Erhalten Sie 2 Dokumentations-Toolkits zum Preis von 1
Zeitlich begrenztes Angebot – endet am 28. März 2024

ISO 27001 mithilfe von ISO 9001 umsetzen

Sie haben ISO 9001 bereits umgesetzt? Sie haben gehört, dass ISO 27001 eine gute Idee ist? Aber wie kann etwas, was mit Qualität zu tun hat, Sie bei der Umsetzung von Informationssicherheit unterstützen?

Es kann das sicher mehr als Sie vielleicht denken … ISO 9001 legt fest, wie das Qualitätsmanagementsystem (QMS) aussehen muss, während ISO/IEC 27001 die Informationssicherheits-Managementsysteme (ISMS) definiert. Daher ist der Teil zu den „Managementsystemen“ der gleiche – worum geht es dabei eigentlich?

Die Philosophie der Managementsysteme hat sich aus der Theorie von W. Edwards Deming in der zweiten Hälfte des 20. Jahrhunderts entwickelt und basiert auf dem ‚Planen – Durchführen – Überprüfen – Handeln‘-Zyklus. Grundsätzlich besteht dieser Zyklus aus folgenden Elementen: In der Planungsphase müssen Sie planen, was Sie mit dem Managementsystem erreichen wollen. In der Durchführungsphase setzen Sie es um. In der Überprüfungsphase überwachen Sie permanent, ob Sie erreicht haben, was geplant war. In der Handlungsweise wiederum machen Sie Verbesserungen, d. h. Sie schließen die Lücke zwischen dem, was Sie geplant haben und dem, was Sie erreicht haben.



Obwohl dieser Zyklus mit Qualitätsmanagement im Hinterkopf erfunden wurde, hat es sich als Grundlage für alle anderen Managementsysteme etabliert – Informationssicherheit (ISO/IEC 27001), Umwelt (ISO 14001), Betriebliches Kontinuitätsmanagement (BS 25999-2) usw. Das bedeutet, dass einige der Elemente, die Sie für das Qualitätsmanagement nach ISO 9001 umgesetzt haben, von Ihnen ebenso für das Informationssicherheits-Managementsystem verwendet werden – hier ist die Liste:

  • Dokumentenmanagement – das für die Dokumentenmanagement im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, mit nur geringfügigen Anpassungen
  • Internes Audit – das gleiche Verfahren kann für QMS und ISMS verwendet werden, obwohl das interne Audit selbst in der Regel von verschiedenen Personen durchgeführt werden würde, da es sehr unwahrscheinlich ist, dass eine Person ausreichend tiefe Kenntnisse sowohl in der Informationssicherheit als auch im Bereich Qualität hat
  • Korrektur- und Vorbeugungsmaßnahmen – das im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, obwohl es wahrscheinlich ist, dass verschiedene Personen die Probleme für QMS oder ISMS lösen
  • Personalmanagement – der gleiche Zyklus von Personalplanung, Schulung und Bewertung wird für beide Managementsysteme verwendet. Der Unterschied liegt natürlich im Profil der benötigten Fähigkeiten und Kenntnisse
  • Managementbewertung – die Grundsätze der Managementbewertung sind bei beiden Managementsystemen gleich. Obwohl es nicht empfehlenswert wäre, beide Bewertungen parallel durchzuführen, wird das Management bereits Erfahrung mit Entscheidungen im QMS haben. Daher wird es besser verstehen, wie im Rahmen des ISMS Entscheidungen getroffen werden
  • Festlegen der Unternehmensziele und Nachverfolgung, ob diese erreicht wurden – in beiden Normen wird der gleiche Mechanismus dargestellt, so dass das Management an diese systematische Planung gewöhnt sein wird

Sollten Sie ISO 9001 bereits umgesetzt haben, wird es Ihnen aus diesem Grund leichter fallen, die Norm ISO 27001 umzusetzen (und umgekehrt) – Sie könnten bis zu 30 % der notwendigen Zeit einsparen. Außerdem werden die Zertifizierungsaudits preiswerter sein, da die Zertifizierungsstellen sogenannte „integrierte Audits“ anbieten. Dies bedeutet, dass in einem Audit ISO 9001 und ISO 27001 geprüft werden, wodurch die Gebühren im Vergleich zu separaten Audits niedriger ausfallen.

Sollte Ihr QMS gut funktionieren, so wird Ihr ISMS-Projekt eher reibungslos umgesetzt werden können – das Management hat ein besseres Verständnis der möglichen wirtschaftlichen Vorteile, während alle Unternehmenseinheiten an die Notwendigkeit gewöhnt sind, präzise Verfahren, Verantwortlichkeiten und Dokumentationen festzulegen.

Ein vorhandenes QMS ist in der Tat eine sehr gute Grundlage für Informationssicherheit – sind Sie bereits nach ISO 9001 zertifiziert, so sollten Sie ernsthaft über ISO 27001 nachdenken.

Dieses kostenlose Webinar hilft Ihnen bei der: ISO 27001 implementation: How to make it easier using ISO 9001.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Connect with Dejan: