3 strategische Optionen zur Implementierung einer ISO-Norm

Wenn Sie die Implementierung von ISO 27001, ISO 9001, ISO 14001, ISO 20000 oder irgendeiner anderen ISO-Managementnorm in Betracht ziehen, sind Sie wahrscheinlich mit den unterschiedlichen Ansätzen, wie ein solches Projekt erfolgreich begonnen und abgeschlossen wird, überfordert.

Meiner Meinung nach gibt es drei grundsätzliche Optionen für die Implementierung diese Norm: (1) man macht es durch vollständige Verwendung der eigenen Mitarbeiter, (2) man verwendet einen Berater, oder (3) (irgendwie in der Mitte davon) man implementiert die Norm nach einem Do-It-Yourself-Ansatz – jedoch unter Nutzung von externem Know-how.

Doch sind nicht alle diese Ansätze für jeden anwendbar – daher hier eine Erklärung jeder dieser Optionen und wer davon am meisten profitieren kann.

1) Implementierung der Norm durch Verwendung der eigenen Mitarbeiter

Das ist, wenn Sie sich entschließen, die Norm ohne externe Hilfe zu implementieren und nur das Wissen und die Kapazität Ihrer eigenen Mitarbeiter zu nutzen. Bei dieser Option machen Ihre Mitarbeiter alle Analysen, führen alle Interviews durch, erstellen die Dokumentation etc.

Vorteile. Das ist vermutlich die billigste Option, da Sie für keine externen Dienstleistungen bezahlen; Sie gestatten auch niemandem von außerhalb irgendetwas über Ihre internen Prozesse oder Ihre Dokumentation zu erfahren, und schließlich erhöht die Erstellung der eigenen Dokumentation das Engagement Ihrer Mitarbeiter hinsichtlich der erforderlichen Veränderungen.

Nachteile. Das ist wahrscheinlich die langsamste Option, da Sie alles alleine machen; sind Ihre Mitarbeiter nicht erfahren oder kompetent genug, könnte sich das aufgrund der Fehler, die sie machen könnten, als die teuerste Option herausstellen.

Hier finden Sie kostenlose Online-Kurse für das Erlernen von ISO 27001, ISO 9001, und ISO 14001.


2) Verwendung eines Beraters

Bei dieser Option heuern Sie einen Experten von außerhalb an (üblicherweise einen lokalen Berater), der Erfahrung mit der Implementierung der Norm hat – diese Person führt dann die Analyse Ihres Unternehmens durch, macht die Interviews, erstellt die Dokumentation und alles Übrige – im Grunde genommen implementiert diese Person die Norm in Ihrem Namen.

Vorteile. Das ist definitiv der schnellste Weg die Norm zu implementieren – wenn Sie einen guten Berater anheuern, wird er oder sie eine Menge Erfahrung haben und wissen, wie das Projekt zu organisieren ist, um es rasch abzuschließen; es ist auch der beste Weg, wenn Ihre Mitarbeiter überhaupt keine Zeit haben, sich diesem Projekt zu widmen.

Nachteile. Berater kosten klarerweise Geld, daher ist das die teuerste Option. Darüber hinaus öffnen Sie Außenstehenden den Zugang zu beinahe allen Ihren Betriebsgeheimnissen (z.B. wie das Unternehmen organisiert ist, seine Hauptprozesse und Hauptvorteile gegenüber der Konkurrenz, wer die wichtigsten Leute sind, etc.). Und wenn letztlich jemand von außerhalb Ihre Dokumentation erstellt, könnten die Mitarbeiter das Gefühl haben, dass ihnen diese Richtlinien und Verfahren aufgezwungen werden und daher manchmal nach Wegen suchen, diese zu umgehen.

Dieser Artikel könnte Ihnen ebenfalls helfen: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

3) Implementierung der Norm mit einem DIY-Ansatz und Nutzung von externem Know-how

Diese Option wurde in den letzten Jahren sehr beliebt und sie ist im Grunde genommen etwas zwischen den ersten zwei Optionen. Hier machen Ihre Mitarbeiter die gesamte Implementierung, bekommen jedoch das komplette Know-how, die Dokumentation und die Unterstützung einer externen Partei. (Beachten Sie bitte: das ist das, worauf wir bei Advisera spezialisiert sind.)

Vorteile. Diese Option ist nicht so teuer wie ein Berater und dennoch erhalten Sie alles Notwendige an Know-how und Unterstützung. Darüber hinaus öffnen Sie nicht für irgendjemand von außerhalb den Zugang zu Ihren vertraulichen Informationen. Und, da Ihre Mitarbeiter die Dokumentation erstellen, wird Ihr Engagement, die neuen Regeln zu befolgen, wahrscheinlich wesentlich größer sein.

Nachteile. Ihre Mitarbeiter müssen dennoch über die Implementierung lernen, daher ist es nicht der schnellste Weg, die Norm zu implementieren. Auch löst diese Option nicht das Problem, wenn Ihre Mitarbeiter mit anderen Projekten komplett überhäuft sind und absolut keine Zeit für etwas Neues haben.

Lesen Sie bitte auch diesen Artikel: When to use tools for ISO 27001/ISO 22301 and when to avoid them.

Welche Option sollte man daher wählen?

Sie sollten die Norm unter Nutzung Ihrer eigenen Mitarbeiter implementieren, wenn Sie Mitarbeiter haben, die bereits Erfahrung mit Implementierungen haben, wenn Sie sehr vertrauliche Daten haben und wenn Sie über ein sehr niedriges Budget verfügen.

Andererseits, wenn Sie es eilig haben und nicht befürchten müssen, dass Betriebsgeheimnisse offengelegt werden, sollten Sie einen Berater verwenden. Natürlich benötigen Sie für diese Option ein gutes Budget.

Und wählen Sie schlussendlich die Do-It-Yourself-Implementierungsoption, wenn Sie möchten, dass Ihre Mitarbeiter lernen, wie es getan wird, wenn Sie nicht in zu großer Eile sind und wenn Ihr Projektmanager ein paar Stunden pro Tag für dieses Projekt aufwenden kann. Und natürlich, wenn Ihr Budget nicht allzu groß ist.

Schauen Sie sich die Conformio compliance software an, die Sie bei der Umsetzung des ISO-Standards unterstützt.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Connect with Dejan: