ISO-27001-Zertifizierung-Informationssicherheit-IT-Sicherheit

ISO 27001:
Daten- & IT-Sicherheit

Die ISO 27001 beschäftigt sich mit der IT und Datensicherheit. Sie stellt sicher, dass dein Unternehmen sich der in ihm schlummernden Risiken bewusst ist und einen Umgang mit ihnen definiert hat. Zusätzlich betrachtet sie allgemeine Vorgaben der IT-Sicherheit wie Verschlüsselung, Passwortsicherheit und Zugangskontrollen.

Zertifizierung von Startup für Startup

Wir garantieren dir eine schnelle und leichte ISO 27001-Zertifizierung. Meistens ist der Großteil an relevanten Prozessen bereits vorhanden. Wir optimieren diese und ergänzen den notwendigen Rest.

Deine Vorteile mit der ISO 27001

27001-Zertifizierung-Iso

Neue Kunden gewinnen

Manche Unternehmen fordern zwingend eine Zertifizierung der IT-Sicherheit ihrer Zulieferer.

Beratung-27001-ISO

Identifikation und Vermeidung des IT-Risikos

Bestimme passende und nachhaltige IT-Sicherheitsbestimmungen für dein Unternehmen.

27001-ISO-Beratung

Einheitliche Regelungen

Etabliere einen zertifizierten Standard für die Compliance Anforderungen einzelner Kunden.

Zertifizierung-27001-Iso

Vereinfachte Kommunikation

Etabliere ein System, das deine Kommunikation gegenüber Kunden, Mitarbeitenden & Zulieferern vereinfacht.

Dein Zertifizierungsprozess mit Cert4Startups*

*für ein Startup mir 25 Mitarbeitenden und zügiger aber stressfreier Umsetzung

Wir recherchieren das für dich passende Fördermittel

Dauer: 1 Tag

Vor Projektbeginn prüfen wir, ob Fördermittel für dich zur Verfügung stehen.

Häufig gibt es für die Einführung der ISO 27001 Fördermittel (z. B. https://www.digitalbonus.bayern/). Wir haben diese bereits mehrfach erhalten und unterstützen dich dabei, diese zu bekommen.

Wir evaluieren bestehende Prozesse und legen deine Roadmap zum Zertifikat fest

Dauer: 2-4  Monate

In der Vorbereitungsphase analysieren wir dein bestehendes Managementsystem, legen eine einheitliche Prozessdokumentation fest und unterstützen dich bei der Risikobewertung deiner Unternehmensaktivitäten.

Nach Optimierung deiner Prozesse bist du bereit für die finale Begutachtung

Dauer: 1 Tag mit externem Zertifizierer

Wir begleiten dich am Tag deiner Zertifizierung.

Nach erfolgreicher Zertifizierung unterstützen wir die Nachbereitung

Dauer: 1-2 Woche

Wir unterstützen dich auch nach deiner (Erst-)zertifizierung, z. B. bei der Vorbereitung interner Audits.

Nach der Zertifizierung solltest du die definierten Prozesse turnusmäßig durchführen. Auf Seiten des Managements ist das weniger als 1 Arbeitstag pro Quartal. Dies umfasst das Managementreview, das interne Audit und die Überprüfung der Prozessresultate.

Dazu empfehlen wir eine regelmäßige Auswertungen der beschlossenen Sicherheitsmaßnahmen. Siehe dazu auch die Frage: „Was beinhaltet die ISO 27001?“

Die Zertifizierung gilt für drei Jahre. Allerdings wird die Einhaltung der Norm in einem jährlichen Überwachungsaudit geprüft. Dieses ist vom Umfang her kürzer als der (Erst-)Zertifizierungsaudit. Nach zwei erfolgreichen Überwachungsaudits wird wieder ein komplettes Zertifizierungsaudit fällig.

Hinter dem Managementsystem steckt eine Sammlung von Prozessen, Regeln und Instrumenten zur Zielerreichung.

Das Ziel der ISO 27001 ist die Überprüfung und Kontrolle der IT-Sicherheitsrisiken und Vermeidung dieser. Hierfür wird deine IT-Landschaft analysiert und mögliche Risiken aus dieser abgeleitet. Der Umgang mit den Risiken wird dann in ein Managementsystem überführt. Die Zertifizierung prüft ob die Herleitung, der Umfang und die Durchführung des Managementsystems den Erwartungen der Norm entsprechen.

 

Die ISO 27001 hat das Ziel der Erhöhung der Informationssicherheit im Unternehmen.

