Drucken

QM & ISO 22301

ISO-Standard ISO 22301:2012 oder Business Continuity Management
Die Revison ist bereits in 2014 erfolgt indem diese als Deutsche Industrie Norm aus dem Englischen übernommen wurde.
Hierbei handelt es sich um den weltweit ersten internationalen Standard für Business Continuity Management (BCM), um Organisationen zu helfen, die Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren. Der internationale Standard ersetzt den aktuellen Britischen Standard BS 25999.

Der ISO-Standard 22301 spezifiziert die Anforderungen, um ein dokumentiertes Kontinuitätsmanagementsystem zu planen, einzurichten, realisieren, betreiben, überwachen, überprüfen, unterhalten und kontinuierlich zu verbessern, um sich auf Betriebsunterbrechungen präventiv vorzubereiten, auf diese zu reagieren oder um sich als Unternehmen von Betriebsunterbrechungen zu erholen.

Die in ISO 22301 spezifizierten Anforderungen sind – analog auch zur ISO 31000 – allgemein gehalten, denn sie sollen auf Organisationen (oder Teilen davon) jeglicher Art, ohne Rücksicht auf die Größe oder Branche anwendbar sein. Der Umfang der Anwendbarkeit der definierten Anforderungen hängt von den Betriebsumgebung und der Komplexität der Organisation ab.

Die ISO 22301 ist anwendbar auf alle Organisationen, die:
  • ein BCM einrichten, implementieren, unterhalten und verbessern möchten;
  • Konformität mit der Business-Continuity-Strategie der Organisation sicherstellen möchten;
  • Konformität gegenüber Dritten, bspw. Zulieferern, belegen möchten;
  • eine Zertifizierung/Registrierung ihres Business Continuity Managements durch/bei einer akkreditierten Zertifizierungsstelle suchen; oder
  • eine Konformität mit diesen internationalen Standard selbst deklarieren möchten.
Für eine erfolgreiche Umsetzung eines betrieblichen Kontinuitätsmanagements definiert der ISO-Standard eine Reihe von Kapiteln (1-10 nach der High Level Structure

Kapitel 1 der ISO 22301 beschreibt die Bestimmung des Geltungsbereichs des betrieblichen Kontinuitätsmanagements. Dabei müssen die strategischen Ziele, Schlüsselprodukte und -dienstleistungen, die Risikotoleranz sowie alle regulatorischen und vertraglichen Verpflichtungen oder Verpflichtungen gegenüber Anspruchsberechtigten der Organisation berücksichtigt werden.

Kapitel 4 der ISO 22301 konzentriert sich auf die Organisation.
Am Anfang steht die Analyse der externen und internen Sachverhalte, die für den Erfolg der Organisation wichtig sind (Erfolgspotenziale) und die durch eine Unterbrechung möglicherweise gefährdet werden.
Ebenso die Analysen:
  • der Aktivitäten,
  • Aufgaben,
  • Dienstleistungen,
  • Produkte,
  • Partnerschaften,
  • Lieferketten (Supply Chain),
  • sonstigen Stakeholder sowie der
  • potenziellen Auswirkung einer Betriebsunterbrechung
  • der Verknüpfungen zwischen der Business- Continuity-Strategie und -Politik und den Unternehmenszielen
  • der Organisation sowie
  • die Abhängigkeit zu anderen Regelwerken.

Hierzu gehört auch
  • eine Analyse der unternehmensübergreifenden Risikomanagementstrategie;
  • des Risikoappetits sowie der Risikotragfähigkeit der Organisation;
  • der Bedürfnisse und Erwartungen von relevanten Stakeholdern;
  • der Compliance-Anforderungen, d. h. relevanter gesetzlicher, regulatorischer und anderer Anforderungen. 

Im Kapitel 5 der ISO 22301 geht es um die Führung. Analog zum betrieblichen Risikomanagement ist eine Vorbildfunktion des Top-Managements entscheidend für eine erfolgreiche Umsetzung ("set the tone from the top").
Das Top-Management muss die Relevanz und Verpflichtung eines BCM fortlaufend demonstrieren. Durch Führung kann das Management eine Risikokultur schaffen, so dass alle Akteure bzw. Mitarbeiter in dem Prozess involviert sind.

Das Management ist verantwortlich:
  • sicherzustellen, dass das BCM kompatibel ist mit der strategischen Ausrichtung der Organisation;
  • die BCM-Anforderungen in die Geschäftsprozesse der Organisation zu integrieren;
  • die notwendigen Ressourcen für das BCM bereitzustellen;
  • die Bedeutung eines wirksamen BCM zu kommunizieren;
  • sicherzustellen, dass das BCM die erwarteten Ergebnisse erzielt;
  • die kontinuierliche Verbesserung (Continuous Improvement Process, CIP) des BCM zu leiten und zu unterstützen;
  • eine Business-Continuity-Strategie bzw. -Politik zu erstellen und zu kommunizieren;
  • sicherzustellen, dass die BCM-Ziele und -Pläne erstellt werden;
  • sicherzustellen, dass klare Verantwortlichkeiten und Befugnisse für relevante Rollen zugeordnet werden.
  • In einem nächsten Modul geht es um die Planung des betrieblichen Kontinuitätsmanagements. Diese Phase wird als kritisch eingestuft, da die Definition der strategischen Ziele und Leitprinzipien das Fundament für das BCM bildet. Die Business-Continuity-Ziele müssen u. a.:
  • konsistent sein mir der Business-Continuity-Strategie bzw. -Politik;
  • messbar sein;
  • anwendbare Anforderungen beachten;
  • überwacht und gegebenenfalls aktualisiert werden.
Das Kapitel 7 der ISO 22301 beschäftigt sich mit der Unterstützung des BCM durch adäquate Ressourcen. Das erfolgreiche und kontinuierliche Management eines wirksamen BCM basiert auf einem soliden Fundament angemessener Ressourcen. Diese beinhalten u. a. qualifiziertes Personal, unterstützende Dienstleistungen, ein gelebtes Risikobewusstsein sowie eine adäquate Kommunikation.
In diesem Kontext spielt vor allem die interne wir auch die externe Kommunikation ein große Rolle. Auch die  Anforderungen an die Erstellung, die Aktualisierung und die Kontrolle der BCM-Dokumentation sind Bestandteil dieses Moduls.

Im Kapitel 8 der ISO 22301 muss das BSM nach der Planung des betrieblichen Kontinuitätsmanagement das BCM-System in Betrieb nehmen. Das Modul Betrieb umfasst:

Business Impact Analysis (BIA): Hierbei handelt es sich um eine Methode zur Sammlung und Identifizierung von Prozessen und Funktionen innerhalb einer Organisation, um die den Prozessen zugrundeliegenden Ressourcen zu erfassen. Des Weiteren können durch eine BIA wechselseitige Abhängigkeiten zwischen Prozessen und/oder Unternehmensbereichen aufgezeigt, die Auswirkungen bei Ausfällen von Prozessen, die Kritikalität jedes Prozesses für den Gesamtkonzern und die benötigte Wiederanlaufzeit aufgedeckt werden.
Risikobeurteilung: Die ISO 22301 nimmt Bezug auf den internationalen Risikomanagement-Standard ISO 31000. Die ISO 31000 weist drei spezifische Merkmale auf: Es handelt sich erstens um einen umfassenden Top-down-Ansatz, zweitens wird Risikomanagement als Führungsaufgabe (und nicht nur als Prozess) dargestellt und drittens handelt es sich um eine allgemein gehaltene Basis-Norm.
Business-Continuity-Strategie: Nachdem die Anforderungen über die BIA und die Risikobeurteilung erfasst worden sind, müssen Strategien entwickelt werden, um Maßnahmen zu identifizieren, welche es der Organisation erlauben, auf der Basis ihrer Risikotoleranz sowie Risikotragfähigkeit und innerhalb festgelegter Ziele für die Wiederherstellungszeit kritische Aktivitäten zu schützen und wiederherzustellen. Erfahrungen aus der Praxis zeigen deutlich auf, dass die frühzeitige Verfügbarkeit einer übergreifenden BCM Strategie sicherstellt, dass BCM Aktivitäten auf die gesamte Geschäftsstrategie ausgerichtet sind und diese unterstützen. Hierbei sollte die Business-Continuity-Strategie ein integraler Bestandteil der Unternehmensstrategie sein.
Business-Continuity-Verfahren: Die Organisation muss Verfahren dokumentieren, um die Kontinuität von Aktivitäten und das Management von Betriebsunterbrechungen sicherzustellen. Diese Verfahren müssen:
  • einen angemessenen Plan für die interne und externe Kommunikation festlegen;
  • spezifisch sein hinsichtlich der konkreten Schritte, die anlässlich einer Betriebsunterbrechung zu erfolgen haben;
  • flexibel sein, um auf unerwartete Bedrohungen und sich verändernde interne und externe Bedingungen antworten zu können;
  • auf Auswirkungen von Ereignissen fokussieren, die möglicherweise den Betrieb unterbrechen könnten;
  • entwickelt werden auf der Basis der Analyse von Wechselwirkungen; und
  • wirksam sein bei der Minimierung von Folgen durch die Implementierung von angemessenen Strategien zur Schadensminderung. 
Üben und Testen: Um sicherzustellen, dass die Business-Continuity-Verfahren und -Prozesse mit den Business- Continuity-Zielen konsistent sind, hat die Organisation sie regelmäßig zu testen. Üben und Testen sind die Prozesse zur Bestätigung von Business-Continuity-Plänen, um zu gewährleisten, dass die gewählten Strategien sicherstellen, innerhalb der durch das Management bestimmten Zeitfenster Antworten und Wiederherstellungsergebnisse zu liefern.

Im Kapitel 9 der ISO 22301 geht es darum das BCM zu  implementieren und dasd das System ständig überwacht und  periodisch überprüft wird (Leistungsbewertung), um seinen Betrieb zu verbessern:
  • Messen der Leistung von Prozessen, Verfahren und Funktionen, die priorisierte Aktivitäten schützen;
  • Überwachung der Übereinstimmung mit dem Standard und den Business-Continuity-Zielen;
  • Überwachung der historischen Erfahrungen einer mangelhaften Leistung des betrieblichen Kontinuitätsmanagements;
  • Ausführung von regelmäßigen internen Audits.
Im Kapitel 10 werden unter kontinuierlicher Verbesserung (engl.: Continuous Improvement Process, CIP) werden alle Maßnahmen zusammengefasst, die in der ganzen Organisation getroffen werden, um die Wirksamkeit (Erreichung der Ziele) und Effizienz (ein optimales Kosten/Nutzen Verhältnis) von Sicherheitsprozessen und -maßnahmen zu erhöhen.

Sie benötigen mehr Informationen?
Tel.: 040 86663262

 
 
 
Drucken

ISO 27002 Sicherheitsmanagement

DIN ISO/IEC 27002:2008-09 Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management (ISO/IEC 27002:2005)

Die ISMS-Familie beinhaltet Internationale Normen zu den Themen Anforderungen an ein

Informationssicherheits-Managementsystem (DIN ISO/IEC 27001:2008-07),
Risikomanagement (ISO/IEC 27005:2008-06),
Metriken und Maße (ISO/IEC 27004) und
eine Richtlinie zur Umsetzung (ISO/IEC 27003).
  • DIN ISO/IEC 27001 „Leitfaden für das Informationssicherheits-Management“
  • DIN ISO/IEC 27001 legt die Anforderungen fest, nach welchen die ISMS-Prozesse und die ausgewählten Maßnahmen (controls) überprüft werden
  • DIN ISO/IEC 27002  Katalog an vorgeschlagenen Vorkehrungen, die zur Umsetzung dieser Maßnahmen erforderlich sind.

