Kosten
Auf Basis der Informationen aus dem Erhebungsformulars, das dem Interessenten zur Verfügung gestellt wird, dem Erstgespräch und der von der Norm abhängigen Aufwandsdefinition, werden die Aufwendungen für die Zertifizierungstätigkeit inkl. der Personentage für die Audits festgesetzt. Daraus ergibt sich ein Zertifizierungsentgelt, das von der OCG im Angebot dem Kunden übermittelt wird.
Der Zeitbedarf zur Durchführung von ISO/IEC 27001:2013 Zertifizierungsaudits hängt unter anderem von folgenden Aspekten ab:
- Abgrenzung des Managementsystems und des zu zertifizierenden Geltungsbereichs
- Reifegrad des Managementsystems
- Anzahl IT-Services
- Anzahl Standorte, evtl. temporäre Standorte
- Komplexität der Prozesse
- Risikopotential des Tätigkeitsbereiches
- Auditsprache(n)
- Abhängigkeit von Lieferanten und Dienstleistern (Outsourcing von Leistungen)
Richtwerte
Anzahl MitarbeiterInnen im Scope |
Audit-Aufwand für Zertifizierungsaudit (Rezertifizierungsaudit ca. -33%) |
Auditor-Aufwand für Überwachungsaudit |
1-10 |
5 Tage |
1,5 Tage |
11-25 |
7 Tage |
2 Tage |
26-45 |
8,5 Tage |
3 Tage |
46-65 |
10 Tage |
3,5 Tage |
66-85 |
11 Tage |
4 Tage |
86-125 |
12 Tage |
4 Tage |
126-175 |
13 Tage |
4,5 Tage |
176-275 |
14 Tage |
5 Tage |
276-425 |
15 Tage |
5 Tage |
426-625 |
16,5 Tage |
5,5 Tage |
626-875 |
17,5 Tage |
6 Tage |
875-1.175 |
18,5 Tage |
6,5 Tage |
>1.175 |
Siehe ISO/IEC 27006 C3.1 |
Siehe ISO/IEC 27006 C3.1 |
Die oben aufgeführten Aufwandswerte sind Richtwerte und können sich in Abhängigkeit der darüber angeführten Aspekte um einen Faktor zwischen 1,5 und 2 erhöhen, bei einem Rezertifizierungsaudit zusätzlich um ca. 1/3 verringern.