Österreich
Secure Your Business
 

Fallbeispiel Integration:
„Bestnoten“ für 27001-System auf basis iso 9001

 

Download PDF

 

  • Synergien durch ähnliche Strukturen

  • 30 Prozent weniger Aufwand für Kombi-Zertifizierung

  • Rund 20 Prozent Ersparnis im laufenden Betrieb


Informationssicherheit und Qualitätsmanagement sind auf den ersten Blick zwei Paar Schuhe.

In der Praxis wachsen sie zusammen und bilden eine stimmige Einheit: Kundenzufriedenheit,

das oberste Qualitätsziel, hängt zunehmend von IT-Verfügbarkeit und Datensicherheit ab, was durch ISO 27001 unterstützt wird. Umgekehrt helfen Unternehmensziele nach ISO 9001 bei der zielgerichteten Umsetzung von Informationssicherheit. Durch einen integrativen Ansatz lässt sich ISO 27001 effizient sowohl in bestehende QM-Systeme als auch kombiniert implementieren.

So erlebte die EDVG mit der Einführung beider Standards innerhalb von nur acht Monaten ein erfolgreiches Pas de Deux – und sparte rund 30 Prozent Zeit und Kosten.

 

ballett-foto_plus_text

 

  • Kundenzufriedenheit ist die beste Werbung

Mehr als 4.200 Unternehmen sind österreichweit nach ISO 9001:2008 für Qualitätsmanagement (QM) zertifiziert. Je nach Markt- und Gesetzesforderungen müssen sich viele verstärkt mit Informationssicherheit (IS) auseinander setzen. Hier bietet eine Integration der Management-systeme echte Chancen. Darüber hinaus ist der integrative Ansatz auch für Unternehmen interessant, die bisher gar kein Prozessmanagement im Einsatz hatten. Die ISO-Standards

für Qualität (ISO 9001), Umwelt (ISO 14000), Informationssicherheit (ISO 27001) und IT Service Management (ISO 20000) sind im Aufbau und Prozessansatz ähnlich. „Dadurch ergeben sich Synergien, die sich rechnen: In der Praxis erspart ein integriertes Managementsystem im laufenden Betrieb rund 20 bis 30 Prozent Aufwand für Systemoptimierung, Reviews und Audits“, erklärt Dr. Peter Soudat, Auditor der Zertifizierungsorganisation CIS. 

  • Schwungvoller Auftakt: acht Monate für zwei Standards

Ein anschauliches Beispiel für die erfolgreiche IS-QM-Integration ist die EDVG Elektronische Datenverarbeitung GmbH, die sowohl ISO 9001 als auch ISO 27001 in nur acht Monaten betriebsbereit implementierte und in weiteren drei Monaten mittels Stage Review, Systemverbesserung und Stage One Audit optimal auf die Zertifizierung vorbereitete. Der EDV-Dienstleister hatte bis dato keine ISO-konformen Geschäftsabläufe definiert. Die engagierte Projektleitung brachte aber Erfahrung auf dem Gebiet der Prozess-Modellierung mit, zusätzlich wurde ein Berater hinzugezogen. „ISO 9001 und ISO 27001 haben identische Elemente in der Organisation. Reviews, Gremienmeetings, Überwachungs- und Rezertifizierungsaudits werden bei uns integriert durchgeführt“, erklärt Dr. Gustav Jung, Qualitätsmanager bei der EDVG. Das kombinierte Zertifizierungsaudit von CIS und Quality Austria für die gesamte EDVG mit 85 Mitarbeitern nahm vier Tage in Anspruch. Bei Einzelzertifizierungen wären pro Standard rund drei Tage notwendig gewesen. „Eine Kostenersparnis von 30 Prozent für die reine Zertifizierung und fast 20 Prozent für die gesamte Einführungsphase beider Normen, aufgrund des entfallenen Arbeitsaufwands“, betont Jung zufrieden. 

  • Im Gleichklang: ähnliche Struktur von ISO 9001 und ISO 27001

Stellt man die Standards für Informationssicherheit und Qualitätsmanagement gegenüber, so basieren beide auf der kontinuierlichen Verbesserung nach Plan-Do-Check-Act. Darüber hinaus korrespondieren sie in der Struktur, laut Mapping Tabelle in Annex C, ISO 27001: Auf Prozess-Ansatz und Anwendungsbereich folgen in beiden Regelwerken Definitionen, Systemanforderungen und Dokumentation sowie Verantwortlichkeit des Managements. In beiden Fällen schließt die Struktur mit internen Audits, Management Review und Systemverbesserung. An diesen Schnittstellen ergeben sich wertvolle Synergien. So fordert ISO 9001 etwa die Kontrolle von fehlerhaften Produkten. Dies entspricht der 27001-Forderung nach Incident Management zur Behebung von IT-Störungen. 

  • Starkes Duo: Unterschiede ergänzen sich 

„Die Unterschiede zwischen den Standards stellen sich als sinnvolle Ergänzungen dar, die maßgeblich zur Steigerung des Geschäftserfolgs beitragen“, erklärt CIS-Auditor Dr. Peter Soudat. „IS sichert das Potenzial des Unternehmens, QM bringt es hervor.“ So fordert ISO 9001 die Definition von Unternehmenszielen, Kundenorientierung und Messbarkeit der Zielerreichung. Diese drei Punkte stehen bei ISO 27001 nicht im Vordergrund. Dafür legt diese großes Gewicht auf Risikomanagement zur Wahrung der Business Continuity und bietet mit der Subnorm ISO 27005 eine detaillierte Umsetzungshilfe. Demgegenüber bezieht ISO 9001 Risiken nur allgemein gehalten auf das Umfeld.


