Consulting

Consulting

Möchten Sie wissen, auf welcher IT-Reifegrad-Stufe Ihr Unternehmen steht? Dann profitieren Sie vom Fachwissen der DSP, wenn es um Analyse, Trainings, Workshops, Projektmanagement, Zertifizierung und Interimsmanagement geht. Die Kernkompetenz der DSP besteht darin, mit Hilfe der Reifegradanalyse festzustellen, auf welcher Stufe sich die IT-Organisation des Unternehmens befindet und welche Maßnahmen Sie ergreifen müssen, um mit Ihrer Unternehmens-IT auf die Stufe der Value-IT – einer nachweislich reifen ITSM-Organisation – zu gelangen. Als Benchmark dienen uns die international anerkannten Best Practices (ITIL) und Standards (ISO) für das Service-Management (ISO 20000-1) das Information-Security-Management (ISO 27001), das Qualitäts-Management (ISO 9001) und das Compliance Management (ISO 19600).

Was Sie über eine ISO 20000-1- und ISO 27001-Zertifizierung wissen sollten!

Spricht man von einer ISO 20000-/ISO 27001-Zertifizierung, ist im Allgemeinen die Bestätigung für die erfolgreiche Implementierung und Anwendung eines SMS (Service Managementsystem) und eines ISMS (IT-Security Managementsystem) im Unternehmen gemeint. Die Zertifizierung kann nur von einem akkreditierten Zertifizierer, wie beispielsweise der DQS (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) nach einem erfolgreichen Audit vorgenommen werden.

Um zertifiziert zu werden, bedarf es im Vorfeld einer Menge an Vorbereitung und Organisation. Einerseits muss das Unternehmen dafür sorgen, dass hochwertige IT-Services – eine Kombination aus Hardware, Software und Dienstleistungen – stets prozessorientiert, nachhaltig und sicher auf einem mit Kunden definierten Qualitätsniveau produziert und geliefert werden. Andererseits dürfen zu schützende Informationen, die erhoben, gespeichert und verarbeitet werden, nicht außer Acht gelassen werden. Gemäß den Vorgaben der ISO 27001 müssen diese Informationen nämlich vertraulich, verfügbar und integer gehalten werden und somit auch die IT Systeme, die die zu schützenden Informationen erheben, speichern und verarbeiten. Dies schließt auch die Einhaltung der Regelungen des Datenschutzes gemäß der DSGVO mit ein. Im IT Bereich unterstützen sich die ISO 20000 sowie die ISO 27001 hinsichtlich der im IT Bereich geforderten ITIL Prozesse und der sicherheitsrelevanten Ausgestaltung der Prozesse wechselseitig: ISO 20000 liefert einen vorgegebenen Rahmen und Richtlinien für die IT Prozesse, die dann gemäß ISO 27001 ausgestaltet werden.

Ein Service Managementsystem hat das Ziel, IT Services – eine Kombination aus Hardware, Software und Dienstleistungen – prozessorientiert in einer mit Kunden definierten Qualität nachhaltig und sicher zu produzieren. Die ISO 20000-1 Norm bietet viele Anregungen und Vorgaben, wie eine Organisation das Ziel unter Nutzung von bewährten Verfahren – insbesondere ITIL – ohne das Rad neu erfinden zu müssen, erreichen kann. Im Rahmen eines Audits, welches die DQS im Unternehmen durchführt, wird bescheinigt, dass das Unternehmen ein Service Managementsystem in einem definierten Organisationsbereich („Scope“) eingeführt hat und erfolgreich anwendet. Im Rahmen des IT Service Managementsystems fordert die ISO 20000-1 die sichere Ausgestaltung der Organisation, Prozesse und IT Systeme zum Schutz von Informationen. Für den Schutz von schutzwürdigen Informationen empfiehlt es sich, ein Information Security Managementsystem einzurichten. Die Blaupause dafür bietet die ISO 27001.

