Was sind Abweichung gemäß ISO Standard?

In der Regel findet man in der Fachliteratur den Begriff der „Nichtkonformität“ (Englisch : Non conformity). Zum besseren Verständnis nutzt man in der Umgangssprache häufig den Begriff der Abweichung. Alle ISO Normen bezeichnen Abweichungen als die Situation einer „nicht erfüllten Anforderung“. In der ISO 9001 Norm findet sich im Kapitel „3.6.9 Nichtkonformität“: Nichterfüllung einer Anforderung (3.6.4).

Wie geht ISO27001 mit Abweichungen um?

Die ISO 27001 Norm erwartet bestimmte Inhalte in einem ISMS Regelwerk. Fehlt etwa die Inventarliste aller (gefährdeter bzw. zu schützender) Werte, so stellt es eine Abweichung dar. Der ISO 27001 Lead Auditor wird in seiner Feststellung eine Non-Konformität dokumentieren. Unternehmen können auch branchenspezifische Zusatzanforderungen im ISMS festlegen. Hat das Unternehmen in der betrieblichen Praxis diese selbst definierten Anforderungen nicht erfüllt, kann das ebenso zum scheitern der Zertifizierung führen.

Checkliste für ISO 27001 Zertifizierung

Wie unterscheiden sich Abweichungen?

Auditoren unterscheiden zwischen schweren und geringfügigen Abweichungen. Die englisch-sprachige Normdefinition spricht von „major nonconformities“ und „minor nonconformities“. In Deutsch verwendet man gerne die Begriffe Hauptabweichung und Nebenabweichung.

Hauptabweichung: Wenn eine wichtige Eigenschaft nicht erfüllt ist, stellen Auditoren Hauptabweichungen fest. Elementare Anforderungen müssen erfüllt werden, damit ein Zertifikat ausgestellt werden kann. Unternehmen müssen innerhalb einer bestimmten Frist die Ursachen der Abweichungen beheben und die Erfüllung der relevanten Anforderung nachweisen. erst dann kann der Auditor die Ausstellung des Zertifikats der Zertifizierungsstelle empfehlen.

Nebenabweichung: Diese Abweichungen werden meist als unkritische Abweichungen vom gewünschten Zustand angesehen. Treten aber zu viele Hauptabweichung  so können sie sich in Summe zu einer Hauptabweichung entwickeln und die Zertifizierung gefährden.