Welches integrierte Managementhandbuch eignet sich am besten?

Das Thema Qualitätsmanagement und Informationssicherheit kann man als separate Projekte im Unternehmen durchführen. Häufig fangen Unternehmen mit der Erstellung eines Qualitätsmanagementhandbuchs bzw. Qualitätsmanagementsystems. Nachdem dieses nach ISO 9001 zertifiziert wurde, starten größere Unternehmen ihr ISO 27001 Projekt. Aufgrund der hohen Komplexität der Organisationsabläufe in größeren Kapitalgesellschaften muss QMS und ISMS separat erstellt und gepflegt werden. Bei KMU und kleineren Kapitalgesellschaften bietet jedoch ein integriertes Managementhandbuch nach ISO 9001 und ISO 27001 einige Vorteile. 

Nicht nur der Aufbau eines integrierten Managementsystems weicht ab von der klassischen separat geführten QM Dokumentation und ISM Dokumentation. Im Vorfeld eines Audits für das integrierte Regelwerk, muss die Zertifizierungsstelle einiges an Mehraufwand betreiben. Die Kostenkalkulation wird deutlich aufwendiger. Zudem muss der eingesetzte Auditor auch über das notwendige Branchenwissen für ISO 9001 Audit als auch über das ISO 27001 Spezialtraining verfügen. Es kann daher zu recht unterschiedlichen Auditangeboten als auch Wartezeiten führen. Die Zahl der für diese kombinierten Audits zugelassenen Auditoren ist nicht sehr hoch. Dadurch haben Zertifizierungsstellen teilweise längere Wartefristen bis ein entsprechend zugelassener Auditor für dieses integrierte Audit verfügbar ist.

Daher haben wir für Sie mehrere Diagramme als auch einzelne Videos zusammen gestellt, die Sie sich unbedingt bis zum Ende ansehen sollten.

Unterschiede: Integriertes vs. getrenntes QMS und ISMS

Wenn man 2 Regelwerke nach separaten Normen erstellt, gibt es immer einen gewissen Grad an inhaltlichen Überlappungen. Kombiniert man die 2 Regelwerke in einem gemeinsamen Dokumentensatz so müssen an verschiedenen Stellen an der Struktur der Dokumente Veränderungen durchgeführt werden. Dadurch verweisen manche Dokumente auf beide Standards.

Das folgende Video erläutert den Unterschied und die Besonderheiten in einer noch verständlicheren Art und Weise.

Nachdem Sie nun das kurze Erläuterungsvideo angesehen haben, möchten wir nun die einzelnen Varianten von integrierten Managementsystemen etwas mehr im Detail anschauen. Es ist aber wichtig, dass Sie das vorherige Video angeschaut haben, damit das komplexe Zertifizierungsverfahren besser verstehen.

Falls Sie noch Fragen zu den Kosten der Zertifizierung haben, sollten Sie unbedingt unsere kostenbezogene Informationsseite mit den detaillierten Erläuterungen ansehen. Dort finden Sie auch eine einfache Übersicht der einzelnen Kostenblöcke der ISO27001 Zertifizierung.

1. Integriertes Managementsystem für ISO 27001 und Datenschutz

Wenn man die Themen Informationssicherheit (ISO 27001) und Datenschutz (DSGVO) in einem gemeinsamen Dokumentenwerk zusammen fassen will, erhält man ein integriertes Managementhandbuch nach ISO 27001 und DSGVO. Viele glauben wortwörtlich, dass ein Managementhandbuch nur aus einer Datei besteht. Die Norm ISO 27001 als auch andere Stellen benutzen den Begriff des Management Systems. So besteht ein Informationssicherheits-Management System aus mehr als 50 Dokumenten  (zzgl. der vielen unternehmenseigenen Nachweise über ein aktives ISMS). Dementsprechend wird ein integriertes Management System gemäß IEC ISO 27001 und DSGVO ca. 80-110 Dateien (zzgl. Anlagen) enthalten. Ein Vorteil von dieser Kombination, ist dass nur die ISO 27001 Bestandteile häufiger geändert werden. Somit hält sich der fortlaufende Pflegeauswand in Grenzen. 

Das folgende Video erklärt die unterschiedlichen Aspekte eines solchen kombinierten Datenschutz- und Informationssicherheits-Management Systems. Dabei wird auch auf den Pflegeauswand als auch die möglichen Betriebskosten eingegangen. Die Zertifizierungsstellen stellen dabei nur ein ISO 27001 Zertifikat aus. Im Video erfahren Sie wie sie ein Zertifikat auch für die Datenschutzkomponente erhalten.

2. Integriertes Managementsystem QM und ISMS

Wie bereits erwähnt, kann man ein QM Handbuch zusammen mit einem Informationssicherheitshandbuch kombiniert erstellen und zertifizieren lassen. Dabei gilt es zu beachten, dass Normen abweichende Revisionszyklen haben. Aktuell haben wir ISO 9001 Norm Revision 2015 und das jetzt kürzlich aktualisierte ISO 27001 Norm in der Revision 2022. Ein integriertes Managementsystem für Qualität und Informationssicherheit wird gerade bei diesen 2 Normen immer wieder Umstellungen erleben. Das führt im Einzelfall zu einem deutlichen Mehraufwand bei der Pflege der Dokumentation. Bei IT Unternehmen können Zertifizierungsstellen ggf. schneller ein Audittermin anbieten. Sobald aber das zu auditierende Unternehmen außerhalb der IT Branche angesiedelt ist, wird es sehr schwer für die Branche qualifiziertes Auditpersonal zu finden. 

3. Integriertes Managementsystem für ISO 9001 und ISO 14001

Die Einführung eines integrieren Qualitätsmanagementsystems (QMS) zusammen mit einem Umweltschutzmanagementsystems (EMS) ist häufig wichtig in Brachen mit einem Gefährdungspotential für Menschen und Natur. Daher sieht man viel häufiger ein QMS kombiniert mit einem EMS in den Branchen Abfallwirtschaft, Luftfahrt, Produktion und Maschinenbau. Dennoch kann ein solches Regelwerk auch in anderen Nischen zum Einsatz kommen.

Das folgende Video erläutert dieses spezifischen Aspekte für den Bereich Produktion und Luftfahrt.

4. Integriertes Managementsystem für ISO 9001, ISO 14001 und ISO 45001

In einigen besonderen Fällen macht es sehr wohl Sinn, 3 Normen in einem integrierten Managementsystem zu kombinieren. Dabei entsteht ein integriertes Qualitätsmanagementsystems (QMS) zusammen mit einem integrierten Umweltschutzmanagementsystems (EMS) und einem integrierten Arbeitsschutzmanagementsystem (OH&SMS). Das ist ein sehr komplexes System, dass nur in sehr speziellen Bereichen zum tragen kommt.