Da die beiden Normen ISO 20000-1 und ISO 27001 im IT Bereich sehr eng zusammen- und voneinander abhängen, empfiehlt DSP den Aufbau eines integrierten Managementsystems und die gleichzeitige Prüfung beider Normen im Rahmen eines integrierten Audits durch einen akkreditierten Zertifizierer wie zum Beispiel die DQS. Damit werden nicht unerhebliche Synergieeffekte genutzt. Im Zuge eines Audits wird nicht nur überprüft, ob die normativen Vorgaben vollständig erfüllt werden (Compliance mit den ISO Normen), sondern der Auditor achtet auch als neutrale und erfahrene Person auf mögliche Verbesserungen der Managementsysteme und gibt wertvolle Hinweise. Audits werden in einem Bericht ausführlich dokumentiert. Diese Berichte dienen als Nachweis, dass die Managementsysteme die Forderungen der ISO Regelwerke erfüllen und listen die gemeinsam gefundenen Verbesserungsvorschläge auf.

Unter einem Zertifizierungsprozess wird die Überprüfung der normativen Vorgaben einer Norm in einer(m) Organisation(teil) verstanden sowie die Ausstellung eines Zertifikats eines akkreditierten Zertifizierers, das die vollständige Umsetzung der Normen bestätigt. Als Erstes werden Basisdaten der zu zertifizierenden Organisation erfasst. Darunter zählt z.B. die Identifikation der Organisation, des Geltungsbereichs (Scopebereich), die Unternehmensgröße oder die Branche. Mit diesen Faktoren kann die Auditdauer und die Auditoren­qualifikation bestimmt werden. Da nicht jedes Unternehmen gleiche Erwartungen hat, wird ein detailliertes, auf die individuellen Bedürfnisse der Organisation zugeschnittenes Angebot mit allen relevanten Leistungen erstellt. Zu klären ist deshalb im Vorfeld, welche Ansprüche es an den strategischen Einsatz von Managementsystemen gibt oder welche Ziele mit der Zertifizierung verbunden sind.

Wenn eine Organisation die normativen Anforderungen intern umgesetzt, die geforderten internen Audits durchgeführt und einen System Review durch das verantwortliche Management durchgeführt hat, kann das externe Zertifizierungs-Audit durchgeführt werden.

Der eigentliche Zertifizierungsprozess beginnt mit der Systemanalyse (Audit Stufe 1). Im Mittelpunkt dieser ersten Stufe stehen neben der Bewertung der Systemdokumentation auch die Sichtung der Ergebnisse von Managementbewertungen und internen Audits. Dabei stellen die DQS-Auditoren fest, ob das Managementsystem des Unternehmens ausreichend entwickelt und zertifizierungsreif ist. Die Struktur und die Dokumentation stehen hier also im Vordergrund.

Danach erfolgt mit Audit Stufe 2 der Systemaudit. Hier prüft der Auditor oder das Auditorenteam die Wirksamkeit des Managementsystems am Produktions- oder Dienstleistungsstandort des Unternehmens. Geklärt wird also die Frage, was tatsächlich umgesetzt wird. Dabei wird unter Anwendung der Normen und Spezifikationen für Managementsysteme die Wirksamkeit aller Funktionsbereiche und Managementsystemprozesse bewertet. Der Auditor identifiziert Stärken, Abweichungen von den normativen Vorgaben, Nebenabweichungen und Verbesserungspotenziale. Abweichungen müssen innerhalb einer Frist nachgebessert werden und führen anderenfalls zu einer Versagung des Zertifikats.