Beide DIN-Normen sind inhaltlich identisch mit den Internationalen Normen ISO/IEC 27001:2005-10, erste Ausgabe, (auf Basis von BS7799-2) beziehungsweise ISO/IEC 27002:2005-06, erste Ausgabe, (auf Basis von BS7799-1).

 
Drucken

ISO 27001



DIN ISO/IEC 27002:2008-09 Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management (ISO/IEC 27002:2005)
Die aktuelle Version ist die die als Deutsche Industrie Norm übernommene ISO/IEC 27001:2015-03 Informationstechnik - Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und TerminologieIT Sicherheit, Belastbare Prüfungen

Die ISMS-Familie beinhaltet Internationale Normen zu den Themen Anforderungen an ein
  • Informationssicherheits-Managementsystem (DIN ISO/IEC 27001:2008-07),
  • Risikomanagement (ISO/IEC 27005:2008-06),
  • Metriken und Maße (ISO/IEC 27004) und
  • eine Richtlinie zur Umsetzung (ISO/IEC 27003).DIN ISO/IEC 27001 „Leitfaden für das Informationssicherheits-Management“
 
  • DIN ISO/IEC 27001 legt die Anforderungen fest, nach welchen die ISMS-Prozesse und die ausgewählten Maßnahmen (controls) überprüft werden
  • DIN ISO/IEC 27002  Katalog an vorgeschlagenen Vorkehrungen, die zur Umsetzung dieser Maßnahmen erforderlich sind.
Beide DIN-Normen sind inhaltlich identisch mit den Internationalen Normen ISO/IEC 27001:2005-10, erste Ausgabe, (auf Basis von BS7799-2) beziehungsweise ISO/IEC 27002:2005-06, erste Ausgabe, (auf Basis von BS7799-1).

 
ISO 27001 - Risiken verstehen, Werte schützen
Die internationale Norm ISO/IEC 27001:2013 legt die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informations-Sicherheits-Managementsystems (ISMS) fest. Dabei werden auch individuelle Risiken innerhalb der gesamten Organisation berücksichtigt, um Datenschutz und Informationssicherheit ganzheitlich gewährleisten zu können. 
Informationen bilden die betriebliche Basis für Ihre Geschäftstätigkeit und sind somit als immaterielle Unternehmenswerte zu verstehen. Die Norm spezifiziert branchenunabhängig Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, die an die individuellen Anforderungen der einzelnen Organisationen angepasst werden sollen. Die ISO/IEC 27001 wurde entwickelt, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Informationswerte eines Unternehmens sicherzustellen.

ISO 27001 Zertifizierung mit den Zielen:
 
  • Ein einheitliches und zentral gesteuertes Managementsystem
  • Schutz imaterieller Unternehmenswerte (Kundendaten, Know-how, Business Intelligence)
  • Effektives Monitoring und Steuern von Informationssicherheits-Risiken
  • Vereinfachung des Managements von Risiken, bessere Vergleichbarkeit der Performance
  • Sicherheitsnachweis der Organisation gegenüber dem Gesetzgeber, Kunden, Partnern, Versicherungen und Lieferanten
  • Sicherung aller Geschäftsprozesse durch eine etablierte SicherheitsorganisationISO 27001 Zertifizierung: Vorteile
  • Belegte Sicherheit: Weisen sie nach, dass Sie alle notwendigen Voraussetzungen getroffen haben, um sich vor Sicherheitslücken effektiv zu schützen!
  • Geschärftes Bewusstsein - für Ihre immateriellen Unternehmenswerte und die Risiken, die ihre Werte bedrohen.
  • Zukunftsfähigkeit: Schützen Sie die Werte Ihres Unternehmens!
  • Wettbewerbsvorteile - Kunden und Partner fordern die Zertifizierung immer häufiger ein.Mehr Sicherheit durch Risikomanagemen
Kein Unternehmen kann heute mehr auf leistungsstarke Informations- und Kommunikationssysteme verzichten. Jedes Management steht deshalb vor großen Herausforderungen, wenn es um den Schutz des eigenen Know-hows, Unternehmenssicherheit, Bedrohungen und Angriffe auf die IT Systeme geht. Gerade dort, wo Wettbewerbsfähigkeit, hohe Qualität von Produkten und Dienstleistung sowie größte Kundenzufriedenheit gefordert sind, ist ein effektives und sicheres Management dieser Risiken erforderlich.
Ein Garant für einen funktionierenden Geschäftsbetrieb ist ein etabliertes Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001. Dieser internationale Standard unterstützt Sie umfassend beim Management aller Geschäftsprozesse und beim Umgang mit IT-Risiken. Die ISO 27001 beschreibt einen unternehmensübergreifenden Ansatz zum Informationssicherheits-Management und versteht sich als integriertes Managementsystem.

