangskontrollen.

ISO-27001-Zertifizierung-Informationssicherheit-IT-Sicherheit

Zertifizierung für Startups

Wir garantieren dir eine schnelle und leichte ISO-27001-Zertifizierung. Meistens ist der Großteil an relevanten Prozessen bereits vorhanden. Wir optimieren diese und ergänzen den notwendigen Rest.

Deine Vorteile mit der ISO 27001

27001-Zertifizierung-Iso

Neue Kunden gewinnen

Manche Unternehmen fordern zwingend eine Zertifizierung der IT-Sicherheit ihrer Zulieferer.

Beratung-27001-ISO

Identifikation und Vermeidung des IT-Risikos

Bestimme passende und nachhaltige IT-Sicherheitsbestimmungen für dein Unternehmen.

27001-ISO-Beratung

Einheitliche Regelungen

Etabliere einen zertifizierten Standard für die Compliance-Anforderungen einzelner Kunden.

Zertifizierung-27001-Iso

Vereinfachte Kommunikation

Etabliere ein System, das deine Kommunikation gegenüber Kunden, Mitarbeitenden & Zulieferern vereinfacht.

Fragen zur Zertifizierung

Die ISO 27001 hat das Ziel die Informationssicherheit im Unternehmen zu erhöhen.

Die Normbeschreibungen klingen erstmal abschreckend. Prozesse werden allerdings in den meisten Unternehmen in der ein oder anderen Form schon durchgeführt. Es fehlt meist nur die entsprechende Dokumentation.

Hauptaugenmerkmal der ISO 27001 sind vor allem folgende Prozesse:

  1. Klarstellung der Verantwortlichkeiten und Kompetenzen im Unternehmen
  2. Risikoidentifikation, -bewertung und -behandlung
  3. Zugangskontrollen, virtuell und physisch
  4. Umgang mit Einbindung externer Dienste / Zulieferer
  5. Sicherstellung der Eignung der Mitarbeitenden für Aufgaben und Sicherheitsniveaus
  6. Berücksichtigung der Informationssicherheit im Entwicklungsprozess
  7. Definition alltäglicher Standards (u.a. Umgang mit privaten Endgeräten, Verschlüsselungsstandards)
  8. Umgang mit Sicherheitsvorfällen / Incident Management
  9. Ausfallplanung / Business Continuity Management

Hinter dem Managementsystem steckt eine Sammlung von Prozessen, Regeln und Instrumenten zur Zielerreichung.

Das Ziel der ISO 27001 ist die Überprüfung und Kontrolle der IT-Sicherheitsrisiken und die Vermeidung dieser. Hierfür wird deine IT-Landschaft analysiert und mögliche Risiken aus dieser abgeleitet. Der Umgang mit den Risiken wird anschließend in ein Managementsystem überführt. Die Zertifizierung prüft, ob die Herleitung, der Umfang und die Durchführung des Managementsystems den Erwartungen der Norm entsprechen.

Im Fall der ISO-27001-Zertifizierung variieren die Kosten abhängig von Unternehmensgröße, Komplexität, Schadenspotential der Daten und der Risikoaffinität des Managements. Sie lassen sich analog zum oben dargestellten Prozess in Vorbereitungskosten, interne und externe Auditkosten unterteilen. Hinzu kommen entsprechende Ausgaben in den Folgejahren. Siehe dazu auch die Frage „Was sind Folgekosten einer ISO 27001?“

Externe Auditkosten sind Kosten, die durch eine Zertifizierungsstelle für die Überprüfung des Unternehmens und dem Ausstellen eines Zertifikats anfallen. Diese belaufen sich bei Unternehmen von bis zu 30 Mitarbeitenden typischerweise auf circa 4 – 10 T€. Bei einer Unternehmensgröße ab 30 Mitarbeitenden lässt sich schwer eine pauschale Aussage treffen, da es stark vom Kontext des jeweiligen Unternehmens abhängt. Allgemein lässt sich allerdings sagen, dass die Kosten nicht immer linear zur Mitarbeiterzahl steigen.

Interne Auditkosten können komplett entfallen, wenn ein eigener Mitarbeiter diese Rolle übernimmt. Dies hängt allerdings von einer Reihe von Kriterien ab. Wird das interne Audit extern beauftragt, fallen hierfür bei einer Unternehmensgröße von bis zu 30 Mitarbeitenden 1 – 2 T€ jährlich an.

