Wie viel Papier braucht Qualität?

ISO 9001 und ISO/IEC 27001 in Zeiten der Digitalisierung

Managementsystemen eilt noch immer der Ruf eines hohen Maßes an notwendiger Bürokratie voraus und dass aufgrund der erforderlichen dokumentierten Information „viel Papier“ erzeugt werden müsse. Viele Organisationen planen aufgrund dessen die Einführung einer neuen Software, um die Papierflut in digitale Daten zu transformieren und sich dadurch weitestgehend von Papier zu entlasten. Getrübt wird die damit verbundene Euphorie allerdings durch Vorgaben aus dem IT-Sicherheitsgesetz, dem Umgang mit sogenannten kritischen Infrastrukturen (KRITIS) und der neuen Datenschutzgrundverordnung (DS-GVO)
 

Nicht jedem ist in diesem Zusammenhang das Folgende bewusst:

  • ISO 9001 hat im Umgang mit dem Aufbau, der Aufrechterhaltung und Weiterentwicklung von Managementsystemen noch nie die Produktion von „viel Papier“ gefordert.
  • Die Einführung einer Software unterstützt im Umgang mit Managementsystemen nur dann, wenn die Geschäftsprozesse selbst die Digitalisierung mittragen. Ansonsten werden die Probleme nur verschoben und/ oder sogar vergrößert: Mit der Digitalisierung werden weitere Herausforderungen geschaffen.
  • Der Schutz und damit die Sicherheit von Informationen (vgl. ISO/IEC 27001) und (persönlichen) Daten war schon immer eine berechtigte Anforderung relevanter interessierter Parteien wie z. B. Kunden, Geschäftspartnern und Mitarbeitern – auch wenn oft nur unausgesprochen.

Wie kann ein Unternehmen also entsprechenden Anforderungen gerecht werden und gleichzeitig einen Nutzen aus der Digitalisierung wie z. B. Effizienzgewinne, Kosteneinsparungen oder dergleichen generieren? Ein tiefer gehender Blick in ISO 9001 zeigt, dass die Norm dazu sehr viel beitragen kann! Die Norm ist mehr als kompatibel, um nicht nur die Digitalisierung zu fördern, sondern sie ist sogar in der Lage, diese nachhaltig zu unterstützen.

 

Die Wege sind geebnet: Digitalisierung auf der Grundlage der Revision von ISO 9001

Als ein primäres Beispiel für die „digitale Tauglichkeit“ von ISO 9001:2015 dient die Veränderung in Bezug auf den Umgang mit den zuvor vorhandenen Dokumenten und Aufzeichnungen. Im Zuge der Revision wurden Begriffe wie Qualitätsmanagementhandbuch, dokumentierte Verfahren, Aufzeichnungen und Dokumente durch den Begriff der „dokumentierten Information“ ersetzt, der nun die gesamte Systemdokumentation mit allen Ausprägungen umfasst. Es lohnt sich also gezielt zu hinterfragen, was die Norm unter einer dokumentierten Information versteht, um Chancen in Bezug auf die digitale Transformation aktiv zu nutzen.

 

Was ist überhaupt eine Information? – „Daten von Wert“!

Informationen sind die Basis jeglicher Kommunikation und mit ihnen verbundener Kommunikationsstrukturen. Durch Informationen wird in einer Organisation Wissen aufrechterhalten, weiterentwickelt und an relevante Stellen innerhalb und außerhalb eines Unternehmens verteilt. Die Verfügbarkeit von Informationen, ihre Integrität und Vertraulichkeit muss gewährleistet sein, und zwar unabhängig davon, wozu diese Informationen im Einzelnen dienen. Substanziell ist dabei vor allem die Sicherheit dieser Informationen: Noch nie war die Anforderung nach Sicherheitsstandards für die Übertragung und Speicherung von Daten und Informationen so hoch heute. 

Eine zunächst scheinbar wahllose Ansammlung einzelner Daten wird dann zu einer sogenannten Information, wenn diesen Daten z. B. durch eine bestimmte Anordnung, einen Zusatz oder die Einbindung in einen Kontext eine bestimmte Bedeutung zukommt. Allerdings nur dann, wenn die daraus entstandene Information zielführendes und nutzbringendes Wissen enthält, hat sie für eine Organisation einen ggf. unschätzbaren Wert. So gesehen sind Informationen „Daten von Wert“ – über den Wert selbst entscheidet die jeweilige Organisation.