Themenspektrum der ISO 27001
  • Risiko Management im Bereich der Informationssicherheit
  • Unternehmensweite Sicherheitspolitik (Security-Policy)
  • Aufbauorganisation des Sicherheitsmanagement-Systems
  • Identifizierung, Klassifizierung und Prüfung der Unternehmenswerte
  • Sicherheit von Personal & Einrichtungen
  • Management von Information & Kommunikation des Geschäftsbetriebes
  • Zugangskontrolle & IT Berechtigungen
  • Incident- & Problem-Management
  • Disaster & Recovery Prozeduren

Die neue Fassung der ISO 27001 wurde bereits auf Basis der High Level Structure erstellt, auf der auch die neue ISO 9001:2015 und die neue ISO 14001:2015 basieren. Auf diese Weise lässt sich ein ISMS leicht in ein bestehendes Managementsystem integrieren, was erheblichen Aufwand bei der Erstellung einsparen kann.

ISO 27017 und 27018 Sicherheitsmanagement für die Cloud Nutzung


Die auf europäischer und internationaler Ebene bisher vorliegenden Datenschutzstandards wie die Reihe der ISO/IEC 27000-Normen enthalten lediglich allgemeinere Sicherheitsbestimmungen. Der nun verabschiedete 27018-Standard beschäftigt sich dagegen ausschließlich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud, indem er datenschutzrechtliche Anforderungen für Cloud-Dienste formuliert. Der Standard bietet damit einen nützlichen Rahmen für Datenschutzbestimmungen und richtet sich im Wesentlichen nach den Schutz- und Überwachungspflichten der geltenden europäischen Datenschutzgesetze.

INHALTLICHE AUSGESTALTUNG DER NORM

Inhaltlich baut die ISO 27018 auf den bereits existierenden Sicherheitsstandards wie der ISO 27001 und ISO 27002 auf. Diese definieren allgemeine Informationen zu Sicherheitsgrundsätzen - dazu gehören beispielsweise die Sicherung von Büros und Einrichtungen oder die Verwaltung von Medien. Einen weiteren Schwerpunkt legt die ISO 27018 aber darauf, durch entsprechende Verpflichtungen Vertrauen bei Kunden und Behörden bezüglich der Verarbeitung personenbezogener Daten zu schaffen. Die neue Norm greift damit die Forderung europäischer Behörden nach einem prüffähigen Rahmen für Cloud-Systeme auf, um das Vertrauen in das Internetumfeld zu stärken.

Die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter:

•    Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
•    Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
•    Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
•    Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.
•    Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
•    Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.
•    Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
•    Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.

Fazit: Die ISO 27018 ist im Gegensatz zu anderen Normen mehr als nur ein technischer Standard im Sinne von Compliance-Anforderungen, die von Unternehmen zu beachten sind und vorgeben, wie ein Unternehmen sich organisieren und verhalten müssen, um gesetzlichen Anforderungen zu entsprechen.

