Vom QMS nach ISO 9001 zum integrierten Qualitäts-/ Informationssicherheitsmanagementsystem
Die im Oktober 2022 veröffentlichte überarbeitete Norm für Informationssicherheit ISO/IEC 27001 enthält neue Maßnahmen für mehr Cybersicherheit und Datenschutz. Und was hat das mit Qualitätsmanagement zu tun?
Der öffentliche Diskurs rund um die IT-basierten Gefährdungen wird von Tag zu Tag intensiver. Social-Engineering, Wahlmanipulation, Cyberangriffe und böswillige Datenmanipulation gefährden viele Organisationen. Damit steigen auch die Anforderungen an die IT-Sicherheit.
Ein Informationssicherheitsmanagementsystem (ISMS) kann unabhängig von der Unternehmensgröße helfen, sich gegen IT-basierte Gefährdungen effektiv zu schützen und beugt dem Verlust sensibler Daten vor. Der international etablierte Standard ISO/IEC 27001 ist die umfassendste Norm für Informationssicherheit und bietet einen detaillierten Rahmen für das Entwickeln, Einführen und Pflegen eines ISMS.
Die neue „HS“
Dabei basiert die ISO/IEC 27001 als eine der ersten Normen auf der neuen „Harmonized Structure“. Im Mai 2021 veröffentlichte die Internationale Organisation für Normung (ISO) überarbeitete Regeln und Inhalte für die High Level Structure (HLS): Einiges wurde klargestellt, ergänzt und gestrichen. So wurde aus der HLS die HS – die "Harmonized Structure" oder der "Harmonized Approach" (HA). Inhaltlich ändert sich nichts Wesentliches, die Kernanforderungen der HLS wurden weitgehend beibehalten. Auch wird die Harmonisierte Struktur erst mit der nächsten Revision der jeweiligen Norm, z.B. der ISO 9001 umgesetzt. Aber schon jetzt weisen gerade diese beiden Normen Ähnlichkeiten auf.
Synergieeffekte bei der Integration von QMS nach ISO 9001 und ISMS nach ISO/IEC 27001
Unternehmen, die über ein zertifiziertes Qualitätsmanagement nach ISO 9001 verfügen, haben bereits eine gute Grundlage für den schrittweisen Einstieg in eine komplette Informationssicherheit geschaffen.
In Normkapitel 7.5.3 der ISO 9001 geht es darum, dass die für das Qualitätsmanagementsystem erforderliche dokumentierte Information gelenkt werden muss, um sicherzustellen, dass sie „angemessen vor Verlust der Vertraulichkeit oder unsachgemäßem Gebrauch“, geschützt wird. Oder einfach gesagt: Es geht um Informationssicherheit.
Auch der Umgang mit Kundeneigentum (8.5.3. der ISO 9001) hat viele Schnittstellen zur Informationssicherheit – denn Kundeneigentum sind natürlich auch Informationen, die einer Organisation von ihren Kunden zur Verfügung gestellt werden und die vor Verlust und unautorisiertem Zugriff geschützt werden müssen, z.B. geistiges Eigentum oder personenbezogene Daten.
Durch die HS gibt es einige Anforderungen, die bereits in einem QMS nach ISO 9001 umgesetzt werden und die auch für das ISMS verwendet werden können. Dazu gehören:
- Festlegen der Unternehmensziele und ihre Nachverfolgung
- Dokumentenmanagement
- Internes Audit und Managementbewertung
- Korrektur- und Vorbeugungsmaßnahmen
- Personalmanagement
Die möglichen Synergieeffekte bei der Integration von beiden Normen sind in der folgenden Tabelle zusammengefasst.
Zusätzlich aber bei der Integration von beiden Normen wäre notwendig:
- Neben dem/der QMB muss eine Person als ISB benannt oder qualifiziert werden. Eine Personalunion ist möglich, sofern die Basisqualifikation dies ermöglicht.
- Integration der ISO/IEC 27001-Anforderungen ins bestehende QMS, besonders bzgl. Asset- und Risikomanagement
- Einführen einer geeigneten ISMS-Softwarelösung
- Aufstellen interner Regelwerke und Anpassen von allgemeinen und ISM-spezifischen Prozessen und Nachweisen
- Synchronisation mit dem QMS und dem Datenschutz
- Umsetzen der identifizierten Risikominderungsmaßnahmen (z.B. Einbruchmeldeanlage, Schlüsselverwaltung, etc.)
- Optimieren der IT-Organisation und der Berechtigungsstruktur inkl. Datensicherung
Vorteile bei der integrierten Zertifizierung von ISO 9001 und ISO/IEC 27001
- Erhebliche Kostenvorteile im Vergleich zur gesonderten Abwicklung der einzelnen Verfahren
- Vermeiden von Doppelbefragungen der Mitarbeitenden – zeit- und ressourcensparend
- Bis zu 20% reduzierte Auditdauer durch Zusammenlegen von Auditterminen
- Die Integration Ihrer Bemühungen zum Einhalten von QMS/ISMS Anforderungen stellt sicher, dass Ihre Organisation Ihren potenziellen Kunden gegenüber ein starkes ISMS und QMS demonstriert.
- Vielfältige Synergieeffekte durch prozessorientiertes Auditieren mehrerer Managementsysteme zugleich (intern und extern)
Überzeugen Sie sich selbst: Gerne lassen wir Ihnen ein unverbindliches Vergleichsangebot zukommen. Sie sind in einem Bereich bereits GUTcert-Kunde, lassen andere MS aber noch anderweitig zertifizieren? Dann ist vielleicht jetzt der richtige Zeitpunkt für einen Wechsel zur GUTcert.
Ansprechperson
Bei Fragen rund um die Zertifizierung nach ISO/IEC 27001 wenden Sie sich gerne an Nicola Mohr und zur Zertifizierung nach ISO 9001 hilft Ihnen gerne Miroslava Dubinetska weiter.