03653 Wie Sie ein integriertes Managementsystem auf eine erfolgreiche Zertifizierung vorbereiten
|
Diese Fallstudie eines mittelständischen Unternehmens zeigt, wie Sie beim Aufbau eines integrierten Managementsystems nach ISO/IEC 27001 und ISO 9001 vorgehen können.
Oftmals kollidieren unternehmenseigene Interessen und Anforderungen von Kunden. Während das Unternehmen zur Verbesserung der stetig wachsenden Strukturen nur ein QM-System nach ISO 9001 aufbauen wollte, bestand ein wichtiger Kunde auf der Einführung von ISO/IEC 27001. Das gesetzte Zeitfenster erzeugte zusätzlichen Druck und führte zu der Frage, ob der Aufbau eines integrierten Managementsystems ohne Vorkenntnisse möglich sei.
Der Einblick in dieses Projekt zeigt ein mögliches Vorgehen für den Mittelstand vom Projektstart bis zur erfolgreichen Zertifizierung. Arbeitshilfen: von: |
1.1 Mittelständisches Unternehmen im Wachstum
Softwareunternehmen
Der Entwickler von Software ist ein Familienunternehmen in zweiter Generation. Die Entwicklungen sind am Markt etabliert und haben einen festen Kundenstamm.
Der Entwickler von Software ist ein Familienunternehmen in zweiter Generation. Die Entwicklungen sind am Markt etabliert und haben einen festen Kundenstamm.
Das Unternehmen befindet sich seit mehreren Jahren in einem Wachstumsschub. Dies macht sich in der Marktposition und wachsenden Umsätzen bemerkbar. Dieses Wachstum hat in den vergangenen Jahren zum einen zu einer Verstärkung in der Geschäftsleitung geführt und zum anderen zur Vergrößerung der Belegschaft. Dadurch entsteht mittlerweile der Bedarf nach größeren Räumlichkeiten. Das ist jedoch ein Projekt der Zukunft.
Systemzertifizierung beschlossen
Mit dem wachsenden Kundenkreis wachsen die Anforderungen an das Unternehmen. Daher haben die Gesellschafter eine Systemzertifizierung beschlossen.
Mit dem wachsenden Kundenkreis wachsen die Anforderungen an das Unternehmen. Daher haben die Gesellschafter eine Systemzertifizierung beschlossen.
Der neue Geschäftsführer brachte Vorerfahrung in der Zertifizierung nach ISO 9001 mit ins Unternehmen und machte die Einführung eines QM-Systems sogar zu einer Vertragsbedingung. Darin erkannte er die Chance, die historisch gewachsenen Strukturen in eine neue Prozessarchitektur zu bringen und gleichzeitig zu optimieren.
Der Geschäftsgegenstand und vor allem Kundenanforderungen von Hauptkunden bringen zudem noch die Zertifizierung nach ISO/IEC 27001 ins Spiel.
1.2 Zertifizierter Datenschutz vorhanden
Wertvolle Grundlage
Das Unternehmen besitzt bereits grundsätzliches Vorwissen zu Zertifizierungen, weil es neben Produktzertifikaten über ein Datenschutzmanagementsystem verfügt (DSMS). Dieses wird jährlichen Überwachungsaudits unterzogen und ist bereits rezertifiziert. Allerdings haben die Geschäftsführung und die Datenschutzbeauftragte Bedenken, dass es sich eher um einen Papiertiger handeln könnte. Mit anderen Worten: Man ist nicht hundertprozentig davon überzeugt, dass alle Regelungen des DSMS der wachsenden Belegschaft vertraut sind und konsequent gelebt werden. Daher wünscht man sich im Zuge der weiteren Zertifizierung, die bestehenden Regelungen zu prüfen und zu integrieren.
Das Unternehmen besitzt bereits grundsätzliches Vorwissen zu Zertifizierungen, weil es neben Produktzertifikaten über ein Datenschutzmanagementsystem verfügt (DSMS). Dieses wird jährlichen Überwachungsaudits unterzogen und ist bereits rezertifiziert. Allerdings haben die Geschäftsführung und die Datenschutzbeauftragte Bedenken, dass es sich eher um einen Papiertiger handeln könnte. Mit anderen Worten: Man ist nicht hundertprozentig davon überzeugt, dass alle Regelungen des DSMS der wachsenden Belegschaft vertraut sind und konsequent gelebt werden. Daher wünscht man sich im Zuge der weiteren Zertifizierung, die bestehenden Regelungen zu prüfen und zu integrieren.