ZERTIFIZIERUNG NACH ISO 27018


Cloud-Anbieter können sich entsprechend der ISO 27018 zertifizieren lassen. Um die Zertifizierung aufrecht zu erhalten, müssen sie sich dann in regelmäßigen Zeitabständen von unabhängigen Stellen erneut prüfen lassen. Namhafte Cloud-Anbieter aus den USA und Europa haben bereits angekündigt, ihre Produkte unter der neuen Norm zertifizieren zu lassen.
Dieser Zertifizierungsprozess bringt besonders für den Cloud-Nutzer erhebliche Vorteile mit sich: Geht es um die Anbieterwahl, kann ein ISO-27018-Zertifikat als entscheidendes Kriterium dienen. Liegt bei dem eigenen Cloud-Anbieter eine entsprechende Zertifizierung vor, lässt sich anwenderseitig leicht argumentieren, dass man sich von der Einhaltung der von den deutschen Aufsichtsbehörden verlangten Transparenz-, Informations- und Benachrichtigungspflichten überzeugt habe.
Selbstverständlich dürfen Cloud-Anbieter auch nur dann mit einer Zertifizierung nach ISO 27018 werben, wenn sie die Voraussetzungen erfüllen und die Zertifizierung tatsächlich nachweisen können. Eine Abweichung von der Norm hätte nicht nur den Verlust der Zertifizierung zur Folge, sondern würde den Cloud-Nutzern auch die Möglichkeit geben, das Vertragsverhältnis aus wichtigem Grund unmittelbar zu beenden.



 
 
Drucken

QM und ISO 31001

Risikomanagement - Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements

Die ISO 31001 ist am 13. 11.2009 veröffentlicht worden und beinhaltet die Implementation von Risiko-Managements in Firmen um Risiken hinsichtlich der wirtschaftlichen Entwicklung,  der Umwelt-, Sicherheits- und gesellschaftlichen Konsequenzen auszuschließen. 

Die ISO 31000 beinhaltet Grundsätze und Leitlinien, bietet Prinzipien, Rahmen und einen Prozessaufbau. 
 
* Es kann von jedem Unternehmen unabhängig von seiner Größe, Aktivität oder Sektor genutzt werden
* Unternehmen erhöhen so die Wahrscheinlichkeit Chancen und Bedrohungen zu identifizieren und mit diesen Risiken umzugehen. 
* die ISO 31000 kann nicht für die Zwecke der Zertifizierung des Managements verwendet werden, bietet aber eine Anleitung für die internen oder externen Audits. 
* Organisationen können diese ISO Zertifizierung ihres Risikomanagements nutzen um sich mit international anerkannten Benchmarks zu vergleichen und mit soliden  Grundsätzen ein wirksames Management und Corporate    Governance aufzubauen. 
         
Verwandte Normen: 

  • DIN EN ISO 9000:2015-11    Qualitätsmanagementsysteme - Grundlagen und Begriffe (ISO 9000:2015); Deutsche und Englische Fassung EN ISO 9000:2015    
  • ISO Guide 73:2009, Risk Management - Wortschatz
  • ISO/IEC 31010:2009, Risk Management - Techniken für die Risikobewertung. 
  • ONR 49002-1:2014 Risikomanagement für Organisationen und Systeme - Teil 1: Leitfaden für die Einbettung des Risikomanagements ins Managementsystem - Umsetzung von ISO 31000 in die Praxis

Drucken

ISO 9001:2015 QUALITÄTSMANAGEMENT ANGEBOT

ISO 9001:2015

NIMBUS übernimmt die Vorbereitung und Einführung der ISO-Zertifizierung für Sie in Ihrem Betrieb!



