• EnglishEnglish
  • Kundenbereich
Rhein S.Q.M. GmbH
  • Über Rhein S.Q.M.
    • Team
    • Leistungsversprechen und Nutzen
    • Karriere und Networking
    • Kundenzufriedenheit
    • Kooperationen
    • Corporate Social Responsibility (CSR)
    • Presse / PR
      • Pressemitteilungen
      • Allgemeine Pressedokumente
  • Leistungsportfolio
    • QM-Zertifizierungen und Normen
      • ISO 9001:2015
      • IATF 16949
      • VDA 6.1
      • EN 9100 / EN 9110
      • ISO 13485
      • HACCP / Codex Alimentarius
      • ISO 22000
      • BRC Packaging
      • BRC Food
      • IFS
      • IFS PACsecure
      • IFS Logistic
      • ISO 22716
      • GMP / GDP
      • ISO 14001 / EMAS
      • ISO 50001
      • ISO 45001
      • ISO / IEC 17025
      • DIN ISO IEC 27001
      • ITIL
      • IRIS / QM-Railway
      • ISO / TS 22163 (ehemals IRIS)
      • AZAV Zulassung
      • KTQ
      • IMS / St. Gallener Modell / EFQM
    • Audits und QM-Service
      • VW Formel Q-konkret
      • AIAG CQI-9
      • AIAG CQI-11
      • AIAG CQI-12
      • AIAG CQI-15
      • AIAG CQI-17
      • AIAG CQI-23
      • AIAG CQI-27
      • Technische Dokumentation
      • EU Datenschutzgrundverordnung (DSGVO)
      • IMS / St. Gallener Modell / EFQM
      • Sämtliche Normen und Standards im Abschnitt QM Zertifizierungen
    • QM-Tools
      • APQP
      • PPAP / VDA 2
      • FMEA
      • Prozessfähigkeitsermittlungen – Capability studies
      • Messfähigkeitsermittlungen – MSA
      • OEE / R@R
      • KVP / CIP
      • Fehler- / Pareto-Analyse
      • Ishikawa
      • 8D-Fehlermanagement
      • PDCA-Fehlersenkungsplan
      • Quality Function Deployment (QFD)
      • Kaizen
      • Six Sigma
    • Lieferanten-Management
      • Eignungsfeststellung
      • SCM-Qualifizierung
      • APQP- / VQS-Betreuung von Lieferanten
      • PPAP-Prüfungen und Freigabeempfehlungen
      • Prozessabnahmen / Run@Rate
      • Regelmäßige Serienauditierung
      • Lieferantenweiterentwicklung
      • 100% Sortieraktionen / Firewalls / 200% Prüfungen
      • Krisenmanagement / Qualitätsoffensive
    • Weiterbildung Qualitätsakademie
      • Seminare Qualitätswerkzeuge
        • APQP-Seminare
        • FMEA-Schulung
        • MSA-Seminare
        • PPAP-Seminare / VDA-Band-2-Seminare
        • QM-Tools in der Praxis
        • Qualitätstechniken für Ingenieure
        • Reklamationsmanagement / 8D-Report
        • TRIZ Technologiemanagement
      • Seminare Selbst- & Projektorganisation
      • Allgemeine Qualitätsmanagement-Seminare
        • QM und ISO 9001 Grundlagen
        • QM-Aufbauseminare
        • Intensiv-Seminar und Prüfung zum Qualitätsmanager
        • Lean-Management
      • IATF-16949-Seminare
        • Umsetzung der IATF 16949
        • Prüfmittelüberwachung- und Labormanagement nach IATF 16949
      • Seminare CQI-Standards
        • AIAG CQI-9 Auditor
        • AIAG CQI-9 Wartung und Instandhaltung
  • Branchen & Referenzen
    • Anlagenbau
    • Automobilhersteller – OEM
    • Automobilzulieferer – T1 / T2 / T3
    • Baugewerbe
    • Bildungsträger
    • Chemische Industrie
    • Datenverarbeitung, IT
    • Dienstleistungen in Forschung und Entwicklung
    • Dienstleistungen von Ingenieurbüros für Elektronik und Elektrotechnik
    • Dienstleistungen von Ingenieurbüros für Fahrzeugsteile
    • Dienstleistungen von Ingenieurbüros für Maschinen- und Anlagenbau
    • Elektrotechnik
    • Erneuerbare Energien
    • Fahrzeugversuche
    • Fördertechnik
    • Freie Wohlfahrtspflege
    • Gebäudemanagement
    • Gesundheits-, Veterinär- und Sozialwesen
    • Handel
    • Kabelsatzfertigung
    • Herstellung von Gummi- und Kunststoffwaren
    • Integrationsbetriebe
    • Kfz-Autohäuser
    • Kosmetikherstellung
    • Kredit- und Versicherungsgewerbe
    • Kunststofftechnik
    • Labore (Prüf- und Kalibrierlabore)
    • Lager, Konfektion und Verpackung
    • Lebensmittelherstellung
    • Lebensmittellogistik
    • Lebensmittelverpackung
    • Leitende Polymere
    • Luft- und Raumfahrtindustrie
    • Maschinenbau
    • Medizinprodukte
    • Mess- und Prüftechnik
    • Metallerzeugung, Metallbearbeitung
    • Oberflächentechnik
    • Pharmazeutische Industrie
    • Prototypenbau
    • Reinigungstechnik
    • Schienenfahrzeug-Industrie / QM-Railway
    • Verpackungsindustrie
  • „Aktuelles QM-Klischee“
  • Aktuelles
  • Kontakt
  • Menü Menü

Drei Schritte zur Zertifizierung

ISO 27001 oder Eine IT-Norm, die alle etwas angeht!

Wer glaubt, ein Unternehmen müsse sich nur mit der Zertifizierung nach ISO 27001 beschäftigen, wenn es zu den rund 2.000 sogenannten KRITIS-Betreiber gehört, die bisher vom Gesetzgeber dazu verpflichtet wurden, irrt. Peter Miller, der als Experte für IT-Sicherheit Unternehmen im Auftrag der QM-Beratung Rhein S.Q.M. GmbH im Bereich IT-Sicherheitsgesetz und ISO 27001 berät, warnt alle Organisationen vor Schadenersatzansprüchen im Fall von Industriespionage und Cyberattacken.

Für einige Unternehmen drängt mittlerweile die Zeit: Bis 31.1.2018 müssen zahlreiche Strom- und Gasnetzbetreiber, die unter die sog. KRITIS-Verordnung fallen, der Bundesnetzagentur ein ISO-27001-Zertifikat vorlegen, das die Umsetzung des IT-Sicherheitskataloges dokumentiert. Die verbleibende Frist, weiß QM-Berater und Lead Auditor Miller, sei vor allem dann knapp, wenn ein zertifizierungsfähiges Informations-Sicherheits-Management-System (ISMS) komplett neu eingeführt werden müsse.

Die drei Schritte zur Zertifizierung

Die Vorbereitung auf die ISO-27001-Zertifizierung startet stets mit einem Workshop, der der Bestandsaufnahme beim Kunden dient und für den etwa drei Tage veranschlagt werden müssen. Mittels dieser GAP-Analyse wird aufgenommen, was schon da ist – schließlich ist das Ziel immer, auf einer bestehenden Systematik aufzubauen – und mit den Anforderungen der Norm abgeglichen.

In einem zweiten Step, der sechs bis neun Monate in Anspruch nimmt, werden die identifizierten Lücken nach und nach geschlossen. Möglich ist das Ganze nur, wenn das Management voll dahintersteht, daher muss die Zertifizierung auf oberster Ebene aufgehängt sein. Schließlich sind Aspekte wie Unternehmenspolitik, Unternehmensleitlinien oder Freigabe durch die Geschäftsführung nicht nur „nice to haves“, sondern inhaltliche Bestandteile der Zertifizierung nach der ISO 27001. „Die oberste Führungsebene trägt also ganz offiziell die Verantwortung für das ISMS.“, stellt Miller klar. Auch kann die Zertifizierungsvorbereitung nicht komplett an einen externen Partner outgesourced werden.

