Schlagwortarchiv für: DIN EN

Mitarbeiter sorgen für IT-Sicherheit in Unternehmen

Informationssicherheit

Übersicht zu Informationssicherheit

Einführung | Cyber-Security | Normen und Vorschriften | Weitere Informationen

Einführung

Die Aufrüstung in sichere Informationstechnik in Unternehmen gewinnt vor allem für kleine und mittlere Unternehmen (KMU) an Relevanz, da diese einem erhöhten Risiko durch Cyber-Angriffen ausgesetzt sind. KMU’s verfügen oft nicht über ein eigenes IT-Team und haben nur begrenzt Erfahrung und Kenntnis über IT-Sicherheit. Die Sicherheit kann schon mit einfachen organsiatorischen Mitteln erheblich verbessert werden:

  • IT-Sicherheit als Unternehmensphilosophie
  • Erarbeitung einer Sicherheitsleitlinie
  • Regelmäßige Mitarbeiter-Schulungen und Geheimhaltungspflicht
  • Erstellung eines Notfallplans
  • E-Mail-Richtlinien
  • Verhaltenscodex für Soziale Medien
  • Umgang mit Passwörtern
  • Nutzung mobiler Endgeräte
  • Nutzung von externen Speichermedien (USB-Sticks, SD-Karten, HDD-Festplatten) und Cloud-Diensten
  • Sicherung von Geschäftsräumen und Unterlagen
  • Regelmäßige Software-Updates
  • Regelmäßige Datensicherungen

Cyber-Security für kleine und mittlere Unternehmen (KMU)

Viele Unternehmen des deutschen Mittelstandes haben sich eine Position als Weltmarktführer erarbeitet – und werden damit zum lohnenden Ziel für Spione und Hacker. Moderne Produktionsanlagen haben heute meist eine Verbindung zum Internet, zum Beispiel für Fernwartung oder Prozessoptimierung. Das macht sie angreifbar. Aber auch auf organisatorischer Ebene gibt es Sicherheitslücken, etwa wenn Mitarbeiter auf Freigaben, Verzeichnisse und Dateien zugreifen können, die sie für ihre Arbeit gar nicht benötigen.

Wenn Daten gestohlen oder Produktionsanlagen sabotiert werden, könnte ein Angriff einen hohen Kostenaufwand für die Unternehmen bedeuten. Mangelnde Cyber-Security kostet rund 1,6 Prozent des Bruttoinlandsproduktes.

Die Richtlinie VdS 10000 „Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ bietet Hilfe zum Selbstschutz für ein vollständiges, pragmatisches Informationssicherheits-Managementsystem. Die aktuell gültige Richtlinie VdS 10000 ist im Dezember 2018 in Kraft getreten und ersetzt die Richtlinie VdS 3473 vom Juli 2015.

Normen und Vorschriften

Für die Informationssicherheit in Unternehmen gelten eine Reihe von Normen und Vorschriften:

Weiterführende Informationen

Qualitätsmanagement-Norm DIN ISO 9001:2015-11

ISO 9001 – Qualitätsmanagement

Qualitätsmanagement-Norm DIN ISO 9001:2015-11Deutsche Fassung der neuen ISO 9001 veröffentlicht

Die Revision der Norm ISO 9001 „Qualitätsmanagementsysteme – Anforderungen“ ist seit dem 15. September 2015 in Kraft und seit November 2015 auch in der deutschen Fassung DIN EN ISO 9001:2015-11 erhältlich. Eine Übersicht der wichtigsten Änderungen und Bezugsquellen kann auf der Website der Deutschen Gesellschaft für wirtschaftliche Zusammenarbeit (DGWZ) heruntergeladen werden.

Drei Jahre Zeit zur Umstellung
Für die Umstellung auf die neue Norm gilt eine Übergangsfrist von drei Jahren. Unternehmen mit einem Qualitätsmanagementsystem müssen bis spätestens 15. September 2018 nach der neuen Fassung zertifiziert sein. Bestehende Zertifikate nach der alten Fassung DIN EN ISO 9001:2008-12 sind bis dahin gültig, so dass die Zertifizierung nach DIN EN ISO 9001:2015-11 bei einem regulären Wiederholungs-Audit vorgenommen werden kann.

Was ändert sich?
Die neue DIN EN ISO 9001:2015 wurde grundlegend überarbeitet und hat einige Änderungen zur Folge. Die Struktur wurde an die übrige ISO-Normenwelt angepasst. Die Person des Qualitätsmanagementbeauftragten wird nicht mehr gefordert. Seine Aufgaben werden jetzt von der Obersten Leitung bzw. den Führungskräften wahrgenommen. Auch ein gedrucktes Qualitätshandbuch ist nicht mehr erforderlich. Es wird stattdessen von dokumentierter Information gesprochen, die EDV- oder webbasiert hinterlegt wird. Einen deutlich höheren Stellenwert erhalten Prozess- und Risikomanagement sowie das unternehmensinterne Wissensmanagement.

Die wichtigsten Änderungen der neuen ISO 9001-2015

Die Sicherstellung der Qualität von Produkten und Dienstleistungen ist eine zentrale Managementaufgabe in allen Unternehmen, vom Großkonzern bis hin zum mittelständischen Ingenieurbüro. Qualität ist nicht nur das wichtigste Unterscheidungsmerkmal im Wettbewerb, sondern grundlegend für den Unternehmenserfolg. Insbesondere in der TGA-Branche entstehen durch mangelnde Qualität schnell enorme Haftungsrisiken und womöglich strafrechtliche Konsequenzen, die bis zum Konkurs führen können.

Mit Qualität ist nicht nur die Produkt- und Dienstleistungsqualität im engeren Sinne gemeint, sondern auch die Qualität der Organisation mit ihren Strukturen und Abläufen in allen Unternehmensteilen, von der Entwicklung und Beschaffung über die Produktion und das Controlling bis hin zu Vertrieb und Kundendienst. Absolute Werte für die Qualität gibt es entgegen dem allgemeinen Sprachgebrauch nicht. Jedes Unternehmen legt für sich allein die angestrebten Qualitätsziele sowie den Weg dorthin fest.

Eine wichtige Hilfestellung bei der Planung und Umsetzung eines Qualitätsmanagementsystems ist die internationale Normenreihe ISO 9000, die mittlerweile in vielen Branchen angewendet wird. Als Leitfaden unterstützt sie Unternehmen dabei, systematisch die selbst gesetzten Qualitätsziele zu erreichen. Die ISO 9001 besteht aus mehreren Teilen (s. Kasten), wobei die ISO 9001 die wichtigste ist, da sie den Zertifizierungsprozess beschreibt.

Neuauflage DIN EN ISO 9001

Seit 15. September 2015 ist auch in Deutschland die lange und mit Spannung erwartete DIN EN ISO 9001:2015 gültig. Der Stichtag wurde von der Deutschen Akkreditierungsstelle (DAkkS) festgelegt. Unternehmen, die sich nach ISO 9001 zertifizieren lassen, müssen nicht sofort auf die neue Norm umstellen. Die Internationale Organisation für Normung (ISO) hat eine dreijährige Übergangsfrist festgelegt. Bestehende Zertifikate nach DIN EN ISO 9001:2008 bleiben also bis zum 15. September 2018 gültig. Eine Re-Zertifizierung nach der neuen Norm kann bis dahin bei einem der regulären Audit-Termine stattfinden. Dieser sollte allerdings nicht auf den 15. September 2018 oder kurz davor gelegt werden, denn das Zertifizierungsverfahren muss laut ISO bis zu diesem Stichtag abgeschlossen sein.

Grundlegende Überarbeitung – flexibler anwendbar

Die neue ISO 9001 wurde grundlegend überarbeitet. Dem Top-Management („Oberste Leitung“) übernimmt danach mehr Verantwortung bei der Umsetzung des Qualitätsmanagements. Einen höheren Stellenwert bekommen auch Risiko- und Prozessmanagement sowie das unternehmensinterne Wissensmanagement. Darüber hinaus wurden Begrifflichkeiten geändert und die Struktur an die der Normenreihe ISO 900x angepasst („High Level Structure“) und damit im Zusammenhang besser lesbar. Der gewachsenen Bedeutung des Dienstleistungssektors wurde dadurch Rechnung getragen, dass die Bezeichnung „Produkte“ einheitlich durch „Produkte und Dienstleistungen“ ersetzt wurde.

Insgesamt ist die neue DIN EN ISO 9001:2015 auch für kleine und mittlere Unternehmen flexibler anwendbar und damit einfacher umzusetzen. Nachfolgend einige Erläuterungen zu den wichtigsten Änderungen.

Strategische Ausrichtung des Unternehmens

Zukünftig muss sichergestellt sein, dass das QM-System mit der Unternehmensstrategie und dem Unternehmensumfeld vereinbar ist. Das Management muss dafür sorgen, dass alle internen und externen Anforderungen erfasst werden, die die Planung und Umsetzung eines QM-Systems beeinflussen könnten.

Neu eingeführt wurde das „Stakeholder-Relationship-Management“. Er geht davon aus, dass nicht nur Kunden, sondern auch viele andere Interessengruppen wie Lieferanten, Endverbraucher, Behörden, Mitarbeiter, Händler, Banken und sogar Wettbewerber den Unternehmenserfolg beeinflussen. Dieser Ansatz wurde aus der ISO 9004:2009, Kapitel 4.4 „Interessierte Parteien, Erfordernisse und Erwartungen“ entnommen.

QMB und QM-Handbuch nicht mehr erforderlich

Die neue Norm erwartet von der Unternehmensleitung mehr Verantwortung für eine erfolgreiche Umsetzung des QM-Systems. Ein Qualitätsmanagementbeauftragter (QMB) als Person wird nicht mehr erwähnt. Dafür soll die Führungsebene mehr Verantwortung übernehmen. Sie soll nicht nur die die Voraussetzungen für ein funktionierendes QM-System schaffen, sondern auch für dessen Umsetzung und Effizienz. Ein QMB kann, muss aber nicht benannt werden. Die neue Norm ist damit insbesondere für kleine und mittlere Betriebe flexibler anwendbar, da die Funktionen und Aufgaben des QMB auf mehrere Mitarbeiter verteilt werden können.

Auch auf ein gedrucktes QM-Handbuch kann in Zukunft verzichtet werden. Die früheren Begriffe „Dokumente“ und Aufzeichnungen“ sind verschwunden, statt dessen ist von der „Hinterlegung dokumentierter Information“ die Rede. Der neue Begriff klingt etwas unbestimmt, lässt den Unternehmen aber mehr Freiheiten. So können die Informationen zum QM-System zukünftig komplett in der EDV abgelegt werden. Das alte QM-Handbuch muss man allerdings nicht unbedingt wegwerfen, in einer an die neue Norm angepassten Version gilt es schließlich auch als „dokumentierte Information“.

Prozess- und Risikomanagement

Der prozessorientierte Ansatz wird in der neuen Norm deutlich verstärkt. Dabei sollen alle Abläufe im Unternehmen gemäß der Regeln des Prozessmanagements beschreiben werden, unter anderem mit Input, Output, Kennzahlen und Verantwortlichkeiten. Die DIN EN ISO 9001:2015 definiert dabei den Reifegrad eines Prozesses in acht Stufen, in denen die jeweiligen Qualitätsmerkmale vorhanden und wirksam sein müssen. Auch dieser Ansatz wurde aus der ISO 9004 („Process Approach“) übernommen.

Einen deutlich höheren Stellenwert bekommt auch das Risikomanagement. Die neue Norm verlangt das Abschätzen von Risiken für jeden einzelnen Prozess, während die alte Norm auf die Vermeidung von Risiken durch Prävention ausgerichtet war.

Kennzeichnend für ein Qualitätsmanagement nach der neuen ISO ist es, diese Risiken in einem direkten Zusammenhang mit den festgelegten Prozessen zu identifizieren, während der Ansatz der alten ISO 9001 vorrangig auf die Vermeidung von Risiken durch präventive Maßnahmen ausgerichtet war. Ein risikobetonter Ansatz wird an vielen Stellen der neuen Norm betont, beispielsweise in den Kapiteln „QM-System und seine Prozesse“, „Führungsthemen“, „Operative Planung und Lenkung“ und „Management Review“. Nicht verlangt wird hingegen ein standardisiertes Risikomanagement. Die Unternehmen steht es frei, die Risikoabschätzung und daraus resultierende Maßnahmen mit eigenen Werkzeugen umzusetzen.

Autor: Eckart Roeder, Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit

Normenreihe ISO 900x

Die Normenreihe DIN EN ISO 9000 ff. ermöglicht branchenübergreifend ein einheitliches Verständnis von QM-Systemen auf nationaler und internationaler Ebene.
DIN EN ISO 9000:2015-11 Qualitätsmanagementsysteme – Grundlagen und Begriffe
DIN EN ISO 9001:2015-11 Qualitätsmanagementsysteme – Anforderungen
DIN EN ISO 9004:2009 Leiten und Lenken für den nachhaltigen Erfolg einer Organisation – Ein Qualitätsmanagementansatz

ISO 9000

Die Internationale Norm ISO 9000 beschreibt die Grundlagen und Begriffe für normkonforme QM-Systeme. Sie bildet die Grundlage für das richtige Verständnis und die richtige Umsetzung der DIN EN ISO 9001 und damit die Basis zur normkonformen Anwendung dieser Norm über „Qualitätsmanagementsysteme – Anforderungen“.

Die in DIN EN ISO 9000 beschriebenen Grundsätzen des Qualitätsmanagements sind folgende:

  • Kundenorientierung;
  • Führung;
  • Einbeziehung von Personen;
  • prozessorientierter Ansatz;
  • Verbesserung;
  • faktengestützte Entscheidungsfindung;
  • Beziehungsmanagement.

ISO 9001

Die DIN EN ISO 9001:2008 legt Mindestanforderungen an ein QM-System fest. Diese sind allgemein formuliert und auf alle Organisationen anwendbar. Sie gibt keine einheitliche Struktur oder konkrete Vorgaben bezüglich der Dokumentation des QM-Systems vor. Vielmehr liefert sie einen prozessorientierten Ansatz für die Entwicklung, Verwirklichung und Verbesserung der Wirksamkeit eines QM-Systems. Als einzige Norm bildet sie die Grundlage für den Aufbau und die Zertifizierung eines QM-Systems.

ISO 9004

DIN EN ISO 9004 betrachtet Qualitätsmanagement in einem weiter gefassten Rahmen als DIN EN ISO 9001 – sie behandelt Erfordernisse und Erwartungen aller relevanten interessierten Parteien und bietet eine Anleitung für die systematische und kontinuierliche Verbesserung der Gesamtleistung einer Organisation. Sie bietet Unternehmen die Möglichkeit zur Weiterentwicklung ihres QM-Systems über die ISO 9001 hinaus. Sie ermöglicht eine Entwicklung in Richtung „Total Quality Management“ (TQM) bzw. EFQM Excellence Modell (European Foundation for Quality Management) als Hilfestellung für herausragende Unternehmensführung in Europa.

Weitere Informationen

DIN EN ISO 9001:2015, 2008, Norm, Qualitätsmanagement, QM, QMS, Qualitätsmanagementsystem, Zertifizierung, Änderungen, Übergangsfrist