Im Rahmen von ISO 27001-Zertifizierungen (aber auch allgemein Zertifizierungen von Normen wie bspw. ISO 9001, ISO 14001, TISAX o.ä.) kommt der Begriff häufig vor: Abweichung. Aber: Was ist eigentlich eine Abweichung?
Wir gehen der Frage einmal nach.
Abweichung - oder auch: Nichtkonformität
Zunächst einmal ist "Abweichung" nur die informelle Bezeichnung für "Nichtkonformität". Der Begriff hat sich einfach so durchgesetzt.
Eine "Nichtkonformität" wiederum ist genau definiert (und zwar in der ISO 9000) und bedeutet ganz einfach, dass eine Anforderung nicht erfüllt wird.
Im Zusammenhang mit einer ISO 27001-Zertifizierung bedeutet das
- entweder: dass eine Vorgabe aus der ISO 27001 nicht eingehalten wird (Beispiel: Die Norm fordert einen Risikobehandlungsplan, aber Sie haben keinen).
- oder: dass das Unternehmen sich selbst eine bestimmte Vorgehensweise auferlegt hat, die es aber nicht einhält (Beispiel: Sie haben sich selbst vorgegeben, dass der Risikobehandlungsplan durch Herrn Müller abgesegnet wird, aber es hat nun doch Frau Lehmann gemacht).
Der Zertifizierungsauditor überprüft bei seiner Arbeit Ihr ISMS und kann dabei beide Arten von Abweichungen (Nichtkonformitäten) finden.
Das kann manchmal zu recht lustigen Situationen kommen, nämlich dann, wenn der Zertifizierungsauditor eine Nichtkonformität aufschreibt, die sich das Unternehmen quasi "selbst eingebrockt hat". Beispiel: das Unternehmen hat sich selbst eine komplizierte Vorgehensweise verordnet, die die ISO 27001 so gar nicht fordert - und es hält sich daran nicht.
Schwere und nicht so schwere Abweichungen
Aber was ist eigentlich eine Abweichung? - Abweichungen (Nichtkonformitäten) werden häufig in zwei Klassen geteilt, auch im Zertifizierungsaudit.
Die sogenannte Hauptabweichung ist eine so schwere Nichtkonformität, dass das Zertifizierungsaudit eigentlich nicht mehr bestanden werden kann. Beispiel: Der Auditor fragt das Unternehmen nach Risikomanagement und keiner der Anwesenden hat je vom dem Thema gehört.
Eine Nebenabweichung ist eine nicht ganz so schwere Nichtkonformität und der Auditor ist der Ansicht, dass sie die Wirksamkeit des gesamten ISMS (Informationssicherheitsmanagementsystems) noch nicht aufhebt. Wenn im Zertifizierungsaudit davon jedoch zu viele (persönlicher Ermessensspielraum des Auditors) gefunden werden, können diese zusammen genommen allerdings schon zu einem Nichtbestehen führen.
Die Taschenuhr und wie sie durch's Audit kommt
Sie können es sich vorstellen wie bei einer Taschenuhr, die Sie zusammensetzen: Wenn Sie das zentrale Schwungrad nicht einbauen, funktioniert die Uhr überhaupt nicht: Hauptabweichung - Sie können mit der Uhr rein gar nichts anfangen.
Aber wenn Sie "nur" den Sekundenzeiger vergessen, ist die Uhr trotzdem noch verwendbar. Nur halt nicht sekundengenau. Nebenabweichung - Sie können die Uhr trotzdem verwenden.
Unser Tipp
Versuchen Sie, gerade die "selbst eingebrockten" Abweichungen (Nichtkonformitäten) zu vermeiden, indem Sie Ihr ISMS (Informationssicherheitsmanagementsystem) so schlank wie möglich halten und wirklich nur das Notwendige definieren. Hier beschrieben wir, wie die Vorgehensweise dazu ist.
Wenn der Zertifizierungsauditor Abweichungen findet - gehen Sie konstruktiv damit um. Meist können Sie noch etwas lernen und die Abweichung als Chance nutzen, besser zu werden.
Was ist eigentlich eine Abweichung? - Gar nicht so schwierig, oder?
Haben wir Ihr Interesse geweckt? Haben Sie ein paar Abweichungen, die Sie loswerden möchten? Dann vereinbaren Sie gerne einen unverbindlichen Termin mit uns. Oder schreiben uns etwas in den Chat (hier unten rechts auf der Seite)!