Viele Unternehmen stehen vor genau dieser Frage: Wir haben schon ein ISO 9001 QMS. Müssen wir für ISO 27001 jetzt ein komplett separates ISMS danebenbauen?
Meistens nein. ISO beschreibt Managementsystemstandards heute ausdrücklich über eine Harmonized Structure. Diese gemeinsame Struktur soll die Integration über Disziplinen hinweg fördern und es Organisationen leichter machen, mehrere Managementsystemstandards gemeinsam umzusetzen und – wenn gewünscht – gemeinsam zertifizieren zu lassen. ISO EC 27001 weist selbst darauf hin, dass dieser gemeinsame Ansatz gerade für Organisationen nützlich ist, die ein einziges Managementsystem für zwei oder mehr Managementsystemstandards betreiben wollen.
Genau deshalb ist ein bestehendes QMS nach ISO 9001 kein Ballast, sondern ein echter Startvorteil. Viele Grundbausteine müssen Sie für ein ISMS nicht noch einmal neu erfinden, sondern nur um den Aspekt der Informationssicherheit ergänzen. ISO sagt sogar ganz grundsätzlich, dass die Managementsystemstandards zusammenarbeiten können und dass eine integrierte Nutzung ausdrücklich mitgedacht ist.
Die kurze Antwort
Wenn schon ein ISO 9001 QMS da ist, ist integrieren fast immer die beste Idee. Die gemeinsame Struktur der Standards macht das nicht nur möglich, sondern geradezu naheliegend. Viele Kapitel behandeln dieselben Managementsystemfragen: Kontext, interessierte Parteien, Scope, Führung, Ressourcen, Kompetenz, Bewusstsein, Kommunikation, dokumentierte Information, Bewertung und Verbesserung. Diese Dinge brauchen Sie nicht doppelt. Sie brauchen sie nur so, dass neben dem Qualitätsaspekt auch der Sicherheitsaspekt sauber mitgedacht wird.
Auch auditseitig ist das häufig effizienter. Das International Accreditation Forum beschreibt integrierte Managementsysteme ausdrücklich als ein einziges Managementsystem, das mehrere Aspekte der Unternehmensleistung abdeckt, und erlaubt bei integrierten Audits eine Anpassung der Auditdauer nach unten, wenn der Integrationsgrad hoch genug ist. Die mögliche Reduktion ist nicht automatisch garantiert, aber sie ist ausdrücklich vorgesehen.
Was ist die High Level Structure – oder heute Harmonized Structure?
Viele kennen noch den Begriff High Level Structure. ISO spricht heute vom Harmonized Structure-Ansatz für Managementsystemstandards. Gemeint ist dieselbe Grundidee: gleiche Grundstruktur, viele gleiche Kernbegriffe und vergleichbare Managementsystemlogik. ISO beschreibt das so, dass Standards mit dieser Struktur dieselbe Grundarchitektur haben und viele gleiche Begriffe und Definitionen enthalten. Genau das ist besonders nützlich für Organisationen, die ein einziges integriertes Managementsystem für zwei oder mehr Standards betreiben wollen.
Für die Praxis heißt das: Sie starten bei ISO 27001 nicht bei null, wenn ISO 9001 schon sauber steht. Sie starten auf einem bereits gebauten Fundament.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: „Für ISO 27001 brauchen wir jetzt alles noch einmal separat.“
Das stimmt nicht. Wenn bereits ein funktionierendes QMS existiert, dann ist Doppelarbeit in vielen Kapiteln unnötig. Die Harmonized Structure existiert gerade deshalb, damit Managementsysteme zusammenpassen und nicht nebeneinander her laufen. Ein integriertes Managementsystem ist laut IAF ein einziges Managementsystem mit gemeinsamer Dokumentation, gemeinsamen Managementsystemelementen und gemeinsamen Verantwortlichkeiten für mehr als einen Standard.
Welche Teile Sie typischerweise gemeinsam nutzen können
4.1 Kontext der Organisation
Das können Sie fast immer gemeinsam denken. Die Frage ist in beiden Welten ähnlich: Welche internen und externen Themen beeinflussen das Managementsystem? Wenn ein QMS das schon sauber aufbereitet hat, dann erweitern Sie es für das ISMS um die sicherheitsrelevanten Aspekte.
