The ISO 27001 & ISO 22301 Blog

    Dejan Kosutic

    ISO 27001 mithilfe von ISO 9001 umsetzen

    Sie haben ISO 9001 bereits umgesetzt? Sie haben gehört, dass ISO 27001 eine gute Idee ist? Aber wie kann etwas, was mit Qualität zu tun hat, Sie bei der Umsetzung von Informationssicherheit unterstützen?

    Es kann das sicher mehr als Sie vielleicht denken … ISO 9001 legt fest, wie das Qualitätsmanagementsystem (QMS) aussehen muss, während ISO/IEC 27001 die Informationssicherheits-Managementsysteme (ISMS) definiert. Daher ist der Teil zu den „Managementsystemen“ der gleiche – worum geht es dabei eigentlich?

    Die Philosophie der Managementsysteme hat sich aus der Theorie von W. Edwards Deming in der zweiten Hälfte des 20. Jahrhunderts entwickelt und basiert auf dem ‚Planen – Durchführen – Überprüfen – Handeln‘-Zyklus. Grundsätzlich besteht dieser Zyklus aus folgenden Elementen: In der Planungsphase müssen Sie planen, was Sie mit dem Managementsystem erreichen wollen. In der Durchführungsphase setzen Sie es um. In der Überprüfungsphase überwachen Sie permanent, ob Sie erreicht haben, was geplant war. In der Handlungsweise wiederum machen Sie Verbesserungen, d. h. Sie schließen die Lücke zwischen dem, was Sie geplant haben und dem, was Sie erreicht haben.



    Obwohl dieser Zyklus mit Qualitätsmanagement im Hinterkopf erfunden wurde, hat es sich als Grundlage für alle anderen Managementsysteme etabliert – Informationssicherheit (ISO/IEC 27001), Umwelt (ISO 14001), Betriebliches Kontinuitätsmanagement (BS 25999-2) usw. Das bedeutet, dass einige der Elemente, die Sie für das Qualitätsmanagement nach ISO 9001 umgesetzt haben, von Ihnen ebenso für das Informationssicherheits-Managementsystem verwendet werden – hier ist die Liste:

    • Dokumentenmanagement – das für die Dokumentenmanagement im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, mit nur geringfügigen Anpassungen
    • Internes Audit – das gleiche Verfahren kann für QMS und ISMS verwendet werden, obwohl das interne Audit selbst in der Regel von verschiedenen Personen durchgeführt werden würde, da es sehr unwahrscheinlich ist, dass eine Person ausreichend tiefe Kenntnisse sowohl in der Informationssicherheit als auch im Bereich Qualität hat
    • Korrektur- und Vorbeugungsmaßnahmen – das im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, obwohl es wahrscheinlich ist, dass verschiedene Personen die Probleme für QMS oder ISMS lösen
    • Personalmanagement – der gleiche Zyklus von Personalplanung, Schulung und Bewertung wird für beide Managementsysteme verwendet. Der Unterschied liegt natürlich im Profil der benötigten Fähigkeiten und Kenntnisse
    • Managementbewertung – die Grundsätze der Managementbewertung sind bei beiden Managementsystemen gleich. Obwohl es nicht empfehlenswert wäre, beide Bewertungen parallel durchzuführen, wird das Management bereits Erfahrung mit Entscheidungen im QMS haben. Daher wird es besser verstehen, wie im Rahmen des ISMS Entscheidungen getroffen werden
    • Festlegen der Unternehmensziele und Nachverfolgung, ob diese erreicht wurden – in beiden Normen wird der gleiche Mechanismus dargestellt, so dass das Management an diese systematische Planung gewöhnt sein wird

    Sollten Sie ISO 9001 bereits umgesetzt haben, wird es Ihnen aus diesem Grund leichter fallen, die Norm ISO 27001 umzusetzen (und umgekehrt) – Sie könnten bis zu 30 % der notwendigen Zeit einsparen. Außerdem werden die Zertifizierungsaudits preiswerter sein, da die Zertifizierungsstellen sogenannte „integrierte Audits“ anbieten. Dies bedeutet, dass in einem Audit ISO 9001 und ISO 27001 geprüft werden, wodurch die Gebühren im Vergleich zu separaten Audits niedriger ausfallen.

    Sollte Ihr QMS gut funktionieren, so wird Ihr ISMS-Projekt eher reibungslos umgesetzt werden können – das Management hat ein besseres Verständnis der möglichen wirtschaftlichen Vorteile, während alle Unternehmenseinheiten an die Notwendigkeit gewöhnt sind, präzise Verfahren, Verantwortlichkeiten und Dokumentationen festzulegen.

    Ein vorhandenes QMS ist in der Tat eine sehr gute Grundlage für Informationssicherheit – sind Sie bereits nach ISO 9001 zertifiziert, so sollten Sie ernsthaft über ISO 27001 nachdenken.

    Dieses kostenlose Webinar hilft Ihnen bei der: ISO 27001 implementation: How to make it easier using ISO 9001.

    Wenn Ihnen dieser Artikel gefallen hat, können Sie Updates abonnieren

    Weiten Sie Ihre Kenntnisse mit unseren kostenlosen Ressourcen zu den Normen ISO 27001 und ISO 22301 aus.

    Sie können sich jederzeit abmelden.

    Weitere Informationen darüber, welche persönlichen Daten wir sammeln, warum wir diese benötigen, was wir mit ihnen machen, wie lange wir sie aufbewahren und welche Rechte Sie haben, finden Sie in dieser Datenschutzerklärung.