Jessica Doering
14. Oktober 2024
~
3
Minuten Lesezeit
Die häufigsten ISO 27001-Nichtkonformitäten
Nichtkonformitäten, bruh... klingt, als hätte man den Abwasch nicht gemacht oder den Müll nicht rausgebracht... oder die Wäsche... die Liste will einfach nicht enden. NEIN Danke. Aber wenn es um die Sicherheit Ihrer Daten oder der Daten Ihrer Liebsten geht... ohoh, wer kennt eigentlich meinen Telefoncode? Kommen wir also ganz schnell zurück zum eigentlichen Thema dieses Blogs - Nichtkonformitäten bei ISO 27001 in Ihrem Unternehmen!
Gehen wir davon aus, dass Ihr ISMS eingerichtet ist und alle relevanten Bereiche Ihrer Organisation abdeckt, die mit der ISO 27001-Zertifizierung in Zusammenhang stehen.
Puh, es ist so weit, also ab zum Zertifizierungsaudit... aber was kann dort eigentlich passieren und was muss ich erwarten? Werde ich möglicherweise verhaftet? Ich meine, mein ISMS ist ziemlich gut, aber was kann schon fehlerfrei sein? War das am Ende alles umsonst? Was passiert eigentlich, wenn der Auditor Mängel oder sogar absolute No-Go's entdeckt?
Nervosität wie bei der Hochzeit Ihres besten Freundes, weil Sie glauben, die Braut könnte weglaufen. Atmen Sie durch... niemand wird verhaftet und vielleicht ist Ihr bester Freund am Ende froh über diesen möglichen Vorfall.
C'mon, "Nichtkonformitäten"... Wir müssen das Thema ernsthaft angehen, also lesen Sie weiter und erfahren Sie die wahren Fakten:
Natürlich ist es immer gut zu wissen, was bei einem Audit zu erwarten ist, sobald Ihr ISMS eingerichtet ist und die Zertifizierung ansteht. Nichtkonformitäten sind eines der wichtigsten und unangenehmsten Ergebnisse des Zertifizierungsaudits. Daher sollten Sie wissen, was Sie erwartet und was damit verbunden ist.
Was ist eine Nichtübereinstimmung?
Eine Nichtkonformität ist die Nichteinhaltung einer Anforderung der ISO-Norm. Wenn es Anforderungen der ISO-Norm gibt, die Ihr Unternehmen nicht erfüllt hat, wenn Ihre eigene Dokumentation einen Prozess vorgibt, den Sie nicht befolgen, oder wenn Ihr Unternehmen vertragliche Anforderungen im Umgang mit Dritten nicht einhält, befinden Sie sich im Bereich der Nichtkonformität.
Der ISO-Auditor wird Nichtkonformitäten nutzen, um die Übereinstimmung des ISMS Ihrer Organisation mit der ISO-Norm zu bewerten. Die Nichtkonformität wird beschrieben, das Problem wird nachgewiesen, die Anforderung, die nicht angemessen erfüllt wurde, wird in einem Absatz erwähnt, und es wird zusammengefasst, was getan werden muss, um die genannte Anforderung zu erfüllen.
Warum sind Nichtkonformitäten kritisch?
Nichtkonformitäten (zwei Kategorien) werden sowohl bei internen als auch bei externen Audits verwendet. Sie sind eine Art Werkzeug, mit dem der Prüfer beurteilen kann, inwieweit Ihr Managementsystem mit einer Norm übereinstimmt. Das heißt, je mehr Nichtkonformitäten Sie haben, desto weniger konform sind Sie. Nichtkonformitäten müssen in einem Auditbericht festgehalten werden.
Der Prüfer hält in seinem Bericht die folgenden Informationen fest:
1. Allgemeine Beschreibung der Nichtkonformität
2. Prüfungsnachweise - Verweis auf ein bestimmtes Dokument oder eine Aufzeichnung, welches/welche fehlt oder nicht ordnungsgemäß verwendet wird. Es kann sich auch um eine nicht oder nicht ordnungsgemäß durchgeführte Tätigkeit handeln.
3. Verweis auf die genaue Anforderung - z. B. die spezifische Nummer der Klausel in der Norm, dem Verfahren oder dem Vertrag.
4. Zusammenfassung der Anforderung - in der Regel eine Neuformulierung dessen, was die Norm, das interne Dokument oder der Vertrag verlangt
Die Unterschiede zwischen schweren und leichten Verstößen
Während des Zertifizierungsverfahrens können sowohl schwerwiegende als auch geringfügige Mängel festgestellt werden. Das Vorhandensein einer schwerwiegenden Nichtkonformität bedeutet, dass ein Unternehmen nicht zertifiziert werden kann.
Die Definition einer geringfügigen Nichteinhaltung ist einfach: Es handelt sich um jede Nichteinhaltung, die nicht schwerwiegend ist. Eine geringfügige Nichteinhaltung könnte zum Beispiel darin bestehen, dass die Datensicherung jeden Tag, außer an einem Tag, in einem bestimmten Monat durchgeführt wurde. Aber(!) die Masse macht den Unterschied, also lesen Sie weiter!
Beispiele für schwerwiegende Nichtkonformitäten
Wenn der Zertifizierungsprozess auf jeden Fall vor die Hunde geht...
- Vollständige Nichterfüllung einer bestimmten Anforderung der Norm: Wenn Ihr Unternehmen eine bestimmte Anforderung überhaupt nicht erfüllt hat - z. B. haben Sie überhaupt keine Managementbewertung durchgeführt, obwohl dies in der Norm vorgeschrieben war.
- Zusammenbruch eines Prozesses oder Verfahrens: Wenn Ihr Verfahren völlig aus dem Ruder gelaufen ist - zum Beispiel, wenn Sie einmal am Tag eine Sicherung durchführen mussten, während die Sicherung nur ein paar Mal im Monat oder noch besser zufällig durchgeführt wurde.
- Die Anhäufung kleinerer Nichtkonformitäten in Bezug auf einen Prozess oder ein Element Ihres Managementsystems, die auf ein größeres Problem oder das Fehlen der vorgeschriebenen Dokumentation hinweisen: Wenn mehrere geringfügige Nichtkonformitäten auftreten, die sich auf denselben Prozess oder dasselbe Element Ihres ISMS beziehen. Ein gutes Beispiel ist die Schulung des Sicherheitsbewusstseins der Mitarbeiter: zum Beispiel, wenn keine Zertifikate vorhanden sind.
- Misuse of a test mark and thus misleading customers: If a certification is misused - e.g. false claims towards your customers
- Geringfügige Nichtkonformitäten, die nicht innerhalb der dafür vorgesehenen Frist behoben werden: Wurde ein beim letzten Audit festgestellter geringfügiger Fehler nicht innerhalb der Frist behoben, wird dieser geringfügige Fehler automatisch zu einem schwerwiegenden Fehler.
Was ist zu tun? EINFACH! Bringen Sie sich nicht in eine Lage, in der eine größere Nichtkonformität auftaucht. Nutzen Sie Secfix, um sicherzustellen, dass Sie die ISO-Norm richtig umsetzen! Nicht nur, um eine Zertifizierung zu erhalten, mit der Sie sich brüsten können, denn erfahrene Auditoren merken, wenn Sie Ihr System nur theoretisch eingerichtet haben. Gerissene Leute, diese Auditoren.
Wir helfen Ihnen weiter, buchen Sie eine Beratung bei uns!
