Zertifizierungen (ISO 9001, 27001, TISAX)

Zertifizierungen sind für Lieferanten, Dienstleister und andere Auftragnehmer eine wichtige Voraussetzung zur Kundengewinnung und wird von den Auftraggebern fast immer in ersten Kontaktgesprächen abgefragt. In verschiedenen Branchen, z. B. IT-Dienstleistungen, Lieferungen und Leistungen der Zulieferer in der Automobilindustrie, Waren und Dienstleistungen für Energieversorger, etc. sind Zertifizierungen im Qualitätsmanagement (ISO 9001) und in der IT-Sicherheit (ISO 27001 und TISAX) unabdingbare Voraussetzungen dafür, um bei der Auftragsvergabe als Lieferant oder Dienstleister berücksichtigt zu werden und den Auftrag zu erhalten. Daher müssen sich die betroffenen Unternehmen, Organisationen und Institutionen belastbar und zukunftsfähig aufstellen. Eine Zertifizierung im Qualitätsmanagement und in der IT-Sicherheit sind wichtige Beiträge für das Unternehmen zukunftsfähig zu werden und zu bleiben. Daher müssen die strategischen Entscheidungen der Leitungsebene diesem Thema die erforderlichen Ressourcen einräumen und es rechtzeitig in der Organisation einplanen und umsetzen.

Qualitätsmanagement nach ISO 9001

Die ISO 9001 legt die Mindestanforderungen an ein Qualitätsmanagementsystem fest. Diese Mindestanforderungen muss die Organisation erfüllen und diese in einem kontinuierlichen Verbesserungsprozess (KVP) turnusgemäß aktualisieren. Alle von der Norm betroffenen Prozesse des Unternehmens müssen geordnet, strukturiert abgebildet und die dafür erforderliche Ablauforganisation geschaffen werden. In der Ablauforganisation müssen die erforderlichen Personen benannt, Verantwortung zugewiesen und getragen werden.

Alle Maßnahmen zur Strukturierung der Prozessabläufe werden nach den Plan-Do-Check-Act-Modell (PDCA-Modell) umgesetzt. Im ersten Schritt (PLAN) werden die Maßnahmen geplant. In einem zweiten Schritt (DO) erfolgt die Umsetzung der geplanten Prozessabläufe. Im Schritt Drei (CONTROL) erfolgt die Kontrolle, ob die umgesetzten Prozessabläufe mit den Anforderungen der Norm in Einklang stehen und die mit den umgesetzten Maßnahmen verfolgten Ziele und Anforderungen erreicht werden. Im Schritt Vier (ACT) werden Verbesserungen bezüglich der umgesetzten Maßnahmen und Prozessabläufe erfasst und diese erneut auf die Prozessabläufe bezogen und umgesetzt. Es müssen regelmäßige interne Audits im Unternehmen durchgeführt werden. So entsteht ein Prozess der kontinuierlichen Verbesserung, um das Qualitätsmanagement auf ein angemessenes Niveau zu heben und diesen Level beizubehalten.

Wir können Sie im Rahmen der ISO 9001-Zertifizierung mit folgenden Dienstleistungen unterstützen:

