Menü
Die ISO 27001 beschäftigt sich mit der IT und Datensicherheit. Sie stellt sicher, dass dein Unternehmen sich der in ihm schlummernden Risiken bewusst ist und einen Umgang mit ihnen definiert hat. Zusätzlich betrachtet sie allgemeine Vorgaben der IT-Sicherheit wie Verschlüsselung, Passwortsicherheit und Zugangskontrollen.
Wir garantieren dir eine schnelle und leichte ISO 27001-Zertifizierung. Meistens ist der Großteil an relevanten Prozessen bereits vorhanden. Wir optimieren diese und ergänzen den notwendigen Rest.
Neue Kunden gewinnen
Manche Unternehmen fordern zwingend eine Zertifizierung der IT-Sicherheit ihrer Zulieferer.
Identifikation und Vermeidung des IT-Risikos
Bestimme passende und nachhaltige IT-Sicherheitsbestimmungen für dein Unternehmen.
Einheitliche Regelungen
Etabliere einen zertifizierten Standard für die Compliance Anforderungen einzelner Kunden.
Vereinfachte Kommunikation
Etabliere ein System, das deine Kommunikation gegenüber Kunden, Mitarbeitenden & Zulieferern vereinfacht.
*für ein Startup mir 25 Mitarbeitenden und zügiger aber stressfreier Umsetzung
Dauer: 1 Tag
Vor Projektbeginn prüfen wir, ob Fördermittel für dich zur Verfügung stehen.
Häufig gibt es für die Einführung der ISO 27001 Fördermittel (z. B. https://www.digitalbonus.bayern/). Wir haben diese bereits mehrfach erhalten und unterstützen dich dabei, diese zu bekommen.
Dauer: 2-4 Monate
In der Vorbereitungsphase analysieren wir dein bestehendes Managementsystem, legen eine einheitliche Prozessdokumentation fest und unterstützen dich bei der Risikobewertung deiner Unternehmensaktivitäten.
Dauer: 1 Tag mit externem Zertifizierer
Wir begleiten dich am Tag deiner Zertifizierung.
Dauer: 1-2 Woche
Wir unterstützen dich auch nach deiner (Erst-)zertifizierung, z. B. bei der Vorbereitung interner Audits.
Nach der Zertifizierung solltest du die definierten Prozesse turnusmäßig durchführen. Auf Seiten des Managements ist das weniger als 1 Arbeitstag pro Quartal. Dies umfasst das Managementreview, das interne Audit und die Überprüfung der Prozessresultate.
Dazu empfehlen wir eine regelmäßige Auswertungen der beschlossenen Sicherheitsmaßnahmen. Siehe dazu auch die Frage: „Was beinhaltet die ISO 27001?“
Die Zertifizierung gilt für drei Jahre. Allerdings wird die Einhaltung der Norm in einem jährlichen Überwachungsaudit geprüft. Dieses ist vom Umfang her kürzer als der (Erst-)Zertifizierungsaudit. Nach zwei erfolgreichen Überwachungsaudits wird wieder ein komplettes Zertifizierungsaudit fällig.
Hinter dem Managementsystem steckt eine Sammlung von Prozessen, Regeln und Instrumenten zur Zielerreichung.
Das Ziel der ISO 27001 ist die Überprüfung und Kontrolle der IT-Sicherheitsrisiken und Vermeidung dieser. Hierfür wird deine IT-Landschaft analysiert und mögliche Risiken aus dieser abgeleitet. Der Umgang mit den Risiken wird dann in ein Managementsystem überführt. Die Zertifizierung prüft ob die Herleitung, der Umfang und die Durchführung des Managementsystems den Erwartungen der Norm entsprechen.
Die ISO 27001 hat das Ziel der Erhöhung der Informationssicherheit im Unternehmen.
Die Normbeschreibungen klingen erstmal abschreckend. Prozesse werden allerdings in den meisten Unternehmen in der ein oder anderen Form schon durchgeführt. Es fehlt meist nur die entsprechende Dokumentation.
Hauptaugenmerkmal der ISO 27001 sind vor allem folgende Prozesse:
Externe Auditkosten sind Kosten, die durch eine Zertifizierungsstelle für die Überprüfung des Unternehmens und dem Ausstellen eines Zertifikats anfallen. Diese belaufen sich bei Unternehmen von bis zu 30 Mitarbeitenden typischerweise auf circa 4 – 10 T€. Bei einer Unternehmensgröße ab 30 Mitarbeitenden, lässt sich schwer eine pauschale Aussage treffen, da es stark vom Kontext des jeweiligen Unternehmens abhängt. Allgemein lässt sich allerdings sagen, dass die Kosten nicht hunderprozentig linear zu der Mitarbeiterzahl steigen.
Interne Auditkosten können komplett entfallen, wenn ein eigener Mitarbeiter diese Rolle übernimmt. Dies hängt allerdings von einer Reihe von Kriterien ab. Mindestens fallen hierfür bei der Unternehmensgröße von bis zu 30 Mitarbeitenden 1 – 2 T€ jährlich an.
Vorbereitungskosten hängen von Größe und insbesondere der Organisationsarchitektur ab. Der Zertifizierungsprozess wird umso leichter und günstiger je mehr relevante Prozesse vorhanden sind. Je sensibler die Daten umso komplexer die Prozesse. Nach einem kurzen Gespräch können wir dir meist schon eine grobe Einschätzung geben. Suche dir gerne hier einen Termin aus.
Allgemein hängen auch die Folgekosten sehr stark von der Unternehmensgröße und den relevanten Faktoren ab. Mit der Erst-Zertifizierung ist meist der größte Teil der Arbeit und Kosten bereits getan. Siehe dazu auch die Frage: „Was sind die Kosten einer ISO 27001 Zertifizierung?“
Da das Zertifikat drei Jahre gültig ist wird es jährlich in Überwachungsaudit durch einen externen Auditor überprüft. Das erste Überwachungsaudit kostet etwa 30 % weniger als das Zertifizierungsaudit. Also bei einem Unternehmen mit bis zu 30 Mitarbeitenden circa 3 – 5T€. Das zweite Überwachungsaudit kostet etwa 60 % weniger als das Zertifizierungsaudit. Also bei einem Unternehmen mit bis zu 30 Mitarbeitenden circa 1 – 3T€.
Nach 3 Jahren wird wieder ein Zertifizierungsaudit mit ähnlichen Kosten wie die Erstzertifizierung fällig. Das sind bei einem Unternehmen mit bis zu 30 Mitarbeitenden meisten etwa 4 – 7T€.
Ebenfalls fallen meist Kosten für Interne Audits an. Diese können komplett entfallen, wenn ein eigener Mitarbeitender diese Rolle übernimmt, dies hängt allerdings von einigen Kriterien ab. Ansonsten sind hierfür bei einer Unternehmensgröße von bis zu 30 Mitarbeitenden meist 1 – 2 T€ jährlich fällig.
Hinzu kommen Kosten, die durch eingeführte Sicherheitsmaßnahmen verursacht werden (z.B. Penetrationstests, Software etc.)