1.3 ISO 9001 und ISO/IEC 27001 – Gemeinsamkeiten und Unterschiede
Wie in jedem Managementsystem, das sich nach Normen mit der High Level Structure (HLS) richtet, gibt es bei ISO 9001 und ISO/IEC 27001 eine große Schnittmenge. Gleichzeitig gibt es eine unterschiedliche Ausrichtung beider Normen, die berücksichtigt werden muss. Bei der Einführung eines integrierten Managementsystems lassen sich viele Gemeinsamkeiten gleich unter einen Hut bringen. Damit das Unternehmen das Managementsystem handhaben kann, sind Lernprozesse notwendig. Daher wurde in diesem Projekt darauf geachtet, die Integration nicht aus Beratungssicht optimal anzugehen, sondern aus der Perspektive des Kunden.
1.3.1 Der wesentliche Unterschied
Auch wenn es sich bei den Normen ISO 9001 und ISO/IEC 27001 um Systemnormen mit der gleichen HLS handelt, gibt es doch zumindest einen sehr wesentlichen Unterschied:
Ziel der ISO 9001
Die ISO 9001 verfolgt das Ziel der Kundenzufriedenheit. Dementsprechend steht die Prozessorientierung ganz weit oben. Alle Prozesse eines Unternehmens können mit der ISO 9001 erfasst und optimiert werden.
Die ISO 9001 verfolgt das Ziel der Kundenzufriedenheit. Dementsprechend steht die Prozessorientierung ganz weit oben. Alle Prozesse eines Unternehmens können mit der ISO 9001 erfasst und optimiert werden.
Ziel der ISO/IEC 27001
ISO/IEC 27001 verfolgt das Ziel der Informationssicherheit. Informationssicherheit benötigt ebenfalls einen unternehmerischen Rahmen, weshalb die Anforderungen der HLS greifen. Die wesentlichen Anforderungen sind im Anhang, in den sogenannten Controls, zu finden.
ISO/IEC 27001 verfolgt das Ziel der Informationssicherheit. Informationssicherheit benötigt ebenfalls einen unternehmerischen Rahmen, weshalb die Anforderungen der HLS greifen. Die wesentlichen Anforderungen sind im Anhang, in den sogenannten Controls, zu finden.
Während die ISO 9001 die Prozesse fokussiert, konzentriert sich die ISO/IEC 27001 auf die handelnden Personen in den Prozessen und die informationstechnische Infrastruktur. Das ist im Tagesgeschäft schon ein Unterschied, der im Austausch während der Schulung bestätigt wurde. Der Austausch war übrigens sehr wertvoll, da in ihm die wahrgenommenen Unsicherheiten im Umgang mit dem DSMS geäußert wurden.
Schulung der Führungskräfte
Es gab mehrere Schulungen, mit denen die Führungskräfte informiert wurden. Abbildung 1 zeigt als Auszug eine Folie, die gleichzeitig den Unterschied der Normen und das Ziel des integrierten Managementsystems zeigt. Die Gesichter symbolisieren den Kunden, der zu Beginn den Auftrag auslöst und zum Abschluss das Ergebnis erhält. Punkte und Pfeile stellen die Prozessschritte und ihre Verbindungen dar, die zum Teil nach extern führen. Damit ist die Zusammenarbeit mit externen Partnern hergestellt. Die orangefarbenen Symbole verweisen bei jedem Prozessschritt auf die drei wesentlichen Kriterien der Informationssicherheit, die eingehalten werden müssen (Vertraulichkeit, Integrität, Verfügbarkeit), auch gegenüber den Kunden und Partnern.
Es gab mehrere Schulungen, mit denen die Führungskräfte informiert wurden. Abbildung 1 zeigt als Auszug eine Folie, die gleichzeitig den Unterschied der Normen und das Ziel des integrierten Managementsystems zeigt. Die Gesichter symbolisieren den Kunden, der zu Beginn den Auftrag auslöst und zum Abschluss das Ergebnis erhält. Punkte und Pfeile stellen die Prozessschritte und ihre Verbindungen dar, die zum Teil nach extern führen. Damit ist die Zusammenarbeit mit externen Partnern hergestellt. Die orangefarbenen Symbole verweisen bei jedem Prozessschritt auf die drei wesentlichen Kriterien der Informationssicherheit, die eingehalten werden müssen (Vertraulichkeit, Integrität, Verfügbarkeit), auch gegenüber den Kunden und Partnern.
