Was ist zu tun, nachdem eine Nichtkonformität festgestellt wurde?

Endlich haben Sie Ihr neues Haus! Es ist wirklich ein absoluter Traum! Alles ist nach Ihren Wünschen eingerichtet und die Bäder wurden noch nie benutzt. Alle Nachbarn sind neidisch, aber im positiven Sinne, denn Ihr süßer Golden Retriever spielt NUR in Ihrem Garten und Ihre Mülltonnen sind mit der neuesten Stopptechnik ausgestattet und werden daher nicht vom Winde verweht. Willkommen zu Hause! Das Gleiche gilt mit einer ISO-Zertifizierung! 

‍

Für die Außenwelt sieht es so aus, als gäbe es nichts zu beanstanden, wenn man eine Zertifizierung hat. Es gibt einfach nichts zu bemängeln. Zertifizierungen klingen wie das Nonplusultra! In der ISO-Welt bedeutet es also, dass Ihr Managementsystem alle Sicherheitsanforderungen erfüllt.

Und das wiederum bedeutet, dass Sie Ihren Kunden versichern können, dass Sie mit ihren Daten vorbildlich umgehen. Doch leider ist das nicht immer der Fall, und es kommt zu Datenschutzverletzungen. 

‍

Kommen wir nun zum Thema dieses Blogs: Das Audit einer ISO-Zertifizierung!

Ein solches Audit ist ein bisschen wie vor einem ersten Date (5 Jahre später werden Sie das Haus kaufen, von dem wir eingangs sprachen), einer wichtigen Prüfung oder sogar dem Vorstellungsgespräch bei SpaceX. 

Schlimmstenfalls ein nervöses Augenzucken, bis der Prüfer denkt, dass Sie versuchen, die Nichtkonformitäten wegzuflirten. Leider bringt das nichts, außer der Frage, ob mit Ihnen alles in Ordnung ist.

Wenn der Prüfer einen Fehler feststellt, erfüllen Sie eine Compliance-Anforderung nicht, und das kann sich in vielerlei Hinsicht auf Sie auswirken, wenn dieser Vorfall nicht angemessen behandelt wird. 

‍

Was ist zu tun, wenn ein Prüfer eine Nichtkonformität feststellt?

‍

Wie sieht das Protokoll für die Nachbesserung aus, damit Sie die Anforderungen für die Zertifizierung weiterhin erfüllen können? Wo ist meine rechte Hand? Was ist zu tun? Wer ist dafür zuständig? Hm, durchatmen und einen Spaziergang machen (vielleicht mit dem Hund).   

Wie genau Nichtkonformitäten (geringfügige/große) definiert werden, können Sie in diesem Blog nachlesen .

Hier geht es um den Unterschied zwischen "Korrektur" und "Abhilfe". Ziel ist es, genau zu wissen, was zu tun ist, wenn diese Fälle eintreten, und so sicherzustellen, dass Sie letztendlich trotzdem eine Zertifizierung erhalten. Also, lassen Sie uns eintauchen. 

‍

Was sollten Sie tun, nachdem eine ISO-Nichtkonformität festgestellt wurde?

‍

Gemeinsam werden Sie und Ihre Zertifizierungsstelle (der Ihnen zugewiesene Auditor) alle Feststellungen überprüfen, besprechen und sich bei der Abschlussbesprechung darüber einigen. Zu diesem Zeitpunkt wird Ihnen Ihr Auditor einen Bericht über die Nichtkonformität aushändigen, in dem alle Feststellungen detailliert aufgeführt sind. 

Dasselbe gilt für ein unangenehmes Beziehungsgespräch: "Du wolltest den Hund!" oder "Du kümmerst dich nie um den Rasen!" Okay...

Je nach Schweregrad des/der Befunde(s) werden sie auch die Bedingungen für Ihre Zertifizierung festlegen.

Sowohl bei schwerwiegenden als auch bei geringfügigen Nichtkonformitäten müssen Sie innerhalb von 14 Tagen nach Abschluss der Überprüfung einen vollständigen Bericht über die Nichtkonformität vorlegen. Ihr Bericht sollte eine Erläuterung eines Plans für Abhilfemaßnahmen (CAP), die Ursache jeder Nichtkonformität und Pläne enthalten, wann und wie diese behoben werden sollen.

‍

Bei so ähnlichen, aber unterschiedlichen Formulierungen kann es zu Missverständnissen kommen, also klären wir auf!

‍

Für alle größeren und kleineren Nichtkonformitäten müssen Sie innerhalb von 30 Tagen nach Abschluss der Überprüfung den Nachweis der Korrektur erbringen. Dieser Nachweis wird als Evidence of correction (EoC) bezeichnet.

‍

Dies ist Ihre sofortige Lösung für das Problem und Teil Ihres Plans für Abhilfemaßnahmen. Das heißt, wenn etwas fehlt, müssen Sie es einbauen und so weiter.

