Die ersten Schritte bei der Implementierung eines Managementsystems

Die Normen wie ISO 27001, ISO 9001, ISO 22301 usw. definieren einen PDCA-Ansatz. Dieser Ansatz definiert die Phasen Plan DCheck Act. In diesem Beitrag wollen wir uns der ersten Phase Plan etwas widmen. Im Kapitel 4 der Normen geht es um das Umfeld der Organisation/ des Unternehmens. Versuchen Sie die folgenden Fragen sinnvoll zu beantworten und schon mit Nachweisen zu hinterlegen.

Welchen Zweck verfolgt das Unternehmen? 

Definieren Sie die Produkte und Dienstleistungen, die die Organisation herstellt. Ein Blick im Handelsregister oder in dem LEI-Register kann helfen. Schauen Sie sich die Kundenverträge an. Prüfen Sie, ob es gesetzliche und vertragliche Vorgaben gibt zur Einführung eines Managementsystems. Prüfen Sie, ob es eine Mission und Vision des Unternehmens gibt. In diesen beiden Dokumenten sollte die Ausrichtung und Ziele des Unternehmens definiert sein. Nach dem Sammeln dieser Themen, fassen Sie diese in wenigen Sätzen zusammen (ISO 27001:4.1, ISO 9001:4.1, ISO 22301:4.1)

Die folgenden Nachweise sind sinnvoll: 

  • Auszug aus Handelsregister oder LEI-Register
  • Kundenverträge

Wer hat Interesse oder Einfluss auf das Unternehmen?

Ermitteln Sie die interessierten Parteien, die einen Einfluss auf das Unternehmen haben. Um diese interessierten Parteien zu definieren, können einige Methoden zum Einsatz kommen. (ISO 27001:4.2, ISO 9001:4.2, ISO 22301:4.2)

PESTEL -Analyse: Unter einer PEST-Analyse versteht man, die folgenden Dimensionen zu definieren.

  • Political – politische Einflussfaktoren
  • Political – politische Einflussfaktoren
  • Economic – wirtschaftliche Einflussfaktoren
  • Social – sozio-kulturelle Einflussfaktoren
  • Technological – technologische Einflussfaktoren
  • Environmental – ökologisch / geografische Einflussfaktoren
  • Legal – rechtliche Einflussfaktoren

Power Interest Matrix: Mit dieser Matrix werden in die 4 Quadranten die interessierten Parteien definiert, um deren Einfluss nachzuweisen. Es werden die folgenden Quadranten definiert:

  • Überwachen
  • Informiert bleiben
  • Zufrieden bleiben
  • Engmaschig managen

Mögliche interessierte Parteien: Betrachten Sie die folgenden interessierten Partien und definieren Sie deren Anforderungen und wie Sie diese erfüllen bzw. überwachen.

  • Lieferanten
  • Bürger
  • Kunden
  • Aktionäre
  • Investoren
  • Versicherer
  • Regierung / Gesetzgeber
  • Behörden
  • Nachbarn
  • Vermieter
  • Betriebsrat

Die folgenden Nachweise sind sinnvoll: 

  • Liste der interessierten Parteien mit Ihren Anforderungen und wie diese erreicht bzw. überwacht werden.
  • Ergebnisse aus der PESTLE-Methode
  • Ergebnisse aus der Power Interest Methode

Was ist der Anwendungsbereich (Scope)?

Wenn Sie die ersten Fragen beantwortet haben, machen Sie sich Gedanken über den Anwendungsbereich des Managementsystems. Überlegen Sie sich, welche Prozesse und Abteilungen im Unternehmen für die Erfüllung der Produkte und Dienstleistung unbedingt notwendig sind. 

Alle unterstützenden Abteilungen und Prozesse können als interne Lieferanten bzw. Schnittstellen definiert werden. Definieren Sie ein Scope-Statement. 

Scope-Statement: Dies ist die offizielle Beschreibung des Zertifizierungsumfangs, die auf dem Zertifikat erscheint. Im Scope-Statement dürfen nur die Prozesse oder Dienstleistungen benannt werden. Nicht erlaubt sind Produkte, Standorte und Marketingaussagen. (ISO 27001:4.3, ISO 9001:4.3, ISO 22301:4.3)

Was ist der Geltungsbereich?

Überlegen Sie sich auch, ob Sie den Geltungsbereich des Managementsystems auch auf die internen Schnittstellen ausweiten. Die internen Schnittstellen sind nicht im Scope des Managementsystems, werden also nicht in die Zertifizierung mit einbezogen, aber sollten sich ggf. dennoch an die Vorgaben halten. 

Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Informationssicherheit: → ISO 27001, TISAX

Qualitätsmanagement: → ISO 9001

Compliance Management: → ISO 37301

Datenschutz: → DSGVO, ISO 27701

Business Continuity Management: → ISO 22301

IT-Service Management: → ISO 20000-1

Unser Partner  ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.

Diese Vorlagen sind für die Zertifizierung geeignet. 

Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.

Die Einwilligung zum setzen der Cookies wird nach dem Ablaufen der Session erneut angefragt.