DQS im Dialog
DQS Website Abonnieren

Informationssicherheit trifft Qualitätsmanagement

Im Zeitalter der Digitalisierung sind es vor allem wertvolle Informationen, die es zu bewahren respektive zu schützen gilt – für Unternehmen ist damit neben dem Datenschutz die Informationssicherheit ein unbedingtes Muss. Die gute Botschaft lautet: Unternehmen, die über ein zertifiziertes Qualitätsmanagement nach ISO 9001 verfügen, haben bereits eine gute Basis für den schrittweisen Einstieg in eine vollumfängliche Informationssicherheit geschaffen.
© iStock ISO 9001 und Informationssicherheit

Das Thema Informationssicherheit ist nicht neu. Die Gefahren, die der umfangreichen Informationslandschaft in Organisationen drohen, sind lange bekannt. Laut BSI „Cyber-Sicherheits-Umfrage“ vom April 2019 gaben 43 % der großen Unternehmen an, 2018 von Cyber-Sicherheits-Vorfällen betroffen gewesen zu sein. Bei den kleinen und
mittelständischen Unternehmen lag der Wert bei 26%. Und die Fälle von Cyberkriminalität haben in 2019 noch einmal deutlich zugenommen, meldete ZEIT ONLINE Ende September 2020. Das BKA habe mehr als 100.000 Delikte gezählt. Viele Täter nutzten die Corona-Not vieler Unternehmen und Menschen aus.

Allein: Die Sicherheit von vertraulichen Unternehmensinformationen wird noch immer vernachlässigt. Oft fehlt es bei der Verarbeitung und Speicherung von Informationen an der nötigen Vorsicht und Voraussicht. Auch das Bewusstsein über die Folgen von Datendiebstahl und Co. ist längst nicht überall ausreichend entwickelt. Mancherorts wird zudem der Aufwand gescheut, den Unternehmen für einen effektiven Schutz ihrer sensiblen Informationen betreiben müssten.

Schritt für Schritt zu mehr Informationssicherheit

Dabei muss der Aufwand für die Datensicherheit gar nicht so groß sein. Die gute Botschaft lautet: Viele Unternehmen müssen gar nicht – quasi auf einen Schlag – ein vollumfängliches Informationssicherheits-Managementsystem (ISMS) einführen, wie es z.B. durch das IT-Sicherheitsgesetz für kritische Infrastrukturen (KRITIS) gefordert wird. Auch ein schrittweises Vorgehen ist denkbar. Das heißt: Der Anfang kann z.B., zumindest in Unternehmen, die über ein System für Qualitätsmanagement (QM) nach ISO 9001 verfügen, ein Update des seit der Revision von 2015 geforderten risikobasierten Ansatzes sein – allerdings bereits mit Blick auf entsprechende Anforderungen der bedeutenden Informationssicherheitsnorm ISO 27001.

Informationssicherheit ISO 27001 Whitepaper

ISO 9001 und ISO 27001 – In Zeiten der Digitalisierung

Spannendes Thema? Jetzt als KOSTENFREIES WHITEPAPER verfügbar!

Aus dem Inhalt:

  • Wie viel Papier braucht Qualität?
  • Dokumentierte Information wirksam schützen
  • ISO 27001: Basis für eine sichere Digitalisierung
Jetzt herunterladen

Informationssicherheit und Qualitätsmanagement

Zunächst muss festgehalten werden, dass die Norm ISO 9001 zwar übergreifend einen risikobasierten Ansatz fordert, die Umsetzung dieser Anforderung an das Managementsystem aber weitgehend der Organisation überlässt. So ist beispielsweise im Qualitätsmanagement kein eigener Prozess für die Risikobetrachtung gefordert, was mit Blick auf Informationssicherheit aber fraglos zu wenig ist. Dennoch:

Die Risikobetrachtung für die Belange des Qualitätsmanagements kann problemlos auf das Thema Informationssicherheit erweitert werden.