  • Unterstützung bei der Erstellung der durch die Norm geforderten Dokumente
  • Umsetzung der Prozessdokumentation in der erforderlichen Detailtiefe (Prozessbeschreibungen, Verfahrensanweisungen, Arbeitsanweisungen)
  • Abgleich der Anforderungen der ISO 9001 mit den im Unternehmen vorhandenen oder noch fehlenden QM-Dokumenten
  • Aufbau Qualitätsmanagementplanung (Prozessplanung und Prozesssteuerung)
  • Verpflichtung der Geschäftsführung zur Einhaltung der aufgestellten Vorgaben und Politik des Qualitätsmanagements (verbindliche Qualitätspolitik und Qualitätsziele)
  • Lenkung der von der Norm geforderten Dokumente (Erstellung, Prüfung, Freigabe)
  • Bewertung von Chancen und Risken des Unternehmens (Risikomanagement)
  • Regelmäßige Reviews des Managements (Management-Review)
  • Durchführung von regelmäßigen Audits (System-Audits und Verfahrens-Audits)
  • Erstellung der erforderlichen Auditberichte und Besprechung mit der Geschäftsführung und weiteren Verantwortlichen
  • Ableitung von Maßnahmen zur Risikobehandlung
  • Planung und Überwachung von Ressourcen des Unternehmens
  • Einbindung der erforderlichen Prozesse und Maßnahmen in die QM-Dokumentation
  • Schulung und Schaffung von Bewusstsein bei den Beschäftigten zu den von der Norm geforderten Themen
  • Definition von Qualitätszielen im Einklang mit der Qualitätspolitik
  • Zuweisung von verantwortlichen Personen, zu erreichende Ziele mit Zieldatum und Definition von Messgrößen zur Messung der Zielerreichung (Indikatoren)
  • Auswahl der zertifizierenden Stelle (TÜV, DEKRA, etc.)
  • Durchsicht der Agenda des Auditors der zertifizierenden Stelle und Begleitung des Zertifizierungs-Audits
  • Vorbereitung und Begleitung der regelmäßigen Überwachsaudits der zertifizierenden Stelle
  • Vorbereitung und Begleitung des Re-Zertifizierungsaudits

IT-Sicherheit nach ISO 27001

Die internationale Norm ISO 27001 regelt Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Die DIN ISO IEC 27001 basiert, wie auch andere aktuelle Managementnormen, auf der High Level Structure (HLS). Diese High Level Structure hat einen Aufbau, der bei allen neuen Standards für Managementsysteme (zum Beispiel der ISO 9001 oder der ISO 14001) gleich ist.

Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit. Zusätzlich zum Managementsystem-orientierten Anforderungsteil (Kapitel 4 bis 10) enthält die ISO-Norm im Annex A über 14 Kapitel hinweg eine umfangreiche Auflistung von 35 Maßnahmenzielen (Controls) mit 114 konkreten Maßnahmen zu verschiedensten Sicherheitsaspekten. Jedes Thema ist auf eines oder mehrere Ziele bezogen (zweite Ebene). Mit der Erreichung dieser Ziele gilt das Thema als „erfüllt“. Um zur Erfüllung zu gelangen, wird jedes Ziel nun wiederum durch eine weitere Anzahl von Controls beschrieben (dritte Ebene).

Ein weiterer wichtiger Punkt ist die Erklärung der Anwendbarkeit (Statement of Applicability, SoA). Die SoA ist die wesentliche Verknüpfung zwischen der Risikoeinschätzung und -behandlung und den Maßnahmen der Informationssicherheit des Unternehmens. In der SoA wird festleget, welche der vorgeschlagenen 114 Maßnahmen aus dem Anhang A der ISO 27001 angewendet werden. Weiterhin wird festgelegt, wie die ausgewählten Maßnahmen im Unternehmen umgesetzt werden. Sind die Inhalte der SoA nicht ausreichend beschrieben, wird die beauftragte Zertifizierungsstelle kein Zertifikat ausstellen.

Wir können Sie im Rahmen der ISO 27001-Zertifizierung mit folgenden Dienstleistungen unterstützen:

  • Aufbau eines softwaregestützten IT-Sicherheitsmanagementsystems (ISMS), z. B. über die ISMS-Software verinice, fuentis, etc.
  • Aufschlüsselung der Organisation des Unternehmens (z. B. durch ein Organigramm)
  • Definition des Geltungsbereichs des ISMS (Scope)
  • Erstellung der Erklärung zur Anwendbarkeit (Statement of Applicability, SoA)
  • Umfeldanalyse zur Einordnung des ISMS
  • Erstellung der Anforderungsanalyse für die verschiedenen Interessengruppen
  • Erfassung der relevanten gesetzlichen, regulatorischen und vertraglichen Anforderungen, die Einfluss auf die Informationssicherheitsstrategie und das ISMS haben
  • Definition der Geschäftsziele und Anforderungen in Zusammenhang mit der Informationssicherheitspolitik im Unternehmen
  • Definition der Informationssicherheitsstrategie
  • Bestimmung der verantwortlichen Personen des Top-Managements (Regelung der Verantwortlichkeiten), die das ISMS steuern und über die Ressourcen des Unternehmens entscheiden
  • Erstellung der erforderlichen Informationsleitlinie (Information Security Policy)
  • Einführung eines dokumentierten Risikobewertungsverfahrens
  • Implementierung eines dokumentierten Risikobeurteilungsprozesses
  • Implementierung eines dokumentierten Risikobehandlungsprozesses
  • Definition der Sicherheitsziele im Unternehmen
  • Aufstellung eines Kommunikationsplans im Unternehmen zur Unterstützung der Informationssicherheit
  • Bereitstellung der erforderlichen Personen und Infrastruktur zur Umsetzung und Steuerung des ISMS (Personal- und Budgetplanung)
  • Übersicht über alle relevanten Ressourcen des Unternehmens
  • Strategie für den Umgang mit dokumentierten Informationen
  • Aufsetzen einer Rollenbeschreibung der betroffenen Beschäftigten im Geltungsbereich des ISMS (ISB, CISO, DSB)
  • Durchführung von regelmäßigen Schulungen in Bezug auf das ISMS und dokumentiertes Konzept zur Steigerung der Awareness und Vermittlung der Inhalte
  • Dokumentation der Schulungsinhalte und Nachweise zur Teilnahme der Beschäftigten, Pflichtschulungen
  • Definition eines Verfahrens zur internen und externen Kommunikation
  • Dokumentation zur korrekten Ausführung der Prozesse des ISMS, Kontrolle des ISMS und Leistungsmessung über definierte KPI‘ s (Key Performance Indicators)
  • Erstellung der erforderlichen Managementberichte zur Eskalation
  • Durchführung und Dokumentation regelmäßiger Audits (Auditprogramme und Auditergebnisse
  • Aufstellung eines Incident Response Plans (IRP), einschließlich der erforderlichen aktuellen Kontaktlisten und der Eskalationspläne
  • Dokumentation von Verhaltensregeln in Bezug auf sicherheitsrelevante Unregelmäßigkeiten, Prozessbeschreibungen und Arbeitsanweisungen zur Beweissicherung
  • Erstellung von Berichten zu Sicherheitsvorfällen, Besprechung mit dem Management und Ableitung von Maßnahmen zur Schließung von IT-Sicherheitslücken
  • Dokumentation über die Art von Nicht-Konformitäten (Abweichungen) und über die ergriffenen Maßnahmen in Bezug auf korrigierende Gegenmaßnahmen und deren Ergebnisse
  • Auswahl der zertifizierenden Stelle (TÜV, DEKRA, etc.)
  • Durchsicht der Agenda des Auditors der zertifizierenden Stelle und Begleitung des Zertifizierungs-Audits
  • Vorbereitung und Begleitung der regelmäßigen Überwachsaudits der zertifizierenden Stelle
  • Vorbereitung und Begleitung des Re-Zertifizierungsaudits

TISAX

TISAX® (Trusted Information Security Exchange – eingetragene Marke der ENX Association) ist ein von der Automobilindustrie entwickelter Standard. Dieser Standard beschreibt angemessene Schutzmaßnahmen für die Informationssicherheit, die im VDA Information Security Assessment (ISA)-Katalog hinterlegt sind.

Viele Automobilhersteller fordern ihre Zulieferer dazu auf, ein ISMS nach VDA-ISA aufzubauen und nachhaltig zu pflegen. Der bestehende VDA-ISA-Katalog wurde von der internationalen Norm ISO 27001 abgeleitet. Diese Norm und die ISO 27017 für die Cloud-Sicherheit sind daher die Basis für ein Informationssicherheitsmanagement-Systems (ISMS) in der Automobilbranche und für deren Zulieferer.

