Qualitätsmanagement nach ISO 27001

Hallo Ihr Lieben,

ich habe vor Kurzem einer neuen Firma angefangen und soll dort eigentlich zur Kodiererin ausgebildet werden. Die Einarbeitung möchte Hauptsächlich die Chefin persönlich übernehmen, die ist aber oft nicht da. Um nicht arbeitslos in ihrer Abwesenheit zu sein, hat sie mir die Thematik „Qualitätsmanagement nach ISO 27001“ ans Herz gelegt. Ich hab bisher nur mit DIN ISO 9001 Erfahrung und da auch nur Geringe. Bisher hatte ich nur einen Job (ich habe 10 Jahre als PKA in einer Krankenhausapotheke gearbeitet) in dem ich mich so gut wie gar nicht einbringen konnte, sonder habe einfach nur meinen Job gemacht. Nun fehlt mir für meine Aufgabenstellung der Ansatz. Für den Ansatz soll das QM-Projekt nur eine eine interne Geschichte sein um etwas Struktur in das Büro zu bekommen(es ist neu), das macht ich nach 9001. Da wir aber viel mit Patientendaten und Datenschutz zu tun haben möchte sie das 27001 und langfristig auch die Zertifizierung.
Nun habe ich das Problem, dass ich keine Ahnung habe, wie ich anfangen soll. Ich habe keinen Plan. Ich muss dazu sagen, dass meine Chefin eine Bekannte von mir ist. Ich flieg nicht durch die Probezeit wenn ich es nicht schaffe. Aber ich sehe darin auch für mich eine Herausfordung und eine Chance und möchte meinen Job gutmachen. Nur wie? Wie fang ich an, wie geh ich vor? Ich hab ja noch nicht mal nen genauen Überblick über die Firma und bin ein Quereinsteiger.
Kann mir jemand Tipps geben? Ich wäre euch unendlich dankbar.
Ich hab mir ein Buch mit heimgenommen, aber es liest sich für mich wie ne Fremdsprache. Ich hab den totalen Durchhänger und mach mich selber verrückt.

Hallo Corinna,

ich habe das Gefühl, dass Deine Chefin nicht genau weiß, worum es in der ISO 27001 geht. Grundlage für die ISO 27001 ist ein Informationssicherheits-Managementsystem, kein Qualitätsmanagement-System. Obwohl es natürlich Überschneidungen gibt, ist die ISO 27001 etwas grundsätzlich anderes als die ISO 9001. Informationssicherheit und Datenschutz sind zwei Paar Schuhe - und manchmal widersprechen sich die Interessenslagen sogar (z.B. Kameraüberwachung: Als Informationssicherheitsbeauftragter würde ich gerne Sicherheitsbereiche aufzeichnen und die Bilder so lange wie möglich speichern. Das widerspricht aber der gängigen Rechtsprechung im Datenschutz, in der Regel geht man hier von 7 Tagen Speicherdauer aus).
Eine Grundvoraussetzung für die ISO 27001 ist die Benennung eines Informationssicherheits-Beauftragten, also beispielsweise Dich. Solche eine Aufgabe solltest Du Dir nur aufbürden, wenn Du eine entsprechende Schulung bekommst. Ohne Schulung würde ich so was nicht angehen - und dies würde auch dem Grundgedanken der ISO 27001 widersprechen. Für diese Zertifizierung muss Zeit, Geld und Wissen vorhanden sein.
Schau Dich mal bei den verschiedenen TÜV-Landesverbänden an, die bieten fast alle zwei- bis dreiteilige Seminare für ISMS-Beauftragte an.

Ich kenne die Situation mit dem Buch und dem Durchhänger nur zu gut. Ein Buch wird Dir nicht reichen, auch mit Seminaren wird es schwer. Idealerweise holst Du Dir den Auditor, der die Zertifizierung macht, vorher ins Haus und erarbeitest den Grundstock mit ihm zusammen. Ich habe das Glück, dass es in einer Schwesterfirma einen alten Hasen gibt, der uns sehr gut unterstützt.

Guten Morgen, erstmal vielen Dank für deine ausführliche Antwort.
Meine Chefin wünscht sich eine Kombi aus beiden um den Laden in Schuss zu bringen,
eine Zertifizierung ist erstmal kein Thema.
Schulungen auf die ich gehen muss suchen wie grad. Aber ich finde z. B für heute keinen
Ansatz wie ich meine Arbeit beginnen kann und hab ein mulmiges Gefühl.
27001