In­for­ma­ti­ons­si­cher­heit trifft Qua­li­täts­ma­nage­ment

Informationssicherheit trifft Qualitätsmanagement

Das Thema Informationssicherheit ist nicht neu. Die Gefahren, die der umfangreichen Informationslandschaft in Organisationen drohen, sind lange bekannt. Laut dem Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Oktober 2024 ist die Lage der IT-Sicherheit in Deutschland besorgniserregend. Dabei umfassten die Gefährdungen im Berichtszeitraum unterschiedlichste Angriffsarten und richteten sich massenhaft auch kleine und mittlere Unternehmen und Kommunen.

Das Fazit: Die Sicherheit von vertraulichen Unternehmensinformationen wird noch immer vernachlässigt. Oft fehlt es bei der Verarbeitung und Speicherung von Informationen an der nötigen Vorsicht und Voraussicht. Auch das Bewusstsein über die Folgen von Datendiebstahl und Co. ist längst nicht überall ausreichend entwickelt. Mancherorts wird zudem der Aufwand gescheut, den Unternehmen für einen effektiven Schutz ihrer sensiblen Informationen betreiben müssten.

Schritt für Schritt zu mehr Informationssicherheit

Dabei muss der Aufwand für die Datensicherheit gar nicht so groß sein. Die gute Botschaft lautet: Viele Unternehmen müssen gar nicht – quasi auf einen Schlag – ein vollumfängliches Managementsystem für Informationssicherheit einführen. Für kritische Infrastrukturen (KRITIS) ist dies hingegen durch das IT-Sicherheitsgesetz gefordert.

Auch ein schrittweises Vorgehen ist denkbar. Das heißt: Der Anfang kann zum Beispiel, zumindest in Unternehmen, die über ein Qualitätsmanagementsystem nach ISO 9001 verfügen, ein Update des geforderten risikobasierten Ansatzes sein – allerdings bereits mit Blick auf entsprechende Anforderungen der bedeutenden Informationssicherheitsnorm ISO/IEC 27001.

Informationssicherheit und Qualitätsmanagement

ISO 27001 vs. ISO 9001: Wo gibt es Zusammenhänge? Zunächst muss festgehalten werden, dass die Qualitätsmanagement-Norm ISO 9001 zwar übergreifend einen risikobasierten Ansatz fordert. Die Umsetzung dieser Anforderung an das Managementsystem ist aber weitgehend Ihrer Organisation überlassen. So ist im Qualitätsmanagement beispielsweise kein eigener Prozess für die Risikobetrachtung gefordert, was mit Blick auf Informationssicherheit aber fraglos zu wenig ist. Dennoch:

Dazu ist es hilfreich, sich die Anforderungen für die Ermittlung und den Umgang mit Sicherheitsrisiken von ISO 27001 an ein Informationssicherheits-Managementsystem (ISMS) anzuschauen. Die meisten Aspekte können von Anwendern eines Qualitätsmanagementsystems mit vertretbarem Aufwand umgesetzt werden – als erster Schritt auf dem Weg zu einer ganzheitlichen Informationssicherheit wohlgemerkt.

Informationssicherheit – Risiken und Chancen

Beide internationalen Normen, ISO 27001 für ein Informationssicherheits-Managementsystem (ISMS) genau wie ISO 9001 für Qualitätsmanagement, behandeln die dafür relevanten Themen in Kapitel 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“. Im Kern geht es darum, drei wesentliche Aspekte im Managementsystem sicherzustellen:

• das Erzielen der von Ihrer Organisation beabsichtigten Ergebnisse,
• das Verhindern bzw. Verringern unerwünschter Auswirkungen und
• das Erreichen fortlaufender Verbesserung durch Einhaltung bestimmter Standards.

Mit Bezug auf Informationssicherheit sind dies vor allem die drei wesentlichen Schutzziele:

• Verlust der Vertraulichkeit
• Integrität der Information
• Verfügbarkeit der Information

Die ISMS-Norm ISO 27001 benennt dazu folgende Anforderungen (Kap. 6.1.1):

• Bestimmen von Risiken und Chancen
• Planen von Maßnahmen zum Umgang mit den ermittelten Risiken und Chancen
• Planen, wie die Maßnahmen in die Unternehmensprozesse integriert und umgesetzt werden

Ermittlungen und Umgang mit Risiken

Das nächste Unterkapitel (6.1.2) von ISO 27001 fordert das Festlegen und Anwenden eines Prozesses zur Beurteilung des Informationssicherheitsrisikos. Dieser Prozess muss Kriterien für das Informationssicherheitsrisiko festlegen und aufrechterhalten. Darunter sind vor allem die Kriterien für die Risikoakzeptanz und die Durchführung von Informationssicherheits-Risikobeurteilungen zu verstehen.

