5. November 2021

ISO 27001 – wir machen kurzen Prozess!

Von Joachim Reinke

November 5, 2021

Informationssicherheit, ISO 27001, Prozess

Normen wie die ISO 27001 (aber auch die ISO 9001) sind sog. "prozessorientierte Normen". Aber was bedeutet das? ISO 27001 - wir machen kurzen Prozess!

Im Gegensatz zu produkt- oder sachbezogenen Normen formuliert die ISO 27001 Norm für Informationssicherheit keine Anforderungen an Geräte, Maschinen oder Produkte - sondern an die Zusammenarbeit, die Sie in Ihrem Unternehmen miteinander vereinbaren.

Für Sie stellt sich nun also die Frage:

Welche Hilfsmittel gibt es denn, Zusammenarbeit zu regeln?

Nun könnten Sie ja sagen "Naja wir reden immer mal wieder miteinander, wenn wir denken, es hilft" - damit bleiben Sie aber hinter Ihren Möglichkeiten weit zurück.

Ein wesentliches Hilfsmittel ist hier die sog. Prozessorientierung, die auf Winslow Taylor und das Scientific Management zurückgeht.

Die Grundidee besteht darin, wiederkehrende Arbeitsabläufe (auf die man sich geeinigt hat) in Form eines sog. Prozesses zu denken und aufzuschreiben. Das ermöglicht es, Erfahrungen aus der Vergangenheit einfließen zu lassen und "das Rad nicht immer wieder neu erfinden zu müssen".

Ein Prozess wird verstanden als

  • eine Reihenfolge von Aktivitäten (Arbeitsablauf),
  • ausgelöst von einem Auftraggeber,
  • gekennzeichnet durch Input,
  • die einen bestimmten Output erzeugt,
  • den irgendein Kunde (Abnehmer) benötigt.

Modern und griffig bezeichnet das Six Sigma Framework die obigen 5 Punkte auch als SIPOC-Schema: Source-Input-Processing-Output-Customer.

Prozess - klingt kompliziert, ist aber gar nicht so schwer

Das klingt erst einmal sehr theoretisch. Ist aber anhand eines Beispiels einfach zu begreifen:

Wenn Sie an jedem Samstag Morgen Brötchen kaufen gehen, ist das bereits ein Prozess.

Glauben Sie nicht? Wir gehen es mal durch.

  • Reihenfolge von Aktivitäten: Na klar, die gibt es. Sie stecken Ihre Geldbörse ein, ziehen Schuhe und Jacke an, entscheiden, wieviele Brötchen Sie kaufen werden, gehen los, kaufen die Brötchen und kommen zurück.
  • Auftraggeber: Beispielsweise Ihre Familie. Oder Sie selbst. Oder ihr hungriger Magen.
  • Input: Menge an Brötchen, die Sie kaufen wollen.
  • Output: Die volle Brötchentüte auf dem Frühstückstisch.
  • Abnehmer: Alle, die am Frühstückstisch sitzen.

Aber wozu ist das gut?

Die Grundidee der Prozessorientierung ist es, Arbeitsabläufe über eine standardisierte Methodik (also ein Werkzeug) denkbar und beschreibbar zu machen. Aber das ist nicht Selbstzweck.

Der eigentliche Hintergrund ist es, kontinuierliche Verbesserung einfach zu machen. Und das funktioniert mit Arbeitsabläufen, die Sie im SIPOC-Schema beschreiben, verdammt gut.

Die Grenzen von Prozessen und Prozessorientierung

Am Ende eine Warnung: wer einmal "Blut geleckt" hat und das SIPOC-Schema verstanden hat, tendiert dazu, nach dem Prinzip "Wer einen Hammer hat, für den sieht alles wie ein Nagel aus" zu handeln. Sprich: alles ist plötzlich Prozess.

Das funktioniert nicht.

Wenn man das Cynefin-Framework zur Hilfe nimmt, kann man das ungefähr so ausdrücken:

Prozessorientierung ist gedacht für die Bearbeitung von Dingen, die einfach oder kompliziert sind - für Abläufe im Komplexen oder Chaotischen liegen, funktioniert Prozessorientierung nicht.

Oder anders: Alles, was planbar ist, ob einfach oder schwierig, lässt sich mit Prozessorientierung bearbeiten. Alles, was darüber hinaus geht, aber nicht.

Auf den Punkt gebracht: Wenn Sie einen Prozess für Innovation aufsetzen, wird der nicht dafür sorgen, dass Sie geplant Innovation haben werden. Schön wär's. Aber so einfach ist es leider nicht.

Aber was hat das mit der ISO 27001 zu tun?

In der ISO 27001 (und ihren Schwestern wie der ISO 9001, ISO 20000-1, ISO 13485 u.a.) gibt es eine Menge an Anforderungen, die Sie dazu auffordern, Vorgehensweisen zu etablieren, in denen Sie bestimmte Dinge regeln.

Und das funktioniert super einfach mit Hilfe von Prozessen:

  • Prozesse können Sie einfach aufschreiben.
  • Es gibt auch großartige grafische Prozessmodellierungen.
  • Sie können Prozesse einfach nachlesen, wenn Sie nicht mehr genau wissen, wie was lief.

Unser Tipp

Schauen Sie Sich einmal an, wie viele Abläufe Sie in Ihrem Unternehmen eigentlich recht "standardisiert" handhaben. In aller Regel stellen Sie fest, dass man diese einfach als Prozess darstellen kann.

Das hilft Ihnen auch bei der Verbesserung und bei der Einarbeitung von neuen Kollegen oder Kolleginnen. Denn Sie haben eine Grundlage, die Sie ändern oder jemandem zum Lesen geben können.


Interesse geweckt?

ISO 27001 - wir machen kurzen Prozess! Haben wir Ihr Interesse geweckt? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte. Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}