Integration: ISO 27001 und ISO 20000 – auch mit 9001
 | Ersparnis bis zu 30 Prozent: ISO-Standards ergänzen sich perfekt Der Markttrend geht in Richtung integrierte Managementsysteme, die Themen wie Informationssicherheit, IT-Service-Management, Qualität oder Umwelt zu einem einheitlichen Unternehmenssystem vereinen. Auch übergeordnete Abläufe wie Strategiefindungs- oder Planungsprozesse lassen sich einbinden. Anwender berichten von Zeit- und Kostenersparnis bis zu 30 Prozent aufgrund einheitlicher Abläufe, Reviews und Kombinationsaudits. Referenz: 27001-20000-9001-Integration Referenz: 27001-9001-Integration |
ISO 9001 als Fundament ermöglicht Zeitgewinn: Da bereits viele Unternehmen ISO-9001-zertifiziert sind, wird ein Aufsetzen von ISO 27001 oder ISO 20000 auf einem bestehenden Qualitätsmanagement die häufigste Variante sein. Aber auch jede andere Reihenfolge ist denkbar. Integrierte Managementsysteme beeindrucken durch ihre hohe Reife und Zuverlässigkeit, wenn Leitverfahren und Kernprozesse bereits länger den kontinuierlichen Verbesserungsprozess durchlaufen. CIS bietet in Kooperation mit Quality Austria effiziente Kombinationsaudits für die Integrierte Systemzertifizierung mit anderen ISO-Standards – „alles aus einer Hand“.
Die Vorteile - Synergien strategisch nutzen:
- Vereinfachtes Handling, Übersichtlichkeit und Transparenz
- Gemeinsame Audits für mehrere Systeme entlasten die oberen Führungsebenen
- Gemeinsame Dokumentation umfasst alle Management- und Businessprozesse
- Ersparnis von Kosten und Zeitaufwand
Die Standards für Informationssicherheit (ISO 27001), IT-Service-Management (ISO 20000), Qualitätsmanagement (ISO 9001) und Umweltmanagement (ISO 14000) weisen ähnliche Strukturen auf und stellen in vielen Punkten dieselben Anforderungen:
- Verantwortlichkeit des oberen bis mittleren Managements
- Systematik der Dokumentation
- Zielsetzung der ständigen Verbesserung
- Einhaltung der Vorgaben
- Wartung und dem Betrieb der Systeme
Einzelaudits helfen in der Startphase
Management-Reviews benötigen in integrierten Systemen nicht doppelt so viel Zeit, sondern je nach Unternehmen nur 25 bis 30 Prozent zusätzlich pro Thema. Für interne Audits müssen keine neuen Verfahren entwickelt werden, sondern es wird einfach die bestehende Checkliste erweitert. Ebenso verhält es sich mit dem kontinuierlichen Verbesserungsprozess, in den das neue Thema integriert wird. Gerade am Anfang kann man verstärkt Vorteile aus Einzelaudits ziehen, bei denen Auditoren sich auf ein Thema konzentrieren und Schwächen sowie Verbesserungspotenziale detailliert aufzeigen.
Überblick Zertifizierungsablauf
Kombinationsaudits: Synergien durch Gesamtsicht
Auch einheitliche externe Audits sind möglich, wobei dieses Kombinationsmodell von der CIS dann empfohlen wird, wenn sich die Subsysteme gefestigt haben. Integrierte Audits sollten in Absprache mit den Prüfern gut geplant werden, um Doppelbefragungen zu vermeiden. Interessant sind Kombinationsaudits, weil multifunktionell geschulte Auditoren eine Sicht auf das Gesamtsystem erhalten und Optimierungspotenzial für das Gesamtsystems aufzeigen können. Ein Beispiel aus der Praxis: Das Thema Incident Management war in einem Unternehmen bereits von ISO 27001 abgedeckt und im Zuge einer ISO-20000-Implementierung nochmals aufgesetzt worden. Durch ein Kombinationsaudit wurde die Doppelgleisigkeit bereinigt.
 | „Unser Managementsystem umfasst alle prozessorientierten Systeme wie IS und QM sowie Planungs- und Strategiefindungsprozesse. Die einheitliche Abbildung bringt enorme Zeit- und Kostenersparnis.“ Dr. Elisabeth Stiller-Erdpresser, Leiterin Security-Services Siemens IT Solutions and Services
|