Bei der EDVG wurde der integrative Ansatz bereits beim Projektteam verwirklicht, das mit drei Personen für Projektleitung, Qualitätsmanagement und Informationssicherheit besetzt war – die Geschäftsführung zeichnet für das Gesamtsystem verantwortlich. „Auf den Punkt gebracht hatten wir zwei Hauptzielrichtungen: einerseits alle Abläufe ISO-konform zu definieren, dokumentieren und optimieren, andererseits diese Begrifflichkeiten in den Köpfen der Mitarbeiter zu verankern“, resümiert EDVG-Projektleiter Mag. Alfons Ankerl. Schon bei der Definition der Unternehmensziele gemäß ISO 9001 wurde der Nutzen der Integration deutlich: „Für uns war es günstig, das ISMS an einem Unternehmensziel – ein kompetenter und anerkannter IT-Serviceprovider für unsere Kunden zu sein – auszurichten. Damit positioniert sich die Informationssicherheit als zentraler Business Enabler“, berichtet Mag. Rudolf Kanov, Information Security Manager der EDVG. Zudem erwies sich die Kommunikation der Zielsetzungen an die Mitarbeiter als veritabler Motivationsschub für den laufenden Betrieb. „Wo es Visionen gibt, entsteht Kraft, diese zu erreichen“, ist Kanov überzeugt. 

  • „Pas de Deux“ bei Policies, Dokumentation, Ressourcenmanagement 

Das Qualitätsmanagement fungiert bei der EDVG als Dachsystem, während Informationssicherheit die damit verbundenen IS-Ziele spezifiziert. Ähnlich wurde bei der Erstellung der Policies verfahren. Die Struktur der Quality Policy mit Geltungsbereich, Management Commitment, Verantwortlichkeiten und Verbesserungsprozess diente als Grundgerüst für die Security Policy. Auch in der Dokumentation schließt sich der Kreis: Gemäß ISO 9001 regeln Dokumentenrichtlinien, wo welche Dokumente durch wen abzulegen und wie lange aufzubewahren sind. Mittels Klassifizierung nach ISO 27001 konnte die EDVG diese Anforderungen in Richtung Informationssicherheit vertiefen. Für „Informationsdrehscheiben“ wie Arbeitsplatz, E-Mail, Fax oder Telefon wurden Policies für höchsten Schutz erarbeitet. „Da die EDVG Millionen von Personendaten für Mitgliederorganisationen verwaltet, ist Datensicherheit ein geschäftskritischer Erfolgsfaktor“, betont Gustav Jung. „Informationssicherheit nach ISO 27001 steigert den Business Value unserer Leistungen.“


Eine weitere wichtige Synergie ergab sich durch die nach ISO 9001 geforderten Mitarbeitergespräche. „Wir haben Mitarbeitergespräche zu einem mächtigen Instrument ausgebaut – wir vermitteln in diesem persönlichen Rahmen zusätzlich Security-Bewusstsein, erkennen Entwicklungschancen und fragen den Schulungsbedarf ab“, berichtet Gustav Jung. Training und Bewusstseinsbildung sind in beiden Standards dem Ressourcenmanagement zugeordnet. 

  • Impuls: mit Risikoanalyse zu neuen Geschäftsfeldern

Impulse für neue Geschäftsfelder generierte die EDVG aus der Einführung des Risikomanagements. Die normative Systematik half, Stärken und Schwächen strukturiert heraus zu arbeiten. „Risiko ist nicht negativ. Es ist nur negativ, es ist nicht zu kennen“, so Gustav Jung. Die Ergebnisse lieferten eine solide Grundlage für die Maßnahmenplanung und wurden auch visionär umgesetzt. Aus Risiken wurden Chancen – sprich: neue Geschäftsfelder mit höherwertigen Leistungen. Seither werden proaktiv Service Verträge für Hochsicherheit und Hochverfügbarkeit angeboten. 

  • Grande Finale mit ISO 20000

Insgesamt war das EDVG-Team so zufrieden mit dem Zusammenspiel von Qualitätsmanagement und Informationssicherheit, dass nachfolgend gleich auch das IT Service Management standardisiert wurde. Der Schwung aus der erfolgreichen Zertifizierung wurde für die konsequente Weiterentwicklung des Unternehmens für den nächsten Schritt genutzt. In nur weiteren sieben Monaten wurde die Norm ISO 20000 für IT Service Management umgesetzt, in bewährter Weise integriert und mit der dritten Zertifizierung im September 2009 abgeschlossen. Gustav Jung ist mittlerweile überzeugt: „Im Nachhinein betrachtet hätten wir ISO 20000 auch in einem Zuge mit ISO 9001/27001 implementieren können. Durch den ähnlichen Aufbau der Normen, ist ein integrativer Ansatz fast schon vorgegeben. Die sich daraus ergebenden Synergien sollten eigentlich von allen Unternehmen genutzt werden.“
 

 
 
CIS - Certification & Information Security Services (Schweiz) AG T +41 79 3348779 office.ch@cis-cert.com Impressum

AGB