Aber welches Wissen hat nun die Relevanz, als „dokumentierte Information“ eingeordnet zu werden? In ISO 9001:2015 ist dazu sinngemäß hinterlegt, dass ein Managementsystem genau jene dokumentierte Information enthalten muss, die von der Organisation als für dieses System notwendig für seine Wirksamkeit bestimmt wurde. Die Norm fokussiert demzufolge stark auf den Wert einer Information. Und zwar in Abhängigkeit von der konkreten Unternehmenssituation z. B. Branchenzugehörigkeit, Größe und Komplexität des Unternehmens und seiner Prozesse, Anforderungen bzw. Erwartungen relevanter interessierter Parteien, etc.

Dokumentierte Information wirksam schützen: Nutzung von „Lesson Learned“ aus der Informationssicherheit

Genau an dieser Stelle greift die oben erwähnte Informationssicherheit gemäß ISO/IEC 27001: Zwar fordert ISO 9001 die Verfügbarkeit, Integrität und Vertraulichkeit der dokumentierten Information und bezieht sich dabei auf den Schutz vor unbefugtem Zugriff etc. Dennoch bietet sie Organisationen nicht die erforderlichen Management-Tools sowie technische oder organisatorische Verfahren. Und vor allem: Sie fordert deren Einsatz auch nicht explizit. Das nötige Vertrauen in die Sicherheit von Daten im Sinne dokumentierter Information ist dabei aber besonders im Hinblick auf die Erwartungen der interessierten Parteien von großer Bedeutung.

ISO/IEC 27001 legt in ihrem Ansatz einen Risikomanagementprozess zugrunde, der sich durch die gesamte Organisationsstruktur zieht und im PDCA-Zyklus sehr früh bei „PLAN“ ansetzt – nämlich bei der Konzeption von Prozessen und Systemen. Eine solche Vorgehensweise ist vor allem dann erste Wahl, wenn moderne Kommunikationsmedien wie E-Mail, Social Media oder Cloud-Lösungen die Grundlage für dokumentierte Information darstellen – in einigen Branchen mittlerweile „gelebter Standard“. Dazu gehört u. a. insbesondere der gezielte Fokus auf das „Bewusstsein“ der Beschäftigten. Jede technische oder organisatorische Lösung kann noch so gut sein: Ist dem Menschen die mögliche Konsequenz seines Handels und damit potenziell verbundener Risiken nicht bewusst, handelt er mit hoher Wahrscheinlichkeit nicht richtig im Sinne des Informationsschutzes.

Erwähnt sei zudem, dass sich die jeweiligen Anforderungen an ein Managementsystem durch den Aufbau beider Normen ISO 9001 und ISO/IEC 27001 durch ihre gemeinsame Grundstruktur (HLS) perfekt ergänzen!

Compliance im Fokus

Die Schnelllebigkeit von Informationen und deren oft rasante „Vergänglichkeit“ ist eine Herausforderung unserer Zeit und nicht zuletzt der immer tiefergreifenden Digitalisierung von Daten und Informationen, die auch deren Verteilung und Verarbeitung tangiert. So wird es immer schwieriger, aus der Vielfalt gebotener Informationen die entscheidenden und für eine Organisation damit relevanten Informationen zu identifizieren. Die bereits genannte Verfügbarkeit, Integrität und Vertraulichkeit rücken damit immer stärker in den Fokus. In jedem Prozess im Sinne einer Abfolge von Tätigkeiten mehrerer Personen muss somit die Frage nach den dafür erforderlichen Informationen, deren Aktualität und Ursprung, aber auch nach der zu übergebenden Information gestellt und beantwortet werden.

