Menü
Die ISO 27001 beschäftigt sich mit der IT und Datensicherheit. Sie stellt sicher, dass dein Unternehmen sich der in ihm schlummernden Risiken bewusst ist und einen Umgang mit ihnen definiert hat. Zusätzlich betrachtet sie allgemeine Vorgaben der IT-Sicherheit wie Verschlüsselung, Passwortsicherheit und Zugangskontrollen.
Neue Kunden gewinnen
Manche Unternehmen fordern zwingend eine Zertifizierung der IT-Sicherheit ihrer Zulieferer.
Identifikation und Vermeidung des IT-Risikos
Bestimme passende und nachhaltige IT-Sicherheitsbestimmungen für dein Unternehmen.
Einheitliche Regelungen
Etabliere einen zertifizierten Standard für die Compliance Anforderungen einzelner Kunden.
Vereinfachte Kommunikation
Etabliere ein System, das deine Kommunikation gegenüber Kunden, Mitarbeitenden & Zulieferern vereinfacht.
*für ein Startup mir 25 Mitarbeitenden und zügiger aber stressfreier Umsetzung
Dauer: 1 Tag
Vor Projektbeginn prüfen wir, ob Fördermittel für dich zur Verfügung stehen.
Häufig gibt es für die Einführung der ISO 27001 Fördermittel (z. B. https://www.digitalbonus.bayern/). Wir haben diese bereits mehrfach erhalten und unterstützen dich dabei, diese zu bekommen.
Dauer: 2-4 Monate
In der Vorbereitungsphase analysieren wir dein bestehendes Managementsystem, legen eine einheitliche Prozessdokumentation fest und unterstützen dich bei der Risikobewertung deiner Unternehmensaktivitäten.
Dauer: 1 Tag mit externem Zertifizierer
Wir begleiten dich am Tag deiner Zertifizierung.
Dauer: 1-2 Woche
Wir unterstützen dich auch nach deiner (Erst-)zertifizierung, z. B. bei der Vorbereitung interner Audits.
Die ISO 27001 hat das Ziel der Erhöhung der Informationssicherheit im Unternehmen.
Die Normbeschreibungen klingen erstmal abschreckend. Prozesse werden allerdings in den meisten Unternehmen in der ein oder anderen Form schon durchgeführt. Es fehlt meist nur die entsprechende Dokumentation.
Hauptaugenmerkmal der ISO 27001 sind vor allem folgende Prozesse:
Hinter dem Managementsystem steckt eine Sammlung von Prozessen, Regeln und Instrumenten zur Zielerreichung.
Das Ziel der ISO 27001 ist die Überprüfung und Kontrolle der IT-Sicherheitsrisiken und Vermeidung dieser. Hierfür wird deine IT-Landschaft analysiert und mögliche Risiken aus dieser abgeleitet. Der Umgang mit den Risiken wird dann in ein Managementsystem überführt. Die Zertifizierung prüft ob die Herleitung, der Umfang und die Durchführung des Managementsystems den Erwartungen der Norm entsprechen.
m Fall der ISO 27001-Zertifizierung variieren die Kosten abhängig von Unternehmensgröße, Komplexität, Schadenspotential der Daten und der Risikoaffinität des Managements. Sie lassen sich analog zum oben dargestellten Prozess in Vorbereitungskosten, interne und externe Auditkosten unterteilen. Hinzu kommen entsprechende Ausgaben in den Folgejahren. Siehe dazu auch die Frage „Was sind Folgekosten einer ISO 27001?“
Externe Auditkosten sind Kosten, die durch eine Zertifizierungsstelle für die Überprüfung des Unternehmens und dem Ausstellen eines Zertifikats anfallen. Diese belaufen sich bei Unternehmen von bis zu 30 Mitarbeitenden typischerweise auf circa 4 – 10 T€. Bei einer Unternehmensgröße ab 30 Mitarbeitenden lässt sich schwer eine pauschale Aussage treffen, da es stark vom Kontext des jeweiligen Unternehmens abhängt. Allgemein lässt sich allerdings sagen, dass die Kosten nicht immer linear zur Mitarbeiterzahl steigen.