Die Normbeschreibungen klingen erstmal abschreckend. Prozesse werden allerdings in den meisten Unternehmen in der ein oder anderen Form schon durchgeführt. Es fehlt meist nur die entsprechende Dokumentation.

Hauptaugenmerkmal der ISO 27001 sind vor allem folgende Prozesse:

  • Klarstellung der Verantwortlichkeiten und Kompetenzen im Unternehmen
  • Zugangskontrollen, virtuell und physisch
  • Umgang mit Einbindung externer Dienste / Zulieferer
  • Sicherstellung der Eignung der Mitarbeitenden für Aufgaben und Sicherheitsniveaus
  • Berücksichtigung der Informationssicherheit im Entwicklungsprozess
  • Definition alltäglicher Standards (u.a. Umgang mit privaten Endgeräten, Verschlüsselungsstandards)
  • Umgang mit Sicherheitsvorfällen / Incident Management
  • Ausfallplanung / Business Continuity Management
 
Eine gute Quelle für viele Informationen ist das kostenlose Toolkit und die Community rund um: https://www.iso27001security.com/.
Im Fall der ISO 27001-Zertifizierung variieren die Kosten abhängig von Unternehmensgröße, Komplexität, Schadenspotential der Daten und der Risikoaffinität des Managements. Sie lassen sich analog zum oben dargestellten Prozess in Vorbereitungs- kosten, interne und externe Auditkosten unterteilen. Hinzu kommen entsprechende Ausgaben in den Folgejahren. Siehe dazu auch die Frage „Was sind Folgekosten einer ISO 27001?“
 

Externe Auditkosten sind Kosten, die durch eine Zertifizierungsstelle für die Überprüfung des Unternehmens und dem Ausstellen eines Zertifikats anfallen. Diese belaufen sich bei Unternehmen von bis zu 30 Mitarbeitenden typischerweise auf circa 4 – 10 T€. Bei einer Unternehmensgröße ab 30 Mitarbeitenden, lässt sich schwer eine pauschale Aussage treffen, da es stark vom Kontext des jeweiligen Unternehmens abhängt. Allgemein lässt sich allerdings sagen, dass die Kosten nicht hunderprozentig linear zu der Mitarbeiterzahl steigen.

Interne Auditkosten können komplett entfallen, wenn ein eigener Mitarbeiter diese Rolle übernimmt. Dies hängt allerdings von einer Reihe von Kriterien ab. Mindestens fallen hierfür bei der Unternehmensgröße von bis zu 30 Mitarbeitenden 1 – 2 T€ jährlich an.

Vorbereitungskosten hängen von Größe und insbesondere der Organisationsarchitektur ab. Der Zertifizierungsprozess wird umso leichter und günstiger je mehr relevante Prozesse vorhanden sind. Je sensibler die Daten umso komplexer die Prozesse. Nach einem kurzen Gespräch können wir dir meist schon eine grobe Einschätzung geben. Suche dir gerne hier einen Termin aus.

Allgemein hängen auch die Folgekosten sehr stark von der Unternehmensgröße und den relevanten Faktoren ab.  Mit der Erst-Zertifizierung ist meist der größte Teil der Arbeit und Kosten bereits getan. Siehe dazu auch die Frage: „Was sind die Kosten einer ISO 27001 Zertifizierung?“

Da das Zertifikat drei Jahre gültig ist wird es jährlich in Überwachungsaudit durch einen externen Auditor überprüft. Das erste Überwachungsaudit kostet etwa 30 % weniger als das Zertifizierungsaudit. Also bei einem Unternehmen mit bis zu 30 Mitarbeitenden circa 3 – 5T€. Das zweite Überwachungsaudit kostet etwa 60 % weniger als das Zertifizierungsaudit. Also bei einem Unternehmen mit bis zu 30 Mitarbeitenden circa 1 – 3T€.

Nach 3 Jahren wird wieder ein Zertifizierungsaudit mit ähnlichen Kosten wie die Erstzertifizierung fällig. Das sind bei einem Unternehmen mit bis zu 30 Mitarbeitenden meisten etwa 4 – 7T€.

Ebenfalls fallen meist Kosten für Interne Audits an. Diese können komplett entfallen, wenn ein eigener Mitarbeitender diese Rolle übernimmt, dies hängt allerdings von einigen Kriterien ab. Ansonsten sind hierfür bei einer Unternehmensgröße von bis zu 30 Mitarbeitenden meist 1 – 2 T€ jährlich fällig.

Hinzu kommen Kosten, die durch eingeführte Sicherheitsmaßnahmen verursacht werden (z.B. Penetrationstests, Software etc.)