Kosten

Auf Basis der Informationen aus dem Erhebungsformulars, das dem Interessenten zur Verfügung gestellt wird, dem Erstgespräch und der von der Norm abhängigen Aufwandsdefinition, werden die Aufwendungen für die Zertifizierungstätigkeit inkl. der Personentage für die Audits festgesetzt. Daraus ergibt sich ein Zertifizierungsentgelt, das von der OCG im Angebot dem Kunden übermittelt wird.

Der Zeitbedarf zur Durchführung von ISO/IEC 27001:2013 Zertifizierungsaudits hängt unter anderem von folgenden Aspekten ab:

  • Abgrenzung des Managementsystems und des zu zertifizierenden Geltungsbereichs
  • Reifegrad des Managementsystems
  • Anzahl IT-Services
  • Anzahl Standorte, evtl. temporäre Standorte
  • Komplexität der Prozesse
  • Risikopotential des Tätigkeitsbereiches
  • Auditsprache(n)
  • Abhängigkeit von Lieferanten und Dienstleistern (Outsourcing von Leistungen)

Richtwerte

Anzahl MitarbeiterInnen im Scope

Audit-Aufwand für Zertifizierungsaudit (Rezertifizierungsaudit ca. -33%)

Auditor-Aufwand für Überwachungsaudit

1-10

5 Tage

1,5 Tage

11-25

7 Tage

2 Tage

26-45

8,5 Tage

3 Tage

46-65

10 Tage

3,5 Tage

66-85

11 Tage

4 Tage

86-125

12 Tage

4 Tage

126-175

13 Tage

4,5 Tage

176-275

14 Tage

5 Tage

276-425

15 Tage

5 Tage

426-625

16,5 Tage

5,5 Tage

626-875

17,5 Tage

6 Tage

875-1.175

18,5 Tage

6,5 Tage

>1.175

Siehe ISO/IEC 27006 C3.1

Siehe ISO/IEC 27006 C3.1

Die oben aufgeführten Aufwandswerte sind Richtwerte und können sich in Abhängigkeit der darüber angeführten Aspekte um einen Faktor zwischen 1,5 und 2 erhöhen, bei einem Rezertifizierungsaudit zusätzlich um ca. 1/3 verringern.