Nr. 47 | Qualität und Informationssicherheit

Gerd Altmann | pixelio.de

Informationssicherheit ist nicht identisch mit Datenschutz. Datenschutz ist „nur“ ein Thema innerhalb dieses Komplexes.
Immer öfter lerne ich QM-Verantwortliche kennen, die u.a. auch Beauftragte für Datenschutz sind. Informationssicherheit ist für Sie daher sicherlich ein interessantes Thema.

Informationssicherheits-Managementsystem (ISMS)

Das ISMS hat einen starken Bezug zur IT. Einige Anforderungen an das System sind übergeordnet und können daher auch von einem QMB ohne IT-Tiefenkenntnis unterstützt bzw. angewendet werden.

  • Informationssicherheits-Risiken bewerten
    Erkennen Sie Ihre Schwachstellen und potenzielle Bedrohungen, woraus sich Risiken für Sie ergeben. Das Erkennen von Assets (Werten) ist eine Voraussetzung ein Risiko eingrenzen zu können. (Hierzu erfahren Sie in der März-Ausgabe mehr.)
  • Leitlinien zur Informationssicherheit
    Informationssicherheit ist keine einsame Angelegenheit eines IT-Administrators. Eine solche Leitlinie sollte von der obersten Leitung verabschiedet werden und einen hohen Stellenwert im Unternehmen genießen.
  • ISMS-Richtlinien zu verschiedenen Themen
    Leit- und Richtlinien werden getrennt (manchmal auch synonym benutzt). Richtlinien können themenspezifisch sein: Richtlinie zur Zugangskontrolle, Passwort-Richtlinie, E-Mail-Richtlinie, Backup-Richtlinie, Richtlinie zum Umgang mit Besuchern usw.
    Diese Richtlinien verankern Themen, die in Prozessen integriert werden. Die Verbindung zum Qualitäts- und Prozessmanagement erscheint mir an der Stelle besonders eng.
  • ISMS-Audits
    Wo Richtlinien aufgestellt werden, müssen Maßnahmen folgen. Deren Einhaltung und Sinnhaftigkeit sollte regelmäßig überprüft werden. Audits unterscheiden sich im Ablauf nicht voneinander, egal ob ISO 9001 oder ISO 27001. Die thematischen Schwerpunkte sind jedoch unterschiedlich, manche ISMS-Themen sind sehr IT-lastig. Das Einhalten von Richtlinien kann im ISO 9001-Audit (intern!) berücksichtigt werden.
  • ISMS in der Managementbewertung
    Informationssicherheit ist Chef-Thema. Dementsprechend gehört der Umgang damit in die Managementbewertung.

Zertifikat nach ISO 27001

Eine Zertifizierung eines ISMS ist natürlich möglich. Das Zertifizierungsaudit unterscheidet sich im Aufwand erheblich von Audits nach ISO 9001. Die ISO 27001 gleicht in der Kapitelstruktur der ISO 9001 (High Level Structure). Während in der ISO 9001 der Anhang nur informativ ist und für die Zertifizierung keine Bedeutung hat, ist er in der ISO 27001 normativ. Daraus ergeben sich 114 Maßnahmen, die umzusetzen sind. Ausschlüsse von diesen Maßnahmen sind nicht möglich.

Der Zertifizierungsaufwand richtet sich generell nach der Größe des Unternehmens, so ist es auch beim ISMS. Die Vorgaben der IAF sehen jedoch als Mindestdauer 5 Audittage vor (Quelle: ISO 27006), größere Mittelständler erreichen schnell eine Mindestdauer von 10 Tagen.

Dieser Aufwand wird in der Regel nur von Unternehmen betrieben, die aufgrund von regulatorischen Auflagen dazu verpflichtet sind (z.B. per Energiewirtschaftsgesetz EnWG).

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.