In diesem Abschnitt wird die Frage geklärt, was ein Managementsystem ist. Im Folgenden werden hierzu mehrere ähnliche Definitionen angeführt.
Die ISO/IEC hat ihre Definition eines Managementsystems in den ISO/IEC Direktiven, Teil 1 Annex SL (dt. „Anhang SL) im Appendix 2 (dt. „Erweiterung 2“), 3.04[152] dokumentiert bzw. in ISO/IEC 27000:2014[153]: „Ein Managementsystem ist ein Set von in Wechselbeziehung stehenden oder sich gegenseitig beeinflussenden Elementen einer Organisation, welche die Politik, die Ziele und die Prozesse bilden, um diese Ziele zu erreichen.“[154] (eigene Übersetzung).
Dabei führt die ISO/IEC 27000:2014 in Abschnitt 3.2.5 weiter aus, dass ein Managementsystem ein Gefüge von Ressourcen nutzt, um die Ziele einer Organisation zu erreichen.[155] Es besteht dabei aus der Organisationsstruktur, Politiken, Planungsaktivitäten, Verantwortlichkeiten, Praktiken, Verfahren, Prozessen und Ressourcen.[156]
Das Deutsche Institut für Normung führt hierzu folgendes in der DIN ISO/IEC 27001-Norm an: „Das Managementsystem enthält die Struktur, Grundsätze, Planungsaktivitäten, Verantwortung, Praktiken, Verfahren, Prozesse und Ressourcen der Organisation.“[157]
David Brewer verwendet folgende Definition für ein Managementsystem: „Alles was mit der Organisation in Zusammenhang steht und dazu dient die Politik, die Ziele und die Prozesse aufzubauen, um diese Ziele zu erreichen.“[158] (eigene Übersetzung).
Nach Pardy et. al werden Managementsysteme zur effektiven Kontrolle sowie zur Erfüllung der Anforderungen von Kunden und Teilhabern von immer mehr Organisationen implementiert.[159]
Nach David Brewer geht der Ursprung von Managementsystem-Standards bzw. ‑Normen auf die ISO 9001 von 1987 bzw. den BS[160] 5750 von 1979 zurück.[161] Ihm zufolge spezifizieren Normen nicht was, sondern wie etwas gemanagt werden muss, um die Anforderungen zu erfüllen.[162] Aus diesem Grund wurden sie unter dem Begriff Managementsystem-Normen bzw. -Standards bekannt.[163] Diese ersten Normen waren prozessorientiert (z. B. Prozess zur Vertragsprüfung) und ließen Vorsorgemaßnahmen oder Konzepte zur kontinuierlichen Verbesserung vermissen.[164] Der Schwerpunkt lag zur damaligen Zeit auf der Einhaltung von Verfahren und weniger auf dem Managementprozess.[165] In der Folge führte dies zu einer Entkopplung der Qualitäts- von den Managementprozessen, woraus Berge von schriftlichen Dokumenten und Dokumentationen resultierten.[166]
Managementsysteme verhalten sich zyklisch.[167] Das bedeutet, dass eine Reihe von Aktivitäten und Verfahren wiederholt in gleicher oder ähnlicher Weise ablaufen. Durch diesen Gesamtprozess der wiederholt wird, kann sich das Managementsystem selbst heilen sowie die Passgenauigkeit, die Angemessenheit und die Effektivität verbessern.[168] Dieser kontinuierliche Verbesserungsprozess kann von folgenden Eingaben initiiert werden:
Leistungskontrollen
Internen Audits, ggf. Zertifizierungsaudits
Managementüberprüfungen
Betriebliche Veränderungen
Vorfällen
Effektivitätsprüfungen von Korrekturmaßnahmen[169]
Aufgrund dieses kontinuierlichen Verbesserungsprozesses werden Aktivitäten ausgelöst, deren Ergebnisse wiederum durch eine Wiederholungsschleife in den kontinuierlichen Verbesserungsprozess münden.[170]
Die nachfolgende Abbildung von Brewer[171] zeigt diesen sogenannten Kontinuierlichen Verbesserungsprozess (kurz: KVP).