Neben der Differenzierung von für eine Organisation (entscheidungs-)relevanten dokumentierten Information und deren Schutz besteht darüber hinaus die Anforderung, konform zu sein. Sie muss also die relevanten Anforderungen interessierter Parteien umsetzen und einhalten. Im Zuge der digitalen Transformation gilt es, auf der Grundlage von staatlichen Forderungen wie z. B. aus dem IT-Sicherheitsgesetz und KRITIS oder der DS-GVO den aktuellen Stand der Technik einzuhalten und sowohl organisatorische wie auch technische Maßnahmen zur Sicherung von Informationswerten wirksam umzusetzen. Daneben gilt es, zugleich den Anforderungen/Erwartungen relevanter interessierter Parteien gerecht zu werden, vor allem Kunden und Mitarbeitenden. Deren Nutzen und der Schutz entsprechender Werte sollte in vielen Organisationen stärker als bisher im Fokus stehen. Es geht bei einer erfolgreichen Weiterentwicklung einer Organisation also nicht darum, einfach „nur“ konform zu sein.

ISO/IEC 27001: sichere Digitalisierung

Um den Anforderungen nach dem Stand der Technik und den richtigen organisatorischen und technischen Maßnahmen gerecht zu werden, hat ISO/IEC 27001 alles Notwendige „direkt an Bord“: Auch der aus ISO 9001 und der DS-GVO bekannte Ansatz des risikobasierten Denkens findet sich wieder. ISO/IEC 27001 fordert ein Risikomanagement, das als Ergebnis ein angemessenes Schutzniveau für die Informationswerte einer Organisation bietet. Die Norm verfügt dabei über einen Anhang, der zu den unterschiedlichsten Risikoszenarien technischer und organisatorischer Art Maßnahmen zu deren Risikobewältigung bereithält. Systematisch übertragen auf die eigenen Bedürfnisse und damit auf das eigene Schutzniveau einer Organisation bietet sich somit eine Lösung zu deren Absicherung. 

Bisher setzen sich Organisationen mit dem Thema KRITIS erst dann auseinander, wenn sie eindeutig zur kritischen Infrastruktur gehören. Aber gerade unter den hier genannten Gesichtspunkten sollte es für Organisationen unabhängig von ihrer Größe unabdingbar sein, sich mit der Erfüllung dieser Anforderungen auseinanderzusetzen. Denn sie stellen die Basis für eine von Anfang an nachhaltige digitale Transformation sicher.

 

Fazit

Zusammenfassend bleibt festzuhalten:

  • Auch nach der Normrevision fordert ISO 9001 nicht „viel Papier“, sondern überlässt es der Organisation, über den Wert und die Relevanz von Informationen selbst zu entscheiden und diese in einer selbst gewählten Art und Weise verfügbar zu machen.
  • Erforderliche Grundlage für eine zielführende und effektive digitale Transformation ist es, die Geschäftsprozesse im Hinblick auf benötigte Informationen, Kommunikation und Wissen zu optimieren.
  • Neben Anforderungen relevanter interessierter Parteien wie z. B. Kunden, Geschäftspartnern und Mitarbeitern zur Informationssicherheit existieren diverse weitere Compliance-Anforderungen auf staatlicher Ebene. Die Antworten hält ISO/IEC 27001 dafür bereits parat.

Egal ob ISO 9001, ISO/IEC 27001 oder DS-GVO: Mögliche Synergieeffekt sind eindeutig gegeben. Die Möglichkeit unter der Berücksichtigung der verschiedenen Normen und Anforderungen ein für eine Organisation nutzbringendes Managementsystem zu generieren, sind u. a. durch die vereinheitlichte Normstruktur HLS) und weiteren Kompatibilitäten (u. a. Begriffe) geschaffen. In welchem Ausmaß eine Organisation die Möglichkeiten der digitalen Transformation nutzen möchte und dafür die erforderlichen Ressourcen zur Verfügung stellt, muss jede Organisation letztendlich selbst entscheiden. Die beste Chance dafür bietet sich unter Nutzung der beispielhaft dargestellten Norminterpretation. Die hier aufgezeigten Normen berücksichtigen dabei nicht nur die relevanten Themen, sondern bieten mit ISO/IEC 27001 auch angemessene Lösungswege zur Risikominimierung im Sinne eines Best-Practice-Ansatzes.


Andreas Altena                                             Angelika Müller
Geschäftsführer Sollence GmbH        Geschäftsführerin Sollence GmbH
DQS-Auditor                                                   DQS-Auditorin