Folgende Inhalte kann Ihr Managementsystem enthalten
 

  • Beschreibung der Firma, geschichtliche Entwicklung, Firmenphilosophie
  • Personal, Mitarbeiter, Verantwortlichkeiten
  • Fortbildung
  • Gesetzte, Betriebliche Regelungen
  • Kunde und Mitbewerber
  • Vorgehen bei Akquisition, Kundenanfrage
  • Angebotsabwicklung, Verträge, Termine, Auftragsabwicklung, Dokumentation
  • Reklamationen, Fehlerbearbeitung, Korrektur- sowie Vorbeugemaßnahmen

Diese Inhalte werden gemeinsam mit Ihren Mitarbeitern erarbeitet. Falls Sie eine Zertifizierung nach DIN ISO 9001:2015 planen, bieten Ihnen unsere Berater das nötige Know-how, damit Sie die wesentlichen Forderungen der Norm erfüllen.

Grundsatz

Die NIMBUS erstellt ablaufbezogene Managementsysteme. Diese orientieren sich an Ihren Prozessen und sind 100% an Ihre Firma angepaßt. Es werden keine vorgedruckten Leitfäden ausgefüllt.

Qualitätsmanagement

Neben den fachlichen Qualitäten einer Firma stehen immer mehr betriebsorganisatorische Qualitäten im Vordergrund um Kunden für die Firma zu gewinnen und sich von Mitbewerbern zu unterscheiden. Mit dem Betriebsmanagementsystem dokumentieren Sie für Auftraggeber, dass Sie qualifizierte Arbeiten durchführen können.

Dieses beginnt bei der Darstellung der Firma am Telephon bzw. bei Kundengesprächen und führt über die einheitlichen Präsentation des Betriebsgeländes, der Gebäude und Fahrzeuge zu einem bewussten Auftreten der Mitarbeiter.
Betriebsinterne Abläufe wie Angebotserstellung, Vertragsprüfung, Rechnungsstellung und -prüfung, die Organisation regelmäßiger Fortbildung Ihrer Mitarbeiter sowie die Festlegung von Verantwortlichkeiten und Kompetenzen sollten eindeutig geregelt und dokumentiert sein. 

Wenn diese Vorgänge gut organisiert und dokumentiert sind, haben Sie Zeit für die wesentlichen Arbeiten.


Kompatibilität mit anderen Managementsystemen

Bei der Entwicklung der Norm wurde auf Kompatibilität zu anderen international anerkannten Managementsystemen geachtet.

  • Gleiche Managementgrundsätze wie ISO 14001:2015
  • keine spezifischen Forderungen nach Umwelt-, Gesundheits-, Arbeitssicherheit-

oder Finanzmanagement, aber die Themen können integriert behandelt werden.


Anforderung an das Qualitätsmanagement


Es ist ein QM-System entsprechend den Anforderungen der ISO 9001:2015 einzuführen, zu dokumentieren, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern.
Hierzu sind:

  • die für das QM-System erforderlichen Prozesse zu identifizieren und zu managen
  • die Reihenfolge und Wechselwirkungen dieser Prozesse festzulegen
  • erforderliche Kriterien und Methoden für eine effektive Durchführung dieser Prozesse  zu bestimmen
  • die Verfügbarkeit der erforderlichen Informationen für die Durchführung und Überwachung der Prozesse sicherzustellen

Messen, überwachen und analysieren dieser Prozesse um geplante Ergebnisse und einen kontinuierlichen Verbesserungsprozess zu erreichen.


Die Managementsystem-Dokumentation muss umfassen:

  • die in diesem Standard geforderten dokumentierten Verfahren
  • Dokumente, die die Reihenfolge und Wechselwirkung der zum QM-System gehörenden Prozesse beschreiben
  • Dokumente, die das effektive Ausführen und die Kontrolle dieser Prozesse sicherstellen.
  • Die Beschreibungen und Dokumente können in beliebiger Form auf jeglichen Medien  vorliegen.
    Angebot: Einführung des Qualitätsmanagement nach DIN ISO 9001:2015
           Tel.Nr. 040 86 66 32 62
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Ok