Die Kosten hängen mit dem Zeitaufwand zusammen.
Auf Basis der Informationen aus dem Erhebungsformulars, dem Erstgespräch und der von der Norm abhängigen Aufwandsdefinition, wird der Aufwand für die Zertifizierungstätigkeit inkl. der Personentage für die Audits festgesetzt. Daraus ergibt sich ein Zertifizierungsentgelt, das von der OCG im Angebot dem Kunden übermittelt wird.
Der Zeitbedarf zur Durchführung von ISO/IEC 27001 Zertifizierungsaudits hängt unter anderem von folgenden Aspekten ab:
- Abgrenzung des Managementsystems und des zu zertifizierenden Geltungsbereichs
- Reifegrad des Managementsystems
- Anzahl IT-Services
- Anzahl Standorte, evtl. temporäre Standorte
- Komplexität der Prozesse
- Risikopotential des Tätigkeitsbereiches
- Auditsprache(n)
- Abhängigkeit von Lieferanten und Dienstleistern (Outsourcing von Leistungen)
Richtwerte
Die aufgeführten Aufwandswerte sind Richtwerte für den Audit-Aufwand
| Anzahl Mitarbeiter*innen im Scope | Audit-Aufwand für Zertifizierungsaudit (Rezertifizierungsaudit ca. -33%) | Auditor-Aufwand für Überwachungsaudit |
| 1-10 | 5 Tage | 1,5 Tage |
| 11-15 | 6 Tage | 2 Tage |
| 15-25 | 7 Tage | 2,5 Tage |
| 26-45 | 8,5 Tage | 3 Tage |
| 46-65 | 10 Tage | 3,5 Tage |
| 66-85 | 11 Tage | 4 Tage |
| 86-125 | 12 Tage | 4 Tage |
| 126-175 | 13 Tage | 4,5 Tage |
| 176-275 | 14 Tage | 5 Tage |
| 276-425 | 15 Tage | 5 Tage |
| 426-625 | 16,5 Tage | 5,5 Tage |
| 626-875 | 17,5 Tage | 6 Tage |
| 875-1.175 | 18,5 Tage | 6,5 Tage |
| >1.175 | Siehe ISO/IEC 27006 C 1 | Siehe ISO/IEC 27006 C 1 |