Vorbereitungskosten hängen von Größe und insbesondere der Organisationsarchitektur ab. Der Zertifizierungsprozess wird umso leichter und günstiger je mehr relevante Prozesse vorhanden sind. Je sensibler die Daten, umso komplexer die Prozesse. Nach einem kurzen Gespräch können wir dir meist schon eine grobe Einschätzung geben. Suche dir gerne hier einen Termin aus.

Nach der Zertifizierung solltest du die definierten Prozesse turnusmäßig durchführen. Auf Seiten des Managements ist das weniger als 1 Arbeitstag pro Quartal. Dies umfasst das Management Review, das interne Audit und die Überprüfung der Prozessresultate.

Für den zu ernennenden Informationssicherheitsbeauftragten (ISB) ist der Arbeitsaufwand stark abhängig von Art und Größe des Unternehmens, bewegt sich jedoch in aller Regel im Rahmen von wenigen Stunden pro Monat.

Dazu empfehlen wir eine regelmäßige Auswertung der beschlossenen Sicherheitsmaßnahmen. Siehe dazu auch die Frage: „Was beinhaltet die ISO 27001?“

Die Zertifizierung gilt für drei Jahre. Allerdings wird die Einhaltung der Norm in einem jährlichen Überwachungsaudit geprüft. Der Umfang des Überwachungsaudits ist geringer als der des (Erst-)Zertifizierungsaudits. Nach zwei erfolgreichen Überwachungsaudits wird wieder ein komplettes Zertifizierungsaudit fällig.

Allgemein hängen auch die Folgekosten sehr stark von der Unternehmensgröße und den relevanten Faktoren ab.  Mit der Erst-Zertifizierung ist meist der größte Teil der Arbeit und Kosten bereits geleistet. Siehe dazu auch die Frage: „Was sind die Kosten einer ISO-27001-Zertifizierung?“

Obwohl das Zertifikat drei Jahre gültig ist, wird es jährlich in einem Überwachungsaudit durch einen externen Auditor überprüft. Die Überwachungsaudits kosten jeweils etwa ein Drittel des Zertifizierungsaudits, also bei einem Unternehmen mit bis zu 30 Mitarbeitenden circa 2 – 4T€.

Nach 3 Jahren wird wieder ein Zertifizierungsaudit mit ähnlichen Kosten wie bei der Erstzertifizierung fällig.

Ebenfalls fallen meist Kosten für Interne Audits an. Diese können komplett entfallen, wenn ein eigener Mitarbeitender diese Rolle übernimmt, dies hängt allerdings von einigen Kriterien ab. Ansonsten sind hierfür bei einer Unternehmensgröße von bis zu 30 Mitarbeitenden meist 1 – 2 T€ jährlich fällig.

Hinzu kommen Kosten, die durch gegebenenfalls eingeführte Sicherheitsmaßnahmen verursacht werden (z.B. Penetrationstests, Software etc.)

Um die ISO 27001 mit uns zu implementieren muss keinerlei Normwissen seitens des Kunden vorhanden sein. Das übernehmen wir! Auch die Dokumentation mithilfe unserer eigenen Vorlagen kann in Zusammenarbeit oder durch uns erfolgen. 

Wir implementieren Managementsysteme ausschließlich digital. Dies kann auf unterschiedliche Art und Weise passieren. Gerne nutzen wir hierfür die von euch bereits genutzten Tools und bestehenden Strukturen, denn unser Anspruch ist es die Dokumentation schlank und so nutzbar wie möglich zu gestalten. Dafür benötigen wir jedoch auch euren Input, sodass ihr mit ca. 10 Stunden Arbeitsaufwand pro Woche (hauptsächlich durch den Informationssicherheitsbeauftragten) planen solltet.

Zudem empfehlen wir die Nutzung einer interaktiven Wiki- oder Wissensmanagementsoftware, da dies die Pflege und Nutzbarkeit des Informationssicherheitsmanagementsystems (ISMS) deutlich erleichtert. Gerne beraten wir euch zu den verschiedenen Möglichkeiten in einem persönlichen Gespräch.