• Sie müssen den ausgefüllten Plan für Abhilfemaßnahmen und den Nachweis der Korrektur einreichen, bevor der Auditor Ihnen die Zertifizierung und den zugehörigen Bericht ausstellen kann.
• Ebenso müssen Belege für Abhilfemaßnahmen aufgeführt werden. Dies wird Ihrem Prüfer zeigen, dass Sie diese Kontrollen nun angegangen sind und der Prozess vollständig umgesetzt wurde. Im Gegensatz zum EoC sollte die Abhilfemaßnahme die oben genannte Ursache für die Nichtkonformität beheben, damit sie nicht wieder auftritt.
• Für alle größeren Nichtkonformitäten müssen Sie diesen Nachweis innerhalb von 60 Tagen nach Abschluss der Zertifizierungsprüfung erbringen. Für alle geringfügigen Nichtkonformitäten müssen Sie den Nachweis der Abhilfe rechtzeitig für die nachfolgende Überprüfung erbringen.

‍

Während Sie alle angemessenen Maßnahmen für alle während Ihrer Bewertung festgestellten Nichtkonformitäten ergreifen, wird Ihre Zertifizierungsstelle ihnen in der Zwischenzeit ebenfalls einen Status zuweisen. Die Statusklassifizierungen sind wie folgt definiert:

‍

Offen - Eine Nichtkonformität ist "offen", wenn Ihr Bewerter die entsprechende GAP und den EoC noch nicht überprüft hat ODER wenn entweder die entsprechende GAP oder der EoC inakzeptabel ist.

‍

Abgeschlossen - Eine Nichtkonformität gilt als "abgeschlossen", wenn Ihr Auditor den entsprechenden CAP, EoC und den rechtzeitigen Nachweis der Korrekturmaßnahmen überprüft hat und für akzeptabel hält.

‍

Das hört sich zunächst einfach an, aber eine Nichtkonformität wird immer noch für offen erklärt, wenn Sie nur den Nachweis für eine Korrektur erbringen, aber keinen Nachweis für einen akzeptablen Plan für Abhilfemaßnahmen. Und das Wichtigste: Halten Sie die vorgegebenen Fristen ein, sonst ist Ihre Zertifizierung gefährdet.

‍

Lassen Sie uns dies anhand eines einfachen Beispiels demonstrieren: 27001:2013 Anhang A.8.1 (Asset Management - Verantwortung für Assets)

1. Das Kontrollziel besteht darin, "die Vermögenswerte der Organisation zu identifizieren und entsprechende Schutzverantwortlichkeiten festzulegen":

2. Inventarisierung der Vermögenswerte: Informationen, andere informationsbezogene Vermögenswerte und Informationsverarbeitungsgeräte werden identifiziert, und es wird ein Inventar dieser Vermögenswerte erstellt und gepflegt.

3. Eigentum an den Vermögenswerten: Die im Verzeichnis aufgeführten Vermögensgegenstände müssen Personen zugeordnet sein.

4. Zulässige Nutzung von Vermögenswerten: Es werden Regeln für die zulässige Nutzung von Informationen und Vermögenswerten in Verbindung mit Informations- und Informationsverarbeitungsgeräten aufgestellt, dokumentiert und umgesetzt.

5. Rückgabe von Vermögenswerten: Alle Mitarbeiter und externen Nutzer sind verpflichtet, bei Beendigung ihres Beschäftigungsverhältnisses, ihres Vertrags oder ihrer Vereinbarung alle in ihrem Besitz befindlichen Vermögenswerte an die Organisation zurückzugeben.

‍

Gut, das sind die Fakten, und nun? Was passiert, wenn der Prüfer hier eine Nichtkonformität feststellt? 

‍

Angenommene geringfügige Nichtkonformität:

Wenn Sie nicht über eine Richtlinie zur akzeptablen Nutzung verfügen, in der die Regeln für den angemessenen Umgang mit den Vermögenswerten Ihrer Organisation festgelegt sind. Dies ist eine Nichterfüllung der Anforderung 3.

‍

Verdacht auf eine schwerwiegende Nichtkonformität:

Wenn Sie es versäumt haben, ein vollständiges und genaues Inventar aller Informationswerte sicher zu überwachen und zu führen, und wenn Sie es auch versäumt haben, den Eigentümer der Werte in der Inventarliste zu identifizieren. 2/4 Fehler... oops.

‍

Was ist der Unterschied zwischen einem Korrekturnachweis und einer Korrekturmaßnahme?

Die vorläufige Lösung - auch als Berichtigungsnachweis (Evidence of Correction, EoC) bekannt - besteht darin, ein vollständiges und genaues Inventar zu erstellen, in dem der Eigentümer jedes Vermögensgegenstands angegeben ist. 

Die vollständige Lösung des Problems bestünde also darin, das Verzeichnis nicht nur ordnungsgemäß zu erstellen und zu pflegen, sondern es auch kontinuierlich und ständig zu aktualisieren. Einfach gesagt: ein CAP - ein Plan für Abhilfemaßnahmen! 

‍

Zusammengefasst: Ein ständiges Ärgernis ist das Versäumnis, sich mit potenziellen Problemen zu befassen, insbesondere wenn es Vorschriften gibt. Die Zertifizierung nach einer ISO-Norm erfordert eine Menge Arbeit im Vorfeld. Nichts ist ärgerlicher, als sein Traumhaus wieder verkaufen zu müssen, weil die Nachbarn einem unentwegt Fehler vorwerfen. Und der Hund konnte sowieso nicht produktiv mithelfen. Armer Hund. 

‍

‍