Die TISAX®-Zertifizierung erfolgt in drei Schritten: Registrierung (Sammeln von Informationen über das zu zertifizierende Unternehmen und was Bestandteil der Prüfung sein soll)
Prüfung (Durchlaufen der Prüfungen des TISAX®-Prüfdienstleisters)
Austausch (Teilen der Ergebnisse mit dem Partner)

Mit dem TISAX®-Prüfdienstleister muss der Prüfscope definiert werden, damit der Umfang der Informationssicherheitsprüfung feststeht und entsprechend vorbereitet werden kann. Der aktive Teilnehmer des Zertifizierungsverfahrens (Zulieferer) muss den Prüfscope auswählen. Es stehen hier der Standard-Scope und der Custom Scope (angepasster Scope zur Auswahl). Beim Custom Scope kann nochmals zwischen einem eingschränkten Scope und einem erweiterten Scope gewählt werden. Fast alle TISAX®-Teilnehmer wählen den Standard-Scope.

Derzeit gibt es acht TISAX®-Prüfziele. Sie müssen mindestens ein Prüfziel müssen vom TISAX®-Teilnehmer ausgewählt werden. Es können aber auch mehrere ausgewählt werden.

Das Prüfziel bildet den Maßstab für das Informationssicherheitsmanagementsystem des TISAX®-Teilnehmers. Das Prüfziel ist ein entscheidender Input für den TISAX®-Prozess. Alle TISAX®-Prüfdienstleister orientieren sich bei ihrer Prüfstrategie vor allem am Prüfziel.

Wir können Sie im Rahmen der TISAX®-Zertifizierung mit folgenden Dienstleistungen unterstützen:

  • Unterstützung des TISAX®-Teilnehmers bei den drei Schritten „Registrierung, Prüfung und Austausch“
  • Definition und maßschneidern des Prüfscopes (Standardscope oder Custom Scope)
  • Prüfung der TISAX®-Teilnahmebedingungen
  • Unterstützung bei der Definition der Prüfziele (assessment objectives), die das Informationssicherheitsmanagementsystem des TISAX®-Teilnehmers erfüllen muß
  • Unterstützung bei der Selbsteinschätzung anhand des ISA-Dokuments (Prüfverfahren)
  • Auswahl der Kriterienkataloge, insbesondere Unterstützung bei den Inhalten zur Informationssicherheit
  • Bewertung des Reifegrads für das Informationssicherheitsmanagementsystem (ISMS)
  • Unterstützung bei der Analyse und Interpretation der Selbsteinschätzung
  • Feststellung, ob der TISAX®-Teilnehmer für den TISAX-Prüfungsprozess bereit oder noch nicht (Abweichungen zwischen Ziel-Reifegrad und Reifegrad des TISAX®-Teilnehmers)
  • Besprechung der Reifematrix des TISAX®-Teilnehmers
  • Auswahl des TISAX®-Prüfdienstleisters
  • Prüfung der Angebote der TISAX®-Prüfdienstleister
  • Unterstützung dahingehend, dass das Informationssicherheitsmanagementsystem (ISMS) mit den Anforderungen der Norm übereinstimmt
  • Begleitung bei TISAX®-Prüfungsprozess (Erst-Prüfung, Maßnahmenplan-Prüfung, Follow-up-Prüfung)
  • Analyse der Feststellungen des TISAX®-Prüfdienstleisters (Beobachtung, identifiziertes Verbesserungspotential, Nebenabweichung, Hauptabweichung)
  • Unterstützung bei der Beseitigung von Haupt- und Nebenabweichungen
  • Erstellung eines Maßnahmenplans (corrective action plan)
  • Unterstützung beim Austausch des Prüfungsergebnisses des TISAX®-Prüfdienstleisters über das ENX-Portal (Sharing-Level)

Bei Fragen zu diesen Themen kontaktieren Sie uns gern unter den angegebenen Kontaktdaten.