Im Rahmen eines Abschlussgesprächs mit dem Auftraggeber stellt der Auditor Stärken, Abweichungen, Nebenabweichungen und Verbesserungen vor und erläutert diese. Abschließend werden die Ergebnisse im Rahmen der Systembewertung nochmal durch die DQS als unabhängige Zertifizierungsstelle bewertet. Sollte nach der fachlichen Prüfung festgestellt werden, dass das Audit ordnungsgemäß durchgeführt wurde, alle erforderlichen Unterlagen vollständig vorlagen und das Audit gezeigt hat, dass die Forderungen einer Norm an das Managementsystem angemessen erfüllt sind, fällt die Entscheidung über die Zertifikatserteilung. Der geprüfte Auditbericht wird anschließend dem Auftraggeber ausgehändigt.

Das DQS-Zertifikat wird ausgestellt und in der DQS-Zertifikatsdatenbank online veröffentlicht, sobald der Auditor nach dem Systemaudit die Erteilung eines Zertifikates empfiehlt (ggflls. auch unter Auflagen) und die fachliche Prüfung diese Bewertung bestätigt.

Akkreditierte Zertifizierer dürfen nicht gleichzeitig prüfen und beraten. Deshalb hat sich die DSP Unternehmensberatung GmbH, ein Unternehmen der DSP-Gruppe, darauf spezialisiert und unterstützt Organisationen bei dem Design, der Implementierung und Zertifizierung von Managementsystemen. DSP arbeitet dabei eng mit den gängigen Zertifizieren zusammen. Ein Fokus der DSP liegt auf der Beratung von professionellen IT Serviceprovidern und IT-Abteilungen.

  1. Durchführen einer GAP Analyse zur Ermittlung des Reifegrads einer zu zertifizierenden Organisation im Abgleich mit einer Norm.
    Ergebnisse: Stärken, Schwächen, Abweichungen, Grob-Maßnahmen zur Beseitigung der Abweichungen
  2. Durchführen eines Projektierungs-Workshops mit den verantwortlichen Personen einer Organisation.
    Ergebnisse: Projektziele, Arbeitspakete, Projektplan, Zeitplan, Budgetplan, Verantwortlichkeiten, Jour Fix Projektmeeting und weitere Termine werden vereinbart.
  3. Unterstützung bei der Umsetzung des Projektplans durch
    • Projektmanagement / Projektkoordination
    • Organisations-, Prozess- und Systemberatung maßgeschneidert auf die zu zertifizierende Organisation und die einzuhaltende(n) Norm(en)
    • Lieferung aller benötigten IT Systeme
    • Implementierung, Integration, Anpassung der EDV-Systeme zur Unterstützung der normativen Vorgaben (Organisation, Prozesse)
      Ergebnisse: Normative Vorgaben an Policies, Richtlinien, Organisation, Prozesse und Dokumentation, unterstützt durch EDV-Systeme, werden erfüllt.
  4. Design und Implementierung des Kontinuierlichen Verbesserungsprozesses („KVP“)
  5. Vorbereitung, Durchführung, Dokumentation, Nachbereitung der geforderten internen („friendly“) Audits
  6. Design und Implementierung, Zusammenstellung und Auswertung der benötigten Reports
  7. Vorbereitung, Durchführung, Dokumentation, Nachbereitung der geforderten internen QM-Reviews
  8. Vorbereitung, Durchführung, Dokumentation, Nachbereitung des jährlich geforderten Reviews des Managementsystems durch das verantwortliche Management („Management Review“)
  9. Vorbereitung, Begleitung, Coaching, Nachbereitung des externen Audits durch die DQS

Rufen Sie uns an unter Tel.: 06172/679-460, wenn Sie in Ihrem Unternehmen Handlungsbedarf sehen. Gern können Sie uns auch unter Angabe einiger Stichworte zu ISO-Fragen oder zur ISO-Problematik eine Email schicken unter sales@dsp-eu.de. Wir melden uns schnellstmöglich bei Ihnen zurück.

Detailliertere Informationen zum Thema ISO und Zertifizierungen finden sie unter folgendem Link bei unserer Schwestergesellschaft DSP Unternehmensberatung GmbH. www.dsp-consulting.expert