Dazu ist es hilfreich, sich die Anforderungen für die Ermittlung und den Umgang mit Sicherheitsrisiken von ISO 27001 an ein Informationssicherheits-Managementsystem (ISMS) anzuschauen. Die meisten Aspekte können von Anwendern eines Qualitätsmanagementsystems mit vertretbarem Aufwand umgesetzt werden – als erster Schritt auf dem Weg zu einer ganzheitlichen Informationssicherheit, wohlgemerkt.

Informationssicherheit – Risiken und Chancen

Beide internationale Normen, ISO 27001 genau wie ISO 9001 für Qualitätsmanagement, behandeln die dafür relevanten Themen in Kapitel 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“. Im Kern geht es darum, drei wesentliche Aspekte im Managementsystem sicherzustellen:

  • das Erzielen der von der Organisation beabsichtigten Ergebnisse,
  • das Verhindern bzw. Verringern unerwünschter Auswirkungen und
  • das Erreichen fortlaufender Verbesserung durch Einhaltung bestimmter Standards.

Mit Bezug auf Informationssicherheit sind dies vor allem die drei wesentlichen Schutzziele:

  • Verlust der Vertraulichkeit
  • Integrität der Information
  • Verfügbarkeit der Information

ISO 27001 dazu folgende Anforderungen (Kap. 6.1.1):

  • Bestimmen von Risiken und Chancen
  • Planen von Maßnahmen zum Umgang mit den ermittelten Risiken und Chancen
  • Planen, wie die Maßnahmen in die Prozesse der Organisation integriert und umgesetzt werden

Ermittlung und Umgang mit Risiken

Das nächste Normkapitel (6.1.2) fordert das Festlegen und Anwenden eines Prozesses zur Beurteilung des Informationssicherheitsrisikos: Dieser muss Kriterien für das Informationssicherheitsrisiko festlegen und aufrechterhalten, darunter die Kriterien für die Risikoakzeptanz und für die Durchführung von Informationssicherheits-Risikobeurteilungen.

Digital Quality Space 2021

DQS DIGITAL QUALITY SPACE 2.0

Wir laden ein: zum zweiten ONLINE-KONGRESS DER DQS

Das bedeutet: Themen der Zeit beleuchten. Und Blicke auf das wagen, was uns bei Managementsystemen und Audits in Zukunft beschäftigen wird. Auch in puncto Informationssicherheit.

Vortragsangebot ansehen. Anmelden. Dabei sein.

Ferner muss der Prozess sicherstellen, dass „wiederholte Informationssicherheits-Risikobeurteilungen zu konsistenten, gültigen und vergleichbaren Ergebnissen führen“, wie es in der ISMS-Norm heißt. Folgende Unterpunkte könnten mit Blick auf einen ersten Schritt bedeutend sein:

  • Identifizierung der Informationssicherheitsrisiken
  • Analyse der Informationssicherheitsrisiken
  • Bewertung der Informationssicherheitsrisiken

Die Anforderungen in 6.1.3 verlangen das Festlegen und Anwenden eines Prozesses zur Behandlung des Informationssicherheitsrisikos, um Folgendes zu erreichen:

  • Auswahl angemessener Optionen für die Behandlung des Sicherheitsrisikos, und zwar hinsichtlich der Ergebnisse der Risikobeurteilung
  • Festlegung aller Maßnahmen, die zur Umsetzung der gewählten Optionen für die Behandlung des Sicherheitsrisikos notwendig sind
  • Vergleich der festgelegten Maßnahmen mit den in Anhang A von ISO 27001 genannten Controls (Zielvorhaben)
  • Erstellung einer Erklärung zur Anwendbarkeit mit Blick auf die Gründe für die (Nicht-) Einbeziehung der Controls aus Anhang A
  • Formulierung eines Planes für die Behandlung von Sicherheitsrisiken
  • Einholen der Genehmigung und Akzeptanz dieses Plans bei den Risikoeigentümern

Orientierung bietet der Anhang A von ISO 27001

Der Anhang A der bekannten Managementsystem-Norm DIN ISO/IEC 27001 hat ausdrücklich normativen Charakter. Er kann als Art Checkliste verstanden werden, die Maßnahmenziele und Maßnahmen enthält. Ein Unternehmen kann anhand dieses Leitfadens sicherstellen, dass es keine wesentlichen Punkte zur Behandlung von Sicherheitsrisiken übersehen hat. Anspruch auf Vollständigkeit wird dabei jedoch nicht erhoben.