Abbildung 1: Der Kontinuierliche Verbesserungsprozess (KVP)
Quelle: Brewer, D., 2014: Understanding the New ISO Management System Requirements. London, S. 12 (eigene Übersetzung)
Ein Integriertes Managementsystems (kurz: IMS) ist ein Managementsystem, das mehrere Managementsystem-Normen beinhaltet.[172] Die ISO/IEC 27001-Norm fördert die Integration von Qualitäts- und anderen Normen.[173] Calder et. al fordert, dass das ISMS soweit wie möglich in das Qualitätsmanagementsystem integriert wird.[174] Insbesondere die Anforderungen hinsichtlich der Dokumentation sowie der Kontrolle von Dokumenten und Aufzeichnungen in der ISO/IEC 27001-Norm können und sollten durch die Anwendung von ISO 9001-Anforderungen erfüllt werden.[175] Eine Folge daraus ist, dass alle Verfahren eines ISMS nummeriert und ISMS-Dokumente kontrolliert werden müssen.[176] Wurde innerhalb einer Organisation bereits ein Managementsystem eingeführt, bedeutet die Implementierung eines ISMS gemäß ISO/IEC 27001 folglich eine Erweiterung des bestehenden Managementsystems.[177]
Das britische BSI (British Standards Institution) hat bereits 2006 für Integrierte Managementsysteme die öffentlich verfügbare Spezifikation PAS 99 veröffentlicht und diese im Jahr 2012 aktualisiert.[178] Die Spezifikation gibt Ratschläge, wie zwei oder mehr Managementsysteme zu einem kombiniert werden können.[179] Die ISO hingegen hat einen gemeinsamen Aufbau für Managementsystem-Normen in den ISO/IEC Direktiven definiert, den sogenannten Annex SL.[180] Darin werden neben der Struktur von ISO-Normen insbesondere auch die identischen Kerntexte (engl. „identical core text) verbindlich festgelegt. Dies soll Anwendern von ISO-Normen die Implementierung von mehreren Managementsystem-Normen in ein Managementsystem erleichtern.[181]
Der Zweck eines Integrierten Managementsystems ist nach Pardy et. al dabei zu unterstützen, alle Funktionen der integrierten Managementsysteme anzuzeigen.[182] Dies ist notwendig um aufzuzeigen, wie sich diese Funktionen gegenseitig beeinflussen und ergänzen sowie um darzustellen, wie deren Beziehungen untereinander beim Managen der Risiken einer Organisation behilflich sind.[183] Wesentliche Ziele eines IMS sind die Erzielung von Synergieeffekten, die Vermeidung von Redundanzen und die Optimierung von den Managementsystemen gemeinsamen Herangehensweisen, Ideen und Werkzeugen.[184] Dadurch kann die Effektivität gesteigert und die operativen Kosten können reduziert werden.[185]
Nach Münch sind Daten das Rohmaterial, aus dem unter Umständen Informationen werden.[186] Folgende Eigenschaften müssen Daten hierzu besitzen, um für bestimmte Zwecke und Aktionsträger zu Informationen zu werden:
Formal fehlerfrei sein
Eine klar erkennbare Bedeutung haben (semantischer Aspekt)
Wahr sein
Zeitgerecht zur Verfügung stehen[187]
Informationen, egal in welcher Form (z. B. digital, physisch), sind Vermögenswerte einer Organisation, die für ihren Geschäftsbetrieb essenziell sind und deshalb jederzeit angemessen geschützt werden müssen.[188] Ein ISMS hat genau diese Aufgabe.[189] Es soll die drei Grundwerte von Informationen Vertraulichkeit, Integrität und Verfügbarkeit durch die Anwendung eines Risikomanagementprozesses angemessen schützen.[190] Diese Ansicht unterstützt auch Humphrey.[191] Ein ISMS ist folglich deshalb wichtig, weil es die für den Geschäftsbetrieb essenziellen Informationen angemessen schützt.
Die ISO/IEC 27000:2014 definiert ein ISMS wie folgt: „Ein ISMS besteht aus Politiken, Verfahren, Richtlinien und den damit in Verbindung stehenden Ressourcen und Aktivitäten, die ganzheitlich von einer Organisation mit dem Ziel gemanagt werden, ihre Informationen zu schützen. Ein ISMS ist ein systematischer Ansatz für Aufbau, Einführung, Betrieb, Überwachung, Überprüfung, Pflege und Verbesserung der Informationssicherheit einer Organisation, um ihre Ziele zu erreichen.“[192] (eigene Übersetzung). Grundlage eines ISMS bildet eine systematische Herangehensweise die den Aufbau, die Implementierung, den Betrieb, das Überwachen, das Überprüfen, die Pflege und die Verbesserung der Informationssicherheit einer Organisation gewährleistet, um deren Geschäftsziele zu erreichen.[193] Ein ISMS basiert auf der Analyse von Informationssicherheits-Anforderungen, einem Risikomanagement und der Anwendung angemessener...