News

Informationssicherheit ins Qualitätsmanagementsystem integrieren

Kategorie: Prozessmanagement

Vom QMS zum integrierten QISMS

Wie bereits in unseren vorhergehenden „Aktuellen Informationen“ erwähnt, erging im Oktober 2022 eine revidierte Ausgabe der ISO/IEC 27001 und vertieft dort das Thema Cybersicherheit und Datenschutz weiter in der Informationssicherheitsmanagementnorm.

Die Anforderungen bzgl. IT-basierender Risiken steigen tagtäglich und finden so auch in der täglichen Diskussion über sicherere Prozesse in Unternehmen immer wieder statt. Informationssicherheit ist somit in aller Munde und muss zwangsläufig so auf der Prozessebene mit betrachtet werden.

Durch die sogenannte Harmonized Structure, welche begrifflich die High Level Structure ablösen wird, wird auch im Informationssicherheitsmanagement (ISM) die prozessorientierte Sichtweise auf die Vorgänge in Unternehmen geschärft und eingefordert.

ISO 9001 enthält bereits jetzt Aspekte der Informationssicherheit

Unternehmen, die bereits ein zertifiziertes Qualitätsmanagementsystem haben, berücksichtigen jetzt schon Aspekte der Informationssicherheit.

Nehmen wir beispielsweise das Normkapitel 7.5.3 der ISO 9001. Dort geht es darum, dass die für das Qualitätsmanagementsystem erforderliche dokumentierte Information gelenkt werden muss, um sicherzustellen, dass sie „angemessen vor Verlust der Vertraulichkeit oder unsachgemäßem Gebrauch“, geschützt wird. Oder einfach gesagt: Es geht um Informationssicherheit.

Auch der Umgang mit Kundeneigentum (8.5.3. der ISO 9001) weist einige viele Schnittstellen zur Informationssicherheit auf: Kundeneigentum sind natürlich auch Informationen, die einer Organisation von ihren Kunden zur Verfügung gestellt werden und die vor Verlust und unautorisiertem Zugriff geschützt werden müssen, z. B. geistiges Eigentum oder personenbezogene Daten.

Mögliche Synergieeffekte zwischen den beiden Normen im Detail

Kapitel 4. Kontext der Organisation:

  •     Gesamtkontextanalyse im Hinblick auf interne und externe Themen sowie interessierte Parteien
  •     Etablieren eines einheitlichen Prozessmanagements

Kapitel 5. Führung:

  •     Etablieren von Führungsprozessen mit einem gemeinsamen Führungsverständnis, die alle Managementsysteme im Blick behalten und die Anforderungen in der Organisation verankern

Kapitel 6. Planung:

  •     Implementieren eines einheitlichen Risikomanagementprozesses, der alle Teilbereiche transparent abdeckt

Kapitel 7. Unterstützung:

  •     Gesamtressortbetrachtung und übergreifendes Kompetenzmanagement in den Personalprozessen
  •     Etablieren von durchgängigen Kommunikationsstrukturen und Kreisen
  •     Implementieren eines übergreifenden Dokumentenmanagements

Kapitel 8. Betrieb:

  •     Erarbeiten eines Lieferantenmanagementprozesses, der Qualitäts- und Informationssicherheitsanforderungen enthält

Kapitel 9. Bewertung der Leistung:

  •     Aufbau von Controllingprozessen über Kennzahlenmanagementsysteme
  •     Gemeinsames Managementreview
  •     Integrierte interne Auditplanung

Kapitel 10. Verbesserung:

  •     Aufbau eines einheitlichen Prozesses zum Umgang mit Nichtkonformitäten und Korrekturmaßnahmen sowie KVP

    (Quelle: QZ Qualität und Zuverlässigkeit, Ausgabe 02/2023)
 

Zusätzlich zu bereits existierenden Strukturen aus dem QMS sind weitere Anpassungen und Erweiterungen notwendig. 

Exemplarisch seien hier genannt: 

  •     Erweiterung des Postens des Qualitätsmanagement-Beauftragten um einen Informationssicherheits-Beauftragten (kann bei vorliegender Qualifikation in Personalunion abgebildet werden)
  •     Update des Zielmechanismus auf ISMS-spezifische Ziele
  •     Integration des Asset- und Risikomanagements in das bestehende das bestehende QMS, insbesondere Zugriffsschutz und Zugangsbeschränkungen
  •     Abbildung des Managementsystems in einer geeigneten Softwarelösung
  •     Berücksichtigung entsprechender ISMS-spezifischer Regelungen in den internen Prozessen und der Nachweisführung
  •     Optimierung der Berechtigungsstruktur in der IT, insbesondere bzgl. des Schutzes vor Datenverlust

Geringer Aufwand – hoher Nutzen

Neben der leichten Integrierbarkeit in ein prozessorientiertes System ergeben sich bei einer gemeinsamen Zertifizierung nach ISO 9001 und ISO 27001 erhebliche Aufwandsvorteile. Beispielsweise reduzieren sich die Kosten für die externe Zertifizierung und die interne Auditierung, da die dargelegten Prozesse im Verbund auditiert werden können. So werden insbesondere Befragungszeiten der Mitarbeitenden reduziert.

Möchten auch Sie in ihrem Qualitätsmanagementsystem ein höheres Maß an Informationssicherheit abbilden? 
Der Aufwand ist erheblich geringer als Sie aktuell denken. Sprechen Sie uns gern an. Unser Prozessmanagement-Team hilft Ihnen gerne weiter.

Weitere Informationen rund um die ISO 27001 Norm finden Sie hier:

 

prozessberatung@fkc-gmbh.de

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download
AI_Prozessmanagement_1023.pdf10.2023AI_Prozessmanagement_1023.pdf (484 KB)