UNSER TIPP:
Lesen Sie auch den Blogbeitrag zum ANHANG A VON ISO 27001: VERANTWORTLICHKEITEN UND ROLLEN VON MITARBEITERN und sichern Sie sich mit unserem kostenfreien Auditleitfaden zum Anhang A wertvolles Expertenwissen!

Informationssicherheit und Qualitätsmanagement – Welches Vorgehen ist sinnvoll?

ISO 27001 fordert zwar zwei getrennte Prozesse für die Beurteilung und die Behandlung von Informationssicherheitsrisiken. Diese könnten für den ersten Schritt jedoch in einem Prozess zusammengefasst werden, der die Risikobetrachtung des Qualitätsmanagementsystems entlang der genannten Anforderungen gezielt um den Aspekt der Informationssicherheit erweitert. Damit bieten die beiden Normen eine gute Basis für die Umsetzung von Schutzmaßnahmen für Datenschutz und IT-Sicherheit.

DIN EN ISO/IEC 27001:2017-06 Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen
DIN EN ISO 9001:2015-11Qualitätsmanagementsysteme – Anforderungen

Beide Normen sind beim Beuth Verlag erhältlich.

Wie tiefgreifend der genannte Prozess die einzelnen Anforderungen letztlich behandelt, hängt unmittelbar von der Komplexität der Informationslandschaft und den schützenswerten Daten Ihres Unternehmens ab. So oder so: Es ist auf jeden Fall ratsam, seine Wirksamkeit in einem externen Audit überprüfen zu lassen, z.B. im Zuge eines ohnehin geplanten Zertifizierungsaudits Ihres Qualitätsmanagements gemäß ISO 9001.

Welche Vorteile ergeben sich?

  • Ein Prozess, der die Informationssicherheitsrisiken grundlegend betrachtet, kann als erster, wichtiger Schritt hin zu einem umfänglichen Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 dienen.
  • Mit der Implementierung eines solchen Prozesses stärkt die Unternehmensleitung das Bewusstsein für Informations- und Datensicherheit (Datenschutz) auf allen Ebenen.
  • Ein Unternehmen hat mit der gezielten Betrachtung von Informationssicherheitsrisiken die Möglichkeit, Handlungsbedarf aufzudecken und entsprechende Maßnahmen zu ergreifen (orientiert an ISO 27001, Anhang A).
  • Die um Informationssicherheit erweiterte Risikobetrachtung, z.B. im Rahmen des Qualitätsmanagements, stärkt den risikobasierten Ansatz eines Unternehmens insgesamt.
  • Sowohl der finanzielle als auch der personelle Aufwand für die Implementierung und die Wirksamkeitsprüfung ist überschaubar.
ISIS12 Informationssicherheit

Zertifizierung nach ISO 27001

Mit welchem Aufwand müssen Sie rechnen, um Ihr Informationssicherheits-Managementsystem nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich.

Wir freuen uns auf das Gespräch mit Ihnen

DQS-Zertifikate schaffen Vertrauen

Im Balance-Akt zwischen Dynamik und Stabilität gewinnen zertifizierte Managementsysteme immer mehr an Bedeutung – eine Entwicklung, die die DQS auf positive Weise spürt. Denn erfolgreiche Unternehmen und Organisationen nutzen die Erkenntnisse aus unseren Audits, um ihre Ergebnisse fortlaufend zu verbessern. Und sie nutzen unsere weltweit anerkannten Zertifikate als objektiven Nachweis ihrer Qualitätsfähigkeit. Das schafft Vertrauen ­– sowohl nach innen wie auch außerhalb Ihrer Organisation.