Denn beim dritten Schritt, dem Audit, reicht nur die Theorie nicht aus. Im Vergleich zu anderen Zertifizierungen kann die Norm nicht nur formal, also mit einer Dokumentenprüfung, abgebildet werden, sondern beim Audit wird explizit auch die Umsetzung, also die Praxis, geprüft.

Vertragliche statt gesetzliche Verpflichtung

Freiwillig ist die gesamte ISO 27001 momentan noch für alle nicht in der KRITIS-Verordnung benannten Organisationen. Allerdings ergibt sich eine Verpflichtung manches Mal auch gar nicht über den Gesetzgeber, sondern durch kundenspezifische Forderungen, die beispielsweise Automobilhersteller mit ihren Zulieferern vertraglich vereinbaren. Außerdem gilt: Ausfälle bei den IT-Systemen kann sich in einer modernen Gesellschaft heute kaum jemand leisten. Deshalb gehören zur ISO-27001-Zielgruppe nicht nur die Unternehmen, die von Gesetzeswegen oder wegen vertraglicher Verpflichtungen müssen, sondern im Prinzip alle Unternehmen weltweit. Denn kann ein Unternehmen im Falle einer IT-Störung nicht nachweisen, im Vorfeld strukturiert potenzielle Risiken identifiziert und Sicherungsmaßnahmen entwickelt zu haben, kann ihm schuldhaftes Handeln vorgeworfen werden. Und erfolgreiche Klagen auf Schadenersatzansprüche werden dann unter Umständen viel teurer als es die ISO-27001-Zertifizierung gewesen wäre.

Die drei Schritte zur Zertifizierung als Grafik

Schritte zur ISO 27001 Zertifizierung

Auf dem Weg zur ISO-27001-Zertifizierung: Aufbau und Zusammenwirken von sich ergänzenden Sicherheitsaspekten.

Selbstverständlich erstellen wir Ihnen bei Bedarf auch einen individuellen und exklusiven Fachbeitrag zum Thema, der dann auch speziell die Facetten und Detailfragen aufgreifen kann, die Ihre Zielgruppe gerade bewegen.

Mit Peter Miller steht uns hier ein ausgewiesener Experte für IT-Sicherheit zur Verfügung. Nehmen Sie gerne dazu Kontakt mit uns auf!

Der Autor

eter Miller - Experte für die ISO 27001 und das IT-Sicherheitsgesetz bei Rhein SQM

Peter Miller ist im Partnernetzwerk der Rhein S.Q.M. GmbH einer der Experten für IT-Sicherheit.

Aktuelles

  • Wolfgang Rhein, Gründer und Geschäftsführer der Rhein S.Q.M. GmbHInterview zur Revision des VDA Band 2 mit Wolfgang Rhein02.03.2023 - 15:26
  • Kundenzufriedenheit 202209.01.2023 - 10:29
  • Beitragsbild für Pressemitteilungen rund um Qualitätsmanagement-ThemenPressemitteilung zur CQI-12 Version 3, der spezifischen Norm der Automobilindustrie für Beschichtungs-Prozessmanagement15.02.2022 - 07:50
  • Kundenzufriedenheit 202110.02.2022 - 08:44
  • Fachbeitrag in der QUALITY ENGINEERING über die 4. Edition der CQI-9 für Wärmebehandlung31.08.2021 - 08:59
  • CQI-12 JOT Rhein SQMCQI-12-Norm: Fachbeitrag im Journal für Oberflächentechnik21.05.2021 - 13:23
© Rhein S.Q.M. GmbH Ludwigshafen
  • LinkedIn
  • Xing
  • Impressum
  • AGG
  • AGB
  • Datenschutzhinweise
  • Datenschutzerklärung
  • QM-Glossar
  • Sitemap
Pressemitteilung zur ISO 27001, einer IT-Norm, die alle etwas angeht eter Miller - Experte für die ISO 27001 und das IT-Sicherheitsgesetz bei Rhein SQM Wolfgang Rhein, Qualitätsmanagement-Experte und Geschäftsführer der Rhein S.Q.M. GmbH Presseartikel: Die sinkende Akzeptanz der ISO 9001
Nach oben scrollen