Ferner muss der Prozess sicherstellen, dass „wiederholte Informationssicherheits-Risikobeurteilungen zu konsistenten, gültigen und vergleichbaren Ergebnissen führen“, wie es in der ISMS-Norm heißt. Folgende Unterpunkte könnten mit Blick auf einen ersten Schritt bedeutend sein:

• identifizieren der Informationssicherheitsrisiken
• analysieren der Informationssicherheitsrisiken
• bewerten der Informationssicherheitsrisiken

Die Anforderungen in 6.1.3 verlangen das Festlegen und Anwenden eines Prozesses zur Behandlung des Informationssicherheitsrisikos, um Folgendes zu erreichen:

• Auswahl angemessener Optionen für die Behandlung des Sicherheitsrisikos, und zwar hinsichtlich der Ergebnisse der Risikobeurteilung
• Festlegung aller Maßnahmen, die zur Umsetzung der gewählten Optionen für die Behandlung des Sicherheitsrisikos notwendig sind
• Vergleich der festgelegten Maßnahmen mit den in Anhang A von ISO 27001 genannten Controls (Zielvorhaben)
• Erstellung einer Erklärung zur Anwendbarkeit mit Blick auf die Gründe für die (Nicht-) Einbeziehung der Controls aus Anhang A
• Formulierung eines Planes für die Behandlung von Sicherheitsrisiken
• Einholen der Genehmigung und Akzeptanz dieses Plans bei den Risikoeigentümern

Orientierung bietet der Anhang von ISO 27001

Der Anhang A der bekannten Managementsystemnorm ISO/IEC 27001 hat ausdrücklich normativen Charakter. Er kann als Art Checkliste von 93 möglichen Informationssicherheitsmaßnahmen (Controls) verstanden werden, die sich auf die vier folgenden Themenbereiche konzentriert:

A.5       Organisatorische Maßnahmen (mit 37 Maßnahmen)

A.6       Personenbezogene Maßnahmen (mit 8 Maßnahmen)

A.7       Physische Maßnahmen (mit 14 Maßnahmen)

A.8       Technische Maßnahmen (mit 34 Maßnahmen)

Ein Unternehmen kann anhand des Anhangs A sicherstellen, dass es keine wesentlichen Punkte zur Behandlung von Sicherheitsrisiken übersehen hat. Anspruch auf Vollständigkeit wird dabei jedoch nicht erhoben.

Informationssicherheit und Qualitätsmanagement – sinnvolles Vorgehen

ISO 27001 fordert für die Beurteilung und die Behandlung von Informationssicherheitsrisiken also zwei getrennte Prozesse. Diese könnten für den ersten Schritt jedoch in einem Prozess zusammengefasst werden, der die Risikobetrachtung des Qualitätsmanagements entlang der genannten Anforderungen gezielt um den Aspekt der Informationssicherheit erweitert. Damit bieten die beiden Normen eine gute Basis für die Umsetzung von Schutzmaßnahmen für Datenschutz und IT-Sicherheit.

Wie tiefgreifend der genannte Prozess die einzelnen Anforderungen letztlich behandelt, hängt unmittelbar von der Komplexität der Informationslandschaft und den schützenswerten Daten Ihres Unternehmens ab. So oder so: Es ist auf jeden Fall ratsam, seine Wirksamkeit in einem externen Audit überprüfen zu lassen. Dies ist zum Beispiel im Zuge eines ohnehin geplanten Zertifizierungsaudits Ihres Qualitätsmanagements gemäß ISO 9001 ratsam.

Informationssicherheit trifft auf Qualitätsmanagement – Vorteile

• Ein Prozess, der die Informationssicherheitsrisiken grundlegend betrachtet, kann als erster, wichtiger Schritt hin zu einem ganzheitlichen Managementsystem für Informationssicherheit nach DIN EN ISO/IEC 27001 dienen.
• Mit der Implementierung eines solchen Prozesses stärkt die oberste Leitung das Bewusstsein für Informations- und Datensicherheit (Datenschutz) auf allen Ebenen.
• Ein Unternehmen hat mit der gezielten Betrachtung von Informationssicherheitsrisiken die Möglichkeit, Handlungsbedarf aufzudecken und entsprechende Maßnahmen zu ergreifen (orientiert an ISO 27001, Anhang A).
• Die um Informationssicherheit erweiterte Risikobetrachtung, zum Beispiel im Rahmen des Qualitätsmanagements, stärkt den risikobasierten Ansatz eines Unternehmens insgesamt.
• Sowohl der finanzielle als auch der personelle Aufwand für die Implementierung und die Wirksamkeitsprüfung ist überschaubar.

DQS-Zertifikate schaffen Vertrauen

Im Balance-Akt zwischen Dynamik und Stabilität gewinnen zertifizierte Managementsysteme immer mehr an Bedeutung – eine Entwicklung, die die DQS auf positive Weise spürt. Denn erfolgreiche Unternehmen und Organisationen nutzen die Erkenntnisse aus unseren Audits, um ihre Ergebnisse fortlaufend zu verbessern. Und sie nutzen unsere weltweit anerkannten Zertifikate als objektiven Nachweis ihrer Qualitätsfähigkeit. Das schafft Vertrauen ­– sowohl nach innen als auch außerhalb Ihrer Organisation.

Das deutschlandweit erste Zertifikat für Qualitätsmanagement stellte die DQS im Jahr 1986 aus. Dabei basierte das erste Audit im August 1986 noch auf einem Entwurf der Norm. Im Jahr 1991 erhielt die DQS ihre erste Akkreditierung für ISO 9001/2/3 durch die damalige TGA Trägergemeinschaft für Akkreditierung GmbH (heute: DAkkS). Die Akkreditierung für Zertifizierungen gemäß Informationssicherheit, damals noch nach dem britischen Standard BS 7799-2, folgte im Jahr 2000.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen an den Autor zu Inhalten oder unseren Dienstleistungen haben, senden Sie uns gerne eine E-Mail.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.