Unsere Leistungen

ISO Zertifizierungen

Jede Organisation verfolgt definierte Ziele. Eine erfolgreiche Organisation gibt sich Leitlinien, Richtlinien, eine Organisationsstruktur und wertschöpfende Prozesse. Leistungsfähige Systeme bilden die Organisation ab und digitalisieren und automatisieren die definierten Prozesse.

Die International Standardization Organization („ISO“) hat dafür bewährte Management Systeme entwickelt, die international anerkannt sind. Akkreditierte Zertifizierer wie DQS und TÜV-Süd zertifizieren nach einem erfolgreichen Audit, dass eine Organisation die Norm-Vorschriften umgesetzt hat und einhält. Das Zertifikat ist ein Gütesiegel. In Verbindung mit der Digitalisierung geben insbesondere die ISO Normen ISO 20000-1 und ISO 27001 Anregungen, wie eine Organisation Services und Informationssicherheit prozessorientiert organisieren und nachweislich erreichen kann.

Wir bei der DSP vertreten die Philosophie, dass nicht das Zertifikat in erster Linie das Ziel ist, sondern die Belohnung dafür, dass eine Organisation nach einem Optimierungsprozess effizient funktioniert.

DSP versteht sich als Ihr Coach auf dem Optimierungsweg bis zur Zertifizierung. Wenn Sie den Weg mit DSP gehen, dann wird Ihre Organisation die jährlichen Überwachungs- und Re-Zertifizierungs-Audits souverän meistern.

Was Sie über eine ISO 20000-1- und ISO 27001-Zertifizierung wissen sollten!

Welche ISO Normen sind für meine Organisation sinnvoll, optimieren meine Organisation angelehnt an anerkannten internationalen Best Practices und stärken nachhaltig das Vertrauen von Kunden, Banken und anderen Partnern in unsere Leistungsfähigkeit?

ISO 20000-1

Die Norm ISO 20000-1 unterstützt eine Organisation mit einem Managementsystem, mit dessen Hilfe Services – eine Kombination aus Hardware, Software und Dienstleistungen – prozessorientiert, qualitätsgesichert und ausgerichtet an Kundenmehrwerten nachhaltig und sicher produziert werden können. 
Die ISO 20000-1 liefert die Anleitung für die Einrichtung und Optimierung einer Prozessorganisation.

ISO 27001

Die Norm ISO 27001 unterstützt Organisationen mit einem Managementsystem, gesetzlich zu schützende Informationen (z.B. DSGVO) und darüber hinaus aus Sicht des Unternehmens schutzwürdige Informationen und Informationsverarbeitende Systeme vertraulich, verfügbar und integer zu halten und die Vorgaben prozessorientiert und nachweislich („auditierbar“) zu erfüllen („Compliance“).
Die ISO 27001 liefert ergänzend zur ISO 20000-1 Norm die Anleitung, wie die Geschäftsprozesse so auszugestalten sind, dass Informationen und informationsverarbeitende Systeme vertraulich, verfügbar und integer erhoben, gespeichert und verarbeitet werden.
 
Aus der Norm ISO 27001 haben sich diverse Branchenstandards entwickelt, die auf die jeweils branchenspezifischen Anwendungsfälle abstellen (z.B. TISAX, B3S,….).

Das IT Sicherheitsgesetz verpflichtet seit dem Jahr 2015 Betreiber von kritischen Infrastrukturen, ein Information Security Managementsystem gemäß der ISO 27001 zu etablieren und ein Zertifikat beim Bundesamt für Sicherheit (BSI) jährlich einzureichen. Dabei stellt das BSI ergänzend zur ISO 27001 Norm mit dem Grundschutzkatalog eine umfangreiche Sammlung an Dokumenten kostenfrei als Hilfestellung bei der Umsetzung zur Verfügung.

ISO 37301

Die Norm ISO 37301 unterstützt Organisationen mit einem Managementsystem, sämtliche für die Organisation geltenden gesetzlichen, regulatorischen, vertraglich vereinbarten sowie intern vorgegebenen Regelungen prozessorientiert zu erkennen und diese in der Organisation prozessorientiert und nachweislich („auditierbar“) einzuhalten. Für die Prüfung von Compliance Managementsystemen hat das Institut der Wirtschaftsprüfer (IDW) den Prüfungsstandard IDW PS980 entwickelt, der einen Leitfaden für das Compliance-Audit darstellt. Er ist direkt an der ISO 37301 angelehnt, sodass Organisationen, die ein Compliance Managementsystem gemäß ISO 37301 etabliert haben, keine Überraschungen bei der Abschlussprüfung durch die Wirtschaftsprüfer in diesem Bereich zu erwarten haben. Vielmehr können sie mit Vorweis des ISO 37301 Zertifikats häufig die Abschlussprüfung in diesem Bereich abkürzen und Prüfungskosten einsparen.

