Zertifizierungen sind für Lieferanten, Dienstleister und andere Auftragnehmer eine wichtige Voraussetzung zur Kundengewinnung und wird von den Auftraggebern fast immer in ersten Kontaktgesprächen abgefragt. In verschiedenen Branchen, z. B. IT-Dienstleistungen, Lieferungen und Leistungen der Zulieferer in der Automobilindustrie, Waren und Dienstleistungen für Energieversorger, etc. sind Zertifizierungen im Qualitätsmanagement (ISO 9001) und in der IT-Sicherheit (ISO 27001 und TISAX) unabdingbare Voraussetzungen dafür, um bei der Auftragsvergabe als Lieferant oder Dienstleister berücksichtigt zu werden und den Auftrag zu erhalten. Daher müssen sich die betroffenen Unternehmen, Organisationen und Institutionen belastbar und zukunftsfähig aufstellen. Eine Zertifizierung im Qualitätsmanagement und in der IT-Sicherheit sind wichtige Beiträge für das Unternehmen zukunftsfähig zu werden und zu bleiben. Daher müssen die strategischen Entscheidungen der Leitungsebene diesem Thema die erforderlichen Ressourcen einräumen und es rechtzeitig in der Organisation einplanen und umsetzen.
Qualitätsmanagement nach ISO 9001
Die ISO 9001 legt die Mindestanforderungen an ein Qualitätsmanagementsystem fest. Diese Mindestanforderungen muss die Organisation erfüllen und diese in einem kontinuierlichen Verbesserungsprozess (KVP) turnusgemäß aktualisieren. Alle von der Norm betroffenen Prozesse des Unternehmens müssen geordnet, strukturiert abgebildet und die dafür erforderliche Ablauforganisation geschaffen werden. In der Ablauforganisation müssen die erforderlichen Personen benannt, Verantwortung zugewiesen und getragen werden.
Alle Maßnahmen zur Strukturierung der Prozessabläufe werden nach den Plan-Do-Check-Act-Modell (PDCA-Modell) umgesetzt. Im ersten Schritt (PLAN) werden die Maßnahmen geplant. In einem zweiten Schritt (DO) erfolgt die Umsetzung der geplanten Prozessabläufe. Im Schritt Drei (CONTROL) erfolgt die Kontrolle, ob die umgesetzten Prozessabläufe mit den Anforderungen der Norm in Einklang stehen und die mit den umgesetzten Maßnahmen verfolgten Ziele und Anforderungen erreicht werden. Im Schritt Vier (ACT) werden Verbesserungen bezüglich der umgesetzten Maßnahmen und Prozessabläufe erfasst und diese erneut auf die Prozessabläufe bezogen und umgesetzt. Es müssen regelmäßige interne Audits im Unternehmen durchgeführt werden. So entsteht ein Prozess der kontinuierlichen Verbesserung, um das Qualitätsmanagement auf ein angemessenes Niveau zu heben und diesen Level beizubehalten.
Wir können Sie im Rahmen der ISO 9001-Zertifizierung mit folgenden Dienstleistungen unterstützen:
IT-Sicherheit nach ISO 27001
Die internationale Norm ISO 27001 regelt Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Die DIN ISO IEC 27001 basiert, wie auch andere aktuelle Managementnormen, auf der High Level Structure (HLS). Diese High Level Structure hat einen Aufbau, der bei allen neuen Standards für Managementsysteme (zum Beispiel der ISO 9001 oder der ISO 14001) gleich ist.
Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit. Zusätzlich zum Managementsystem-orientierten Anforderungsteil (Kapitel 4 bis 10) enthält die ISO-Norm im Annex A über 14 Kapitel hinweg eine umfangreiche Auflistung von 35 Maßnahmenzielen (Controls) mit 114 konkreten Maßnahmen zu verschiedensten Sicherheitsaspekten. Jedes Thema ist auf eines oder mehrere Ziele bezogen (zweite Ebene). Mit der Erreichung dieser Ziele gilt das Thema als „erfüllt“. Um zur Erfüllung zu gelangen, wird jedes Ziel nun wiederum durch eine weitere Anzahl von Controls beschrieben (dritte Ebene).
Ein weiterer wichtiger Punkt ist die Erklärung der Anwendbarkeit (Statement of Applicability, SoA). Die SoA ist die wesentliche Verknüpfung zwischen der Risikoeinschätzung und -behandlung und den Maßnahmen der Informationssicherheit des Unternehmens. In der SoA wird festleget, welche der vorgeschlagenen 114 Maßnahmen aus dem Anhang A der ISO 27001 angewendet werden. Weiterhin wird festgelegt, wie die ausgewählten Maßnahmen im Unternehmen umgesetzt werden. Sind die Inhalte der SoA nicht ausreichend beschrieben, wird die beauftragte Zertifizierungsstelle kein Zertifikat ausstellen.
Wir können Sie im Rahmen der ISO 27001-Zertifizierung mit folgenden Dienstleistungen unterstützen:
TISAX
TISAX® (Trusted Information Security Exchange – eingetragene Marke der ENX Association) ist ein von der Automobilindustrie entwickelter Standard. Dieser Standard beschreibt angemessene Schutzmaßnahmen für die Informationssicherheit, die im VDA Information Security Assessment (ISA)-Katalog hinterlegt sind.
Viele Automobilhersteller fordern ihre Zulieferer dazu auf, ein ISMS nach VDA-ISA aufzubauen und nachhaltig zu pflegen. Der bestehende VDA-ISA-Katalog wurde von der internationalen Norm ISO 27001 abgeleitet. Diese Norm und die ISO 27017 für die Cloud-Sicherheit sind daher die Basis für ein Informationssicherheitsmanagement-Systems (ISMS) in der Automobilbranche und für deren Zulieferer.
Die TISAX®-Zertifizierung erfolgt in drei Schritten: Registrierung (Sammeln von Informationen über das zu zertifizierende Unternehmen und was Bestandteil der Prüfung sein soll)
Prüfung (Durchlaufen der Prüfungen des TISAX®-Prüfdienstleisters)
Austausch (Teilen der Ergebnisse mit dem Partner)
Mit dem TISAX®-Prüfdienstleister muss der Prüfscope definiert werden, damit der Umfang der Informationssicherheitsprüfung feststeht und entsprechend vorbereitet werden kann. Der aktive Teilnehmer des Zertifizierungsverfahrens (Zulieferer) muss den Prüfscope auswählen. Es stehen hier der Standard-Scope und der Custom Scope (angepasster Scope zur Auswahl). Beim Custom Scope kann nochmals zwischen einem eingschränkten Scope und einem erweiterten Scope gewählt werden. Fast alle TISAX®-Teilnehmer wählen den Standard-Scope.
Derzeit gibt es acht TISAX®-Prüfziele. Sie müssen mindestens ein Prüfziel müssen vom TISAX®-Teilnehmer ausgewählt werden. Es können aber auch mehrere ausgewählt werden.
Das Prüfziel bildet den Maßstab für das Informationssicherheitsmanagementsystem des TISAX®-Teilnehmers. Das Prüfziel ist ein entscheidender Input für den TISAX®-Prozess. Alle TISAX®-Prüfdienstleister orientieren sich bei ihrer Prüfstrategie vor allem am Prüfziel.
Wir können Sie im Rahmen der TISAX®-Zertifizierung mit folgenden Dienstleistungen unterstützen:
Bei Fragen zu diesen Themen kontaktieren Sie uns gern unter den angegebenen Kontaktdaten.