Wie teuer ist die Umsetzung von ISO 27001?

Dies ist normalerweise eine der ersten Fragen, die mir von potenziellen Kunden gestellt wird. Zu ihrer Enttäuschung kann ich ihnen die genaue Zahl nicht sofort nennen – hier ist der Grund.

In erster Linie hängen die Gesamtkosten der Umsetzung von der Größe Ihres Unternehmens ab (oder der Größe der Unternehmenseinheit(en), die in den Anwendungsbereich der ISO 27001 aufgenommen werden, der Kritikalität von Informationen (zum Beispiel werden Informationen in Banken als kritischer erachtet, so dass ein höheres Maß an Schutz erforderlich ist), der vom Unternehmen verwendeten Technologie (zum Beispiel haben Rechenzentren wegen ihrer komplexen Systeme tendenziell höhere Kosten) und den gesetzlichen Anforderungen (in der Regel sind Finanzbranche und staatliche Sektoren hinsichtlich der Informationssicherheit in höchstem Maße reguliert).

Zweitens wird es nicht möglich sein, die genauen Kosten zu berechnen, bevor Sie nicht wissen, welchen Schutz Sie brauchen – Sie müssen zuerst Risikoeinschätzungen durchführen. Eine solche Analyse sagt Ihnen, welche Sicherheitsmaßnahmen erforderlich sind.

Wenn Sie die Ergebnisse der Risikoeinschätzung kennen, müssen Sie die folgenden Kosten berücksichtigen:

1. Kosten für Fachliteratur und Schulung

Die Umsetzung der ISO 27001 erfordert Änderungen in Ihrem Unternehmen und neue Qualifikationen. Sie können Ihre Mitarbeiter durch den Kauf verschiedener Bücher zum Thema und/oder durch die Entsendung zu Kursen (Präsenz- oder Onlinekurse) vorbereiten – diese Kurse dauern zwischen 1 bis 5 Tagen (lesen Sie Lernen über ISO 27001 und BS 25999-2).

Und vergessen Sie nicht, die ISO 27001 Norm selbst zu kaufen – zu oft besuche ich Unternehmen, welche die Norm umsetzen, ohne sie wirklich zu sehen.


2. Kosten für externe Unterstützung

Leider reicht eine Schulung Ihrer Mitarbeiter nicht aus. Sollten Sie keine Projektmanager mit weitreichender Erfahrung bei der Umsetzung der ISO 27001 zur Verfügung haben, so benötigen Sie jemanden, der über solche Kenntnisse verfügt – Sie können entweder einen Berater engagieren oder alternativ Online-Hilfe in Anspruch nehmen (das machen wir bei der der 27001Academy).

Der größte Mehrwert eines Mitarbeiters, der Sie bei dieser Art von Projekten unterstützt, besteht darin, dass Sie am Ende nicht in einer Sackgasse stecken – nach monatelangen Aktivitäten, die nicht wirklich notwendig gewesen sind oder nach Unmengen an Dokumentation, die gemäß der Norm nicht erforderlich waren. Und das kostet wirklich.

Doch seien Sie diesbezüglich vorsichtig – erwarten Sie nicht, dass der Berater die gesamte Umsetzung für Sie erledigt – die ISO 27001 kann nur von Ihren Mitarbeitern umgesetzt werden.

3. Kosten für die Technologie

Es mag komisch klingen, aber die meisten Unternehmen, mit denen ich gearbeitet habe, brauchten keine großen Investitionen in Hardware, Software oder Ähnliches – alles dies war bereits vorhanden. Die größte Herausforderung bestand in der Regel darin, wie vorhandene Technologie auf eine sicherere Weise genutzt werden sollte.

Allerdings müssen Sie diese Investitionen planen, falls sie sich als notwendig erweisen.

4. Kosten für Mitarbeiterzeit

Weder setzt sich die Norm selbst um noch kann sie alleine von einem Berater umgesetzt werden (falls Sie einen engagieren). Ihre Mitarbeiter müssen einige Zeit aufwenden, um herauszufinden, wo die Risiken liegen und wie bestehende Verfahren und Leitlinien verbessert werden können. Ebenso benötigen sie Zeit, um sich für die neuen Aufgaben und die Anpassung an neue Regeln weiterzubilden.

5. Kosten für die Zertifizierung

Wenn Sie einen öffentlichen Nachweis erhalten möchten, dass Sie ISO 27001 erfüllen, so muss die Zertifizierungsstelle ein Zertifizierungsaudit durchführen. Die Kosten dafür hängen von der Anzahl der Manntage für diese Aufgabe ab. Der Aufwand reicht von 10 Arbeitstagen für kleinere Unternehmen bis zu ein paar Dutzend Arbeitstage für größere Organisationen. Die Kosten für einen Manntag sind je nach den örtlichen Marktverhältnissen unterschiedlich.

Sie müssen sehr vorsichtig sein, die tatsächlichen Kosten des ISO 27001 Projekts nicht zu unterschätzen – falls doch, so wird Ihr Management beginnen, Ihr Projekt in einem negativen Licht zu sehen. Auf der anderen Seite wird eine korrekte Prognose sämtlicher Kosten Ihre Professionalität unter Beweis stellen. Vergessen Sie nicht: Sie müssen immer Kosten und Nutzen präsentieren – lesen Sie dazu Vier wichtige Vorteile der ISO 27001 Umsetzung.

Dieses kostenlose Whitepaper hilft Ihnen bei der Frage: How to Budget an ISO 27001 Implementation Project.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tags: #ISO 27001