4.2 Interessierte Parteien
Auch hier liegt Integration nahe. Die interessierten Parteien sind oft dieselben: Kunden, Mitarbeiter, Eigentümer, Lieferanten, Behörden, Eigentümer, Geschäftsführer. Nur die Anforderungen werden um den Sicherheitsblick ergänzt. Also nicht nur "Was erwarten sie an Qualität?", sondern auch "Was erwarten sie an Vertraulichkeit, Integrität, Verfügbarkeit oder sicherer Verarbeitung?"
4.3 Scope
Auch den Scope sollten Sie möglichst integriert denken. Natürlich sind QMS-Scope und ISMS-Scope nicht immer deckungsgleich. Aber wenn die Unternehmensgrenzen, Standorte, Prozesse und Leistungen schon im QMS beschrieben sind, dann ist das eine sehr gute Ausgangsbasis.
5.1 Commitment
Führung ist Führung. Wenn die oberste Leitung bereits Verantwortung für das QMS übernimmt, sollte sie das nicht in einem getrennten Paralleluniversum noch einmal völlig anders für das ISMS tun. Praktisch heißt Integration hier: Die Leitung übernimmt Verantwortung für beides und behandelt Informationssicherheit nicht als Fremdkörper neben Qualität, sondern als Teil der Unternehmenssteuerung.
5.2 Politik
Viele Unternehmen fahren gut mit einer gemeinsamen übergeordneten Managementsystem-Politik oder mit eng aufeinander abgestimmten Politiken. Entscheidend ist nicht, ob eine oder zwei Überschriften darauf stehen, sondern ob Qualität und Informationssicherheit im Unternehmen sauber und verständlich ausgerichtet sind. Die gemeinsame Struktur der Standards erleichtert genau diese Zusammenführung.
5.3 Rollen, Verantwortlichkeiten und Befugnisse
Wenn Rollen schon im QMS geregelt sind, müssen Sie für das ISMS nicht alles neu aufbauen. Sie ergänzen dort, wo Sicherheitsverantwortung dazukommt.
6.2 Ziele
In der ISO 9001 gibt es Qualitätsziele - die ISO 27001 kennt Sicherheitsziele. Die Mechanik dahinter ist die gleiche: Das Unternehmen soll sich Ziele setzen, die aus den beiden verschiedenen Perspektiven lohnenswert erscheinen. Die Messung der Ziele und der Bericht darüber erfolgt dann ebenfalls parallel: siehe dazu den Abschnitt über das Kapitel 9 weiter unten.
Unterschiedlich: ISO 27001 6.1, 8.2 und 8,3 - das Risikomanagement
Hier ist Vorsicht angesagt. Genau hier sollte man nicht zu viel vereinheitlichen. ISO 9001 arbeitet beim Umgang mit Risiken und Chancen deutlich allgemeiner. ISO 27001 verlangt ein echtes Informationssicherheits-Risikomanagement mit klarer Methodik, Bewertung und Behandlung.
Praktisch heißt das: Sie können den Managementsystem-Rahmen teilen, aber das eigentliche Informationssicherheits-Risikomanagement muss fachlich deutlich schärfer und detaillierter aufgebaut sein als das, was viele Unternehmen bisher aus der 9001 kennen.
Die 7er-Kapitel: Hier lässt sich viel elegant integrieren
Hier steckt oft viel Integrationspotenzial. Ressourcen, Kompetenz, Awareness, Kommunikation und Dokumentenlenkung sind typische Querschnittsthemen. Wenn dafür im QMS bereits funktionierende Prozesse existieren, müssen Sie sie nicht doppelt bauen. Sie ergänzen sie um die Sicherheitsdimension.
Praktisch bedeutet das zum Beispiel:
- bei Ressourcen: neben Qualitätsressourcen auch Sicherheitsressourcen mitdenken,
- bei Kompetenz: nicht nur fachliche Qualität, sondern auch Sicherheitskompetenz,
- bei Bewusstsein: nicht nur Qualitätsbewusstsein, sondern Awareness für Informationssicherheit,
- bei Kommunikation: wer spricht mit wem über Sicherheitsthemen - gerade auch im Notfall,
- bei dokumentierter Information: nicht zwei getrennte Dokumentenwelten pflegen, wenn eine saubere gemeinsame Dokumentenlenkung reicht.
