Sprache wechseln

Wie haben wir die Anforderungen der ISO 27001 in unser QMS integriert?

22-Mar-2019 - Ann Vankrunkelsven

Da wir für Hersteller von Medizinprodukten ein wichtiger Lieferant sind und wissen, dass unsere Software wichtige Informationen enthält, hat bei uns Informationssicherheit schon immer einen hohen Rang eingenommen. Um dies zu formalisieren und zu zeigen, dass wir nach international anerkannten Normen arbeiten, haben wir uns entschieden, ein vollständiges Managementsystem für Informationssicherheit nach ISO 27001 zu implementieren.

Bei unseren ersten Überlegungen zur Implementierung der Requirements dieser Norm fragten wir uns, wie uns dies so effizient wie möglich gelingt.

Wir wollten beide Managementsysteme vollständig integrieren, um wiederholte oder doppelte Arbeit zu vermeiden.

Wie sieht unser Ansatz zur Integration der ISO 27001 in unser bestehendes QMS aus?

1. Lücken (Gaps) analysieren und schließen

Als Erstes formulierten wir die Requirements der Norm und der Anhänge in einfachem Englisch. Dies ist eine gute Übung, eine Übersicht und tiefer gehendes Verständnis der Requirements der Norm zu erhalten.

Anschließend gingen wir jedes Requirement durch und führten eine Gap-Analyse unseres bestehenden Qualitätsmanagementsystems anhand der Norm durch. Daraufhin aktualisierten wir fast alle unsere Prozesse und fügten einige neue hinzu. Wir aktualisierten auch nahezu die Hälfte der Arbeitsanweisungen und fügten ein paar neue hinzu.

Die größte Änderung betraf den Bereich des Risikomanagements. Wir aktualisierten 70 % unserer bestehenden Prozesse im Zusammenhang mit Risikobewertungen und verdoppelten die Gesamtanzahl der identifizierten Risiken.

Eine weitere Maßnahme speziell für die ISO 27001 war das Dokumentieren der Unternehmensassets.

2. Eine zweite Meinung einholen

Nachdem wir alle Prozesse aktualisiert hatten, engagierten wir einen externen Spezialisten für einen internen Audit. Der Audit dauerte 2 Tage und endete mit 5 Empfehlungen, die recht einfach implementiert werden konnten.

3. System verwenden

Sinn und Zweck der Integration des Managementsystems für Informationssicherheit in unser Qualitätsmanagementsystem war, nur in einem einzigen System zu arbeiten.

Nachdem der interne Audit abgeschlossen war, begannen wir mit der Übernahme der neuen oder aktualisierten Prozesse, was zu einigen neuen Aufzeichnungen führte, hauptsächlich zum Dokumentieren aller Assets im Unternehmen sowie der Zugriffsrechte von Mitarbeitern auf die verschiedenen Assets. Außerdem stellten wir sicher, dass andere Aktivitäten gut dokumentiert wurden, wie beispielsweise die von uns gestarteten White-Hat-Hacking-Wettbewerbe, bevor wir mit der ISO 27001 begannen.

4. Zertifizierungsaudit

In unserem Fall wurde der Überwachungsaudit für unsere ISO 13485-Zertifizierung mit dem Zertifizierungsaudit für die ISO 27001 kombiniert (was sinnvoll war, da es sich um ein integriertes System handelt).

Unser Audit endete mit zwei kleineren Nichtkonformitäten und einem brandneuen ISO 27001-Zertifikat.

Wir kompliziert was das nun wirklich?
  • Das Auflisten und Dokumentieren aller Assets erfordert zwar einige Anstrengungen, aber es ist eine interessante Übung, diese direkt mit den Risiken zu verknüpfen.
  • Das Unternehmen auf weiteres Wachstum vorzubereiten, erforderte, dass wir einige der Prozesse neu überdenken mussten. Wir sind uns aber sicher, dass das neue Training und die Verfahren hilfreich sein werden.
So kompliziert fanden wir das letztendlich gar nicht. Da wir doch etliche unserer bestehenden Verfahren von der ISO 13485 oder DSGVO wiederverwenden konnten, stand gar nicht so viel zusätzliche Arbeit an. Dies ist natürlich nur der Fall, wenn IT-Sicherheit bereits vor der Implementierung der ISO 27001 ein Schwerpunkt war. Andernfalls könnte dies eine Menge zusätzlicher Arbeit bedeuten: z. B. White-Hacking-Aktivitäten organisieren und darauf reagieren, Entwicklungs-, Test- und Bereitstellungsnetzwerke, VPNs und Zugriffsrechte auf verschiedene Assets verwalten.

Wenn Sie über eine Implementierung der ISO 27001 nachdenken und mehr darüber erfahren und verstehen möchten, welche Auswirkungen dies auf uns hatte, fragen Sie uns einfach – wir erzählen Ihnen dies gerne!