5. Oktober 2020

Wie hoch sind die Kosten einer ISO 27001-Zertifizierung?

Von Joachim Reinke

Oktober 5, 2020

ISO 27001, Kosten, Zertifizierungsprojekt

Die erste und wichtigste Frage für jede Organisation, die sich vor einer ISO 27001-Zertifizierung sieht, ist die Frage nach den Kosten:

Wie teuer ist eine ISO 27001 Zertifizierung?

Grund genug, darauf mal in diesem Artikel einzugehen!

Die Kosten für die ISO 27001-Zertifizierung unterteilen sich in die folgenden drei Blöcke:

1. Kosten für Ihr eigenes Personal

Zeit: Der erste Faktor, über den wir bei den Personalkosten reden, ist der Faktor Zeit: Gehen Sie bitte von ca. 6 bis 24 Monaten Dauer aus, die Sie für Ihr Projekt minimal benötigen werden (dem Thema Zeit haben wir hier noch einmal einen separaten Artikel gewidmet). Je eher das Projekt ISO 27001 "on top" auf Ihre Tagesarbeit kommt, desto länger wird die Projektdauer sein. Je strukturierter bei Ihnen gearbeitet wird und je mehr an Regeln für die gemeinsame Arbeit bereits aufgeschrieben ist und gelebt wird, desto kürzer.

Projektleiter oder Projektleiterin: Planen Sie bitte einen Projektleiterposten ein. Ihr Projektleiter bzw. Ihre Projektleiterin wird in Ihrem ISO 27001-Projekt zu ca. 50% projektleiterisch tätig sein. Je mehr Abteilungen mitarbeiten und je größer die Anzahl an Mitarbeitern darin ist, desto eher wird der Projektleiter Vollzeit mit dem Projekt beschäftigt sein.

Gehen Sie bitte der Einfachheit halber davon aus, dass Sie den Projektleiter vollständig benötigen, wenn Sie drei Abteilungen oder mehr in Ihrem Projekt haben, die alle gewohnt sind, Ihre Autonomie gegenüber einander deutlich zu vertreten.

Rein rechnerisch benötigen Sie Ihren Projektleiter also zw. ca. 60 PT und 180 PT.

Projektteam: Planen Sie bitte für jede "Abteilung" (i.S.v. autonomer Betriebseinheit mit eigenem Aufgabenbereich) eine Person ein, die sich zumindest phasenweise Vollzeit mit dem Thema ISO 27001-Zertifizierung beschäftigt. Vollzeit v.a. deswegen, weil diese eine Person auch als Multiplikator innerhalb ihrer Abteilung arbeiten muss und hier viel konsultieren wird. Sie benötigen darüber hinaus innerhalb jeder Abteilung durchgängig weitere Ressourcen zur Unterstützung.

Rein rechnerisch kommen für zwei "Abteilungen" damit bspw. etwa 100 PT bis 300 PT zusammen.

Personalkosten zusammen also ganz grob zw. 160 PT und 500 PT.

2. Kosten für Beratung

Vielfach werden externe Berater eingesetzt, um bei der ISO 27001-Zertifizierung zu unterstützen. Typischerweise verbringen diese etwa 20 PT bis 50 PT beim Kunden vor Ort. Bei größeren Unternehmen oder Anwendungsbereichen ab ca. 50 Personen sind auch zwei Berater üblich. Tagessätze liegen dabei grob zw. 800 EUR (Junior-Berater) und 1.500 EUR (Senior Berater, Lead Auditor). Der Umfang des Einsatzes von Beratern hängt auch davon ab, wieviel der "Arbeit" Sie selbst machen möchten und wieviel Sie "outsourcen" wollen.

Beratungskosten schlagen daher grob mit ca. 16.000 EUR bis ca. 150.000 EUR zu Buche.

UNSER TIPP: Den Einsatz von Beratern können Sie sich über gute Videoberatungskurse jedoch völlig sparen.

3. Kosten der ISO 27001 Zertifizierung selbst

Zum Schluss kostet die Zertifizierung natürlich ebenfalls Geld. Zertifizierer sind hier durch die DAkkS gehalten, nach einer Kostentabelle zu arbeiten. Hier gehen als Faktoren die Anzahl an Standorten und die Anzahl an Mitarbeitern ein, die im Anwendungsbereich Ihrer Zertifizierung liegen.

Grundsätzlich lässt sich sagen, dass hier Kosten ab etwa 10.000 EUR entstehen werden (für einen Standort und sehr wenige Mitarbeiter) und dann mit der Anzahl an Mitarbeitern und Standorten steigen (Stufenfunktion).

Wenn Sie wissen möchten, wie Sie Ihre Projektkosten im Griff behalten können, vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Sind noch Fragen offen geblieben? Dann schreiben Sie uns doch gleich hier rechts unten auf der Seite im Chat!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.


Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}