Abschnitt 8: gemeinsam denken, aber nicht künstlich verdoppeln
Hier wird es interessant. Aus Integrationssicht wirkt ISO 27001 in Abschnitt 8 operativ deutlich schlanker als ISO 9001. Bei vielen Unternehmen steckt die eigentliche betriebliche Tiefe bereits im vorhandenen QMS nach ISO 9001, insbesondere in den operativen Prozessen. Für das ISMS bedeutet das in der Praxis oft: Sie müssen Kapitel 8 nicht komplett noch einmal als zweites operatives Universum erfinden, sondern die bestehenden Prozesse dort um den Sicherheitsaspekt ergänzen, wo es nötig ist. Das ist eine Integrationslogik, keine Behauptung, dass beide Normen inhaltlich identisch wären. ISO 27001 selbst bleibt dabei der Rahmen für das ISMS; ISO 9001 bleibt der tiefere operative Rahmen für Qualität.
Das passt auch gut zu Lieferanten und extern bereitgestellten Leistungen. In ISO 9001 steckt das Thema stark im operativen Kapitel 8. In ISO 27001 tauchen Lieferanten und externe Dienstleistungen zusätzlich sehr sichtbar über die Kontrollen in Anhang A auf. Gerade dort lässt sich gut integrieren: Der bestehende Lieferantenprozess aus dem QMS bleibt, wird aber um Sicherheitsanforderungen ergänzt.
Kapitel 9 und 10: Das sollten Sie fast immer gemeinsam fahren
Hier liegt fast immer ein großer Integrationshebel. Leistungsmessung (darunter Zielerreichung), Interne Audits, Management Review, Nichtkonformitäten, Korrekturmaßnahmen und kontinuierliche Verbesserung sind klassische Managementsystem-Kernelemente. Genau diese Elemente nennt IAF auch ausdrücklich als typische Merkmale eines integrierten Managementsystems: integrierte interne Audits, integrierte Management Reviews, integrierte Ziele sowie integrierte Verbesserungsmechanismen.
Praktisch heißt das: Eine gemeinsame Auswertung von Zielen, ein gemeinsames Auditprogramm, ein gemeinsames Review-Format und ein gemeinsamer Verbesserungsprozess sind meist sinnvoller als zwei getrennte parallele Zyklen. Natürlich müssen die Inhalte unterschiedlich sein. Aber der Managementsystem-Mechanismus muss nicht doppelt gebaut werden.
Was das für das Audit bedeutet
Ein integriertes Managementsystem kann auch auditseitig Vorteile bringen. Das IAF schreibt, dass bei Audits integrierter Managementsysteme der Ausgangspunkt zunächst die Summe der einzelnen Auditzeiten ist, diese Dauer dann aber abhängig vom Integrationsgrad reduziert oder erhöht werden kann. Wo eine Reduktion zulässig ist, darf sie laut IAF bis zu 20 % vom Ausgangswert betragen. Als Gründe für Effizienzgewinne nennt das IAF unter anderem eine gemeinsame Eröffnungs- und Schlussbesprechung, einen integrierten Auditbericht, optimierte Logistik und das gleichzeitige Auditieren gemeinsamer Elemente.
Das heißt nicht, dass jedes integrierte Audit automatisch billiger wird. Aber es heißt sehr wohl: Wenn Sie sauber integrieren, ist ein effizienteres Audit ausdrücklich im System vorgesehen.
Was will der Auditor sehen?
Ein Auditor will hier in aller Regel nicht zwei hübsch getrennte Welten sehen (außer Sie wünschen das bei der Anmeldung der Zertifizierung explizit). Er will erkennen, dass das integrierte System konsistent ist. Das IAF beschreibt ein integriertes Managementsystem als ein einziges System mit gemeinsamer Dokumentation, gemeinsamen Managementsystemelementen und gemeinsamen Verantwortlichkeiten. Genau diese Integrationselemente prüft ein Auditor auch implizit mit.
Gut ist deshalb, wenn nachvollziehbar wird:
- welche gemeinsamen Managementsystem-Bausteine Sie für QMS und ISMS zusammen nutzen,
- wo Sie bewusst getrennt bleiben,
- wie Qualität und Informationssicherheit gemeinsam in Prozesse hineingeschrieben werden,
- und wie Audits, Reviews und Verbesserungen systematisch zusammenlaufen.