Im Fall der ISO 27001-Zertifizierung variieren die Kosten abhängig von Unternehmensgröße, Komplexität, Schadenspotential der Daten und der Risikoaffinität des Managements. Sie lassen sich analog zum oben dargestellten Prozess in Vorbereitungskosten, interne und externe Auditkosten unterteilen. Hinzu kommen entsprechende Ausgaben in den Folgejahren. Siehe dazu auch die Frage „Was sind Folgekosten einer ISO 27001?“
Externe Auditkosten sind Kosten, die durch eine Zertifizierungsstelle für die Überprüfung des Unternehmens und dem Ausstellen eines Zertifikats anfallen. Diese belaufen sich bei Unternehmen von bis zu 30 Mitarbeitenden typischerweise auf circa 4 – 10 T€. Bei einer Unternehmensgröße ab 30 Mitarbeitenden lässt sich schwer eine pauschale Aussage treffen, da es stark vom Kontext des jeweiligen Unternehmens abhängt. Allgemein lässt sich allerdings sagen, dass die Kosten nicht immer linear zur Mitarbeiterzahl steigen.
Interne Auditkosten können komplett entfallen, wenn ein*e eigene*r Mitarbeiter*in diese Rolle übernimmt. Dies hängt allerdings von einer Reihe von Kriterien ab. Wird das interne Audit extern beauftragt, fallen hierfür bei einer Unternehmensgröße von bis zu 30 Mitarbeitenden 1 – 2 T€ jährlich an.
Vorbereitungskosten hängen von Größe und insbesondere der Organisationsarchitektur ab. Der Zertifizierungsprozess wird umso leichter und günstiger je mehr relevante Prozesse vorhanden sind. Je sensibler die Daten, umso komplexer die Prozesse. Nach einem kurzen Gespräch können wir Ihnen eine Einschätzung geben.