Interne Auditkosten können komplett entfallen, wenn ein eigener Mitarbeiter diese Rolle übernimmt. Dies hängt allerdings von einer Reihe von Kriterien ab. Wird das interne Audit extern beauftragt, fallen hierfür bei einer Unternehmensgröße von bis zu 30 Mitarbeitenden 1 – 2 T€ jährlich an.
Vorbereitungskosten hängen von Größe und insbesondere der Organisationsarchitektur ab. Der Zertifizierungsprozess wird umso leichter und günstiger je mehr relevante Prozesse vorhanden sind. Je sensibler die Daten umso komplexer die Prozesse. Nach einem kurzen Gespräch können wir dir meist schon eine grobe Einschätzung geben. Suche dir gerne hier einen Termin aus.
Nach der Zertifizierung solltest du die definierten Prozesse turnusmäßig durchführen. Auf Seiten des Managements ist das weniger als 1 Arbeitstag pro Quartal. Dies umfasst das Management Review, das interne Audit und die Überprüfung der Prozessresultate.
Für den zu ernennenden Informationssicherheitsbeauftragten (ISB) ist der Arbeitsaufwand stark abhängig von Art und Größe des Unternehmens, bewegt sich jedoch in aller Regel im Rahmen von wenigen Stunden pro Monat.
Dazu empfehlen wir eine regelmäßige Auswertung der beschlossenen Sicherheitsmaßnahmen. Siehe dazu auch die Frage: „Was beinhaltet die ISO 27001?“
Die Zertifizierung gilt für drei Jahre. Allerdings wird die Einhaltung der Norm in einem jährlichen Überwachungsaudit geprüft. Dieses ist vom Umfang her kürzer als das (Erst-)Zertifizierungsaudit. Nach zwei erfolgreichen Überwachungsaudits wird wieder ein komplettes Zertifizierungsaudit fällig.
Allgemein hängen auch die Folgekosten sehr stark von der Unternehmensgröße und den relevanten Faktoren ab. Mit der Erst-Zertifizierung ist meist der größte Teil der Arbeit und Kosten bereits geleistet. Siehe dazu auch die Frage: „Was sind die Kosten einer ISO 27001 Zertifizierung?“
Obwohl das Zertifikat drei Jahre gültig ist, wird es jährlich in einem Überwachungsaudit durch einen externen Auditor überprüft. Die Überwachungsaudits kosten je etwa ein Drittel des Zertifizierungsaudits, also bei einem Unternehmen mit bis zu 30 Mitarbeitenden circa 2 – 4T€.
Nach 3 Jahren wird wieder ein Zertifizierungsaudit mit ähnlichen Kosten wie bei der Erstzertifizierung fällig.
Ebenfalls fallen meist Kosten für Interne Audits an. Diese können komplett entfallen, wenn ein eigener Mitarbeitender diese Rolle übernimmt, dies hängt allerdings von einigen Kriterien ab. Ansonsten sind hierfür bei einer Unternehmensgröße von bis zu 30 Mitarbeitenden meist 1 – 2 T€ jährlich fällig.
Hinzu kommen Kosten, die durch gegebenenfalls eingeführte Sicherheitsmaßnahmen verursacht werden (z.B. Penetrationstests, Software etc.)
Um die ISO 27001 mit uns zu Implementierung muss keinerlei Normwissen auf Kundenseite vorhanden sein. Das übernehmen wir! Auch die Dokumentation mithilfe von unseren eigenen Vorlagen kann in Zusammenarbeit oder durch uns erfolgen. .
Wir implementieren Managementsysteme ausschließlich digital. Dies kann auf unterschiedliche Art & Weise passieren. Gerne nutzen wir hierfür die von euch bereits genutzten Tools und bestehenden Strukturen, denn unser Anspruch ist es die Dokumentation schlank und so nutzbar wie möglich zu halten. Dafür benötigen wir jedoch auch euren Input, sodass ihr mit ca. 10 Stunden Arbeitsaufwand pro Woche auf eurer Seite (hauptsächlich durch den Informationssicherheitsbeauftragten) planen solltet.
Auch empfehlen wir die Nutzung einer interaktiven Wiki- oder Wissensmanagementsoftware, da dies die Pflege und Nutzbarkeit des Informationssicherheitsmanagementsystems (ISMS) beträchtlich steigert. Gerne beraten wir euch zu den verschiedenen Möglichkeiten in einem persönlichen Gespräch.