Die ISO 37301 liefert die Anleitung dafür, dass die Geschäftsprozesse regelkonform („compliant“) ausgestaltet werden.

ISO 9001

Die Norm ISO 9001 unterstützt Organisationen mit einem Managementsystem, Qualität einer Organisation zu definieren, zu messen, zu überwachen, nachzuweisen und kontinuierlich zu verbessern („KVP“). Die ISO 9001 Norm beinhaltet die allgemeinen Anforderungen an ein Qualitätsmanagementsystem, deren Anforderungen zwischenzeitlich auch in allen anderen Normen aufgenommen wurden und enthalten sind. Die oben genannten Einzelnormen verfolgen jeweils ein spezielles Ziel unter Sicherstellung einem prozessorientierten Qualitätsmanagementsystem mit einem kontinuierlichen Verbesserungsprozess.

Die ISO 9001 liefert die allgemeine Anleitung, die Qualität der Prozessorganisation zu definieren, zu messen, zu überwachen, nachzuweisen und kontinuierlich zu verbessern („KVP“).
 
Häufig bedarf es nur einen geringen weiteren Aufwands, um neben einer der oben genannten Zertifikate für ein spezifisches Managementsystem auch noch ein ISO 9001 Zertifikat zu erlangen.

Integrierte ISO Managementsysteme

Es gibt neben den oben genannten ISO Normen weitere Managementsysteme, die jeweils ein spezielles Ziel verfolgen (z.B. ISO 14001 Umwelt Managementsystem, ISO 27701 Datenschutz Managementsystem, ISO 31000 Risikomanagement System, etc.). Alle Iso Normen beinhalten einige gleiche Regelungen (zum Beispiel Policies, Dokumentation, Reporting, Audits, Management Reviews, etc.), so dass mit einem integrierten Managementsystem Synergieeffekte beim Aufbau, Betrieb und den Audits der Managementsysteme erzielt werden können.

Die DQS prüft dann in einem Auditzyklus alle ISO Managementsysteme im Rahmen eines integrierten Audits, so dass der Aufwand dafür gegenüber eines jeweils einzelnen Audits je ISO Norm erheblich geringer ist.

Wir empfehlen unseren Kunden daher, integrierte ISO Managementsysteme einzurichten, um den internen und externen Aufwand zu minimieren.

Was ist eine ISO Zertifizierung?

Spricht man von einer ISO Zertifizierung ist im Allgemeinen die Bestätigung für die erfolgreiche Implementierung und Anwendung eines Managementsystems im Unternehmen gemeint. Die Zertifizierung kann nur von einem akkreditierten Zertifizierer, wie beispielsweise die DQS (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) nach einem erfolgreichen Audit vorgenommen werden. Um zertifiziert zu werden, bedarf es im Vorfeld einer Menge an Vorbereitung und Organisation. Einerseits muss das Unternehmen dafür sorgen, dass hochwertige Services – eine Kombination aus Hardware, Software und Dienstleistungen – stets prozessorientiert, nachhaltig und sicher auf einem mit Kunden definierten Qualitätsniveau produziert und geliefert werden. Dafür liefert die ISO 20000-1 die Vorgaben. Andererseits dürfen zu schützende Informationen, die erhoben, gespeichert und verarbeitet werden, nicht außer Acht gelassen werden. Gemäß den Vorgaben der ISO 27001 müssen diese Informationen nämlich vertraulich, verfügbar und integer gehalten werden und somit auch die IT Systeme, die die zu schützenden Informationen erheben, speichern und verarbeiten. Dies schließt auch die Einhaltung der Regelungen des Datenschutzes gemäß der DSGVO mit ein.

Die ISO 20000-1 sowie die ISO 27001 unterstützen sich hinsichtlich der geforderten Geschäftsprozesse und der sicherheitsrelevanten Ausgestaltung der Prozesse wechselseitig: ISO 20000-1 liefert einen vorgegebenen Rahmen und Richtlinien für die Geschäftsprozesse, die dann gemäß ISO 27001 hinsichtlich der Informationssicherheit ausgestaltet werden.

Wie kann eine Zertifizierung erreicht werden?

Ein Audit, welches die DQS in einem Unternehmen durchführt, bescheinigt, dass das Unternehmen in einem definierten Organisationsbereich („Scope“) ein Managementsystem mit einem definierten Ziel (zB Services prozessorientiert produzieren oder Informationen schützen oder Compliance herstellen, etc.) eingeführt hat und erfolgreich anwendet. Sollen mehrere Managementsysteme zertifiziert werden, werden häufig mehrere spezifische externe Audits durch die DQS durchgeführt. Die Audits können aber auch zu einem integrierten Audit zusammengefasst werden und somit nicht unerhebliche Synergieeffekte genutzt werden.

Im Zuge eines Audits wird nicht nur überprüft, ob die normativen Vorgaben vollständig erfüllt werden (Compliance mit den ISO Normen), sondern der Auditor achtet auch als neutrale und erfahrene Person auf mögliche Verbesserungen der Managementsysteme und gibt wertvolle Hinweise.

Audits werden in einem Bericht ausführlich dokumentiert. Diese Berichte dienen als Nachweis, dass die Managementsysteme die Forderungen der ISO Regelwerke erfüllen und listen die gemeinsam gefundenen Verbesserungsvorschläge.

Welche Voraussetzungen müssen erfüllt sein und wie läuft der Zertifizierungsprozess ab?

Unter einem Zertifizierungsprozess wird die Überprüfung der Vorgaben einer Norm in einer Organisation verstanden sowie die Ausstellung eines Zertifikats eines akkreditierten Zertifizierers, dass die vollständige Umsetzung der Normen bestätigt. Als Erstes werden Basisdaten der zu zertifizierenden Organisation erfasst. Darunter zählen z.B. die Identifikation der Organisation, der Geltungsbereich („Scope“), die Unternehmensgröße oder die Branche, die in dem Scopebereich beschäftigten Mitarbeiter und andere das Managementsystem charakterisierende Informationen. Mit diesen Faktoren kann die Auditdauer, der Auditumfang und die Auditoren­qualifikation bestimmt werden. Da nicht jedes Unternehmen gleiche Erwartungen hat, wird ein detailliertes, auf die individuellen Bedürfnisse der Organisation zugeschnittenes Angebot mit allen relevanten Leistungen erstellt. Zu klären ist deshalb im Vorfeld, welche Ansprüche es an den strategischen Einsatz von Managementsystemen gibt oder welche Ziele mit der Zertifizierung verbunden sind.

Wenn eine Organisation die normativen Anforderungen intern umgesetzt, die geforderten internen Audits durchgeführt und einen System Review durch das verantwortliche Management durchgeführt hat, kann das externe Zertifizierungs-Audit durchgeführt werden.

Der eigentliche Zertifizierungsprozess beginnt mit der Systemanalyse (Audit Stufe 1). Im Mittelpunkt dieser ersten Stufe stehen neben der Bewertung der Systemdokumentation auch die Sichtung der Ergebnisse von Managementbewertungen und internen Audits. Dabei stellen die DQS-Auditoren fest, ob das Managementsystem des Unternehmens ausreichend entwickelt und zertifizierungsreif ist. Die Struktur und die Dokumentation stehen hier also im Vordergrund.

Danach erfolgt mit Audit Stufe 2 der Systemaudit. Hier prüft der Auditor oder das Auditorenteam die Wirksamkeit des Managementsystems am Produktions- oder Dienstleistungsstandort des Unternehmens. Geklärt wird also die Frage, was tatsächlich umgesetzt wird. Dabei wird unter Anwendung der Normen und Spezifikationen für Managementsysteme die Wirksamkeit aller Funktionsbereiche und Managementsystemprozesse bewertet. Der Auditor identifiziert Stärken, Abweichungen von den normativen Vorgaben, Nebenabweichungen und Verbesserungspotenziale. Abweichungen müssen innerhalb einer Frist nachgebessert werden und führen anderenfalls zu einer Versagung des Zertifikats.
 

Im Rahmen eines Abschlussgesprächs mit dem Auftraggeber stellt der Auditor Stärken, Abweichungen, Nebenabweichungen und Verbesserungen vor und erläutert diese. Abschließend werden die Ergebnisse im Rahmen der Systembewertung nochmal durch die DQS als unabhängige Zertifizierungsstelle bewertet. Sollte nach der fachlichen Prüfung festgestellt werden, dass das Audit ordnungsgemäß durchgeführt wurde, alle erforderlichen Unterlagen vollständig vorlagen und das Audit gezeigt hat, dass die Forderungen einer Norm an das Managementsystem angemessen erfüllt sind, fällt die Entscheidung über die Zertifikatserteilung. Der geprüfte Auditbericht wird anschließend dem Auftraggeber ausgehändigt.

Wann erhalten Sie das Zertifikat?

Das DQS-Zertifikat wird ausgestellt und in der DQS-Zertifikatsdatenbank online veröffentlicht, sobald der Auditor nach dem Systemaudit die Erteilung eines Zertifikates empfiehlt (ggfls. auch unter Auflagen) und die fachliche Prüfung diese Bewertung bestätigt.