← Alle Beiträge
· Claus Lindemann

ISO 9001 trifft ISO 27001: Warum QM-Unternehmen beim ISMS im Vorteil sind

ISO 27001ISO 9001ISMSComplianceRisikomanagement

Viele Unternehmen, die sich erstmals mit dem Thema Informationssicherheit auseinandersetzen, stehen vor einer scheinbar gewaltigen Aufgabe: Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 aufzubauen. Doch wer bereits ein Qualitätsmanagementsystem (QMS) nach ISO 9001 betreibt, hat einen erheblichen Vorsprung — und unterschätzt diesen häufig.

Die gemeinsame DNA: High Level Structure

Seit der Revision 2015 teilen sich ISO 9001 und ISO 27001 die sogenannte High Level Structure (HLS) — ein einheitlicher Rahmen, den die ISO für alle Managementsystem-Normen eingeführt hat. Das bedeutet: Beide Standards folgen dem gleichen Grundgerüst mit zehn identischen Hauptkapiteln:

  1. Anwendungsbereich
  2. Normative Verweisungen
  3. Begriffe
  4. Kontext der Organisation
  5. Führung
  6. Planung
  7. Unterstützung
  8. Betrieb
  9. Bewertung der Leistung
  10. Verbesserung

Wer diese Struktur aus der ISO 9001 bereits kennt und lebt, muss sie nicht neu erlernen. Das spart Monate an Konzeptionsarbeit.

Was Sie aus der ISO 9001 direkt übernehmen können

Dokumentenlenkung (Kapitel 7.5)

Ihr QMS hat bereits ein bewährtes System für die Lenkung dokumentierter Informationen — Versionierung, Freigabe, Verteilung, Archivierung. Genau das verlangt auch die ISO 27001. Sie erweitern lediglich den Geltungsbereich um sicherheitsrelevante Dokumente wie Richtlinien, Verfahrensanweisungen und Risikobehandlungspläne.

Interne Audits (Kapitel 9.2)

Ihr Auditprogramm, Ihre ausgebildeten internen Auditoren und Ihre Auditberichte — all das können Sie direkt für das ISMS nutzen. Sie ergänzen lediglich die Auditkriterien um die Anforderungen der ISO 27001 und des Anhang A.

Managementbewertung (Kapitel 9.3)

Die regelmäßige Bewertung durch die oberste Leitung (Management Review) ist in beiden Normen gefordert. Statt zwei separate Reviews durchzuführen, kombinieren Sie diese zu einem integrierten Management Review, das sowohl Qualitäts- als auch Sicherheitsaspekte abdeckt.

Korrekturmaßnahmen (Kapitel 10.2)

Ihr Prozess für den Umgang mit Nichtkonformitäten und Korrekturmaßnahmen ist direkt übertragbar. Bei der ISO 27001 kommen lediglich sicherheitsrelevante Vorfälle als zusätzliche Eingabequelle hinzu.

Risikomanagement (Kapitel 6.1)

Hier liegt einer der größten Vorteile: Die ISO 9001 fordert bereits risikobasiertes Denken. Ihr Unternehmen ist es gewohnt, Risiken zu identifizieren und zu bewerten. Die ISO 27001 vertieft dies zwar erheblich — mit einem formalen Risikobewertungsprozess und der Risikobehandlung — aber die Grundhaltung ist bereits verankert.

Was bei der ISO 27001 neu hinzukommt

Natürlich gibt es Bereiche, die über die ISO 9001 hinausgehen:

  • Anhang A mit 93 Sicherheitsmaßnahmen (Controls): Von der Zugangssteuerung über Kryptografie bis zur physischen Sicherheit — diese Maßnahmen sind spezifisch für die Informationssicherheit und haben kein Pendant in der ISO 9001.

  • Statement of Applicability (SoA): Die Erklärung zur Anwendbarkeit, in der Sie dokumentieren, welche Controls Sie warum anwenden oder ausschließen.

  • Formale Risikobewertung: Während die ISO 9001 einen qualitativen Ansatz erlaubt, fordert die ISO 27001 eine systematische Bewertung mit definierten Kriterien für Eintrittswahrscheinlichkeit und Auswirkung.

  • Incident Management: Ein strukturierter Prozess für die Erkennung, Meldung und Behandlung von Sicherheitsvorfällen.

Der praktische Weg: Integriertes Managementsystem

Der effizienteste Ansatz ist ein integriertes Managementsystem (IMS), das beide Normen unter einem Dach vereint:

  1. Gemeinsame Prozesslandkarte: Erweitern Sie Ihre bestehende Prozesslandschaft um sicherheitsrelevante Aspekte, statt eine parallele Struktur aufzubauen.

  2. Ein Dokumentenmanagementsystem: Nutzen Sie Ihr bestehendes DMS und ergänzen Sie die ISMS-Dokumente.

  3. Kombinierte Audits: Prüfen Sie Qualität und Sicherheit in einem Auditdurchgang — das spart Ressourcen und vermeidet “Audit-Müdigkeit” bei den Mitarbeitern.

  4. Gemeinsame Schulungen: Sensibilisieren Sie Ihre Mitarbeiter für beide Themen gleichzeitig. Qualitätsbewusstsein und Sicherheitsbewusstsein ergänzen sich perfekt.

  5. Ein Management Review: Die Geschäftsleitung erhält einen ganzheitlichen Überblick statt fragmentierter Berichte.

Zeitersparnis in der Praxis

Unsere Erfahrung zeigt: Unternehmen mit einem reifen QMS nach ISO 9001 benötigen für die Einführung eines ISMS nach ISO 27001 typischerweise 30-40% weniger Zeit als Unternehmen, die bei null anfangen. Die wesentlichen Gründe:

  • Managementsystem-Denken ist bereits etabliert
  • Mitarbeiter sind Audits und Dokumentationspflichten gewohnt
  • Die Geschäftsleitung versteht die Anforderungen eines zertifizierbaren Systems
  • Grundlegende Prozesse (Dokumentenlenkung, Audits, Reviews) existieren bereits
  • Eine Kultur der kontinuierlichen Verbesserung (PDCA-Zyklus) ist verankert

Fazit

Wenn Ihr Unternehmen bereits nach ISO 9001 zertifiziert ist, stehen Sie nicht am Anfang — Sie stehen bereits auf halbem Weg zum ISMS. Nutzen Sie diese Synergie bewusst aus und bauen Sie ein integriertes System auf, das beide Normen effizient abdeckt. Der Aufwand ist überschaubar, der Nutzen — gerade im Hinblick auf NIS2, DORA und steigende Kundenanforderungen — enorm.

Sie möchten wissen, wie weit Ihr QMS Sie auf dem Weg zum ISMS bereits gebracht hat? Kontaktieren Sie uns für eine unverbindliche Ersteinschätzung.

Haben Sie Fragen zu diesem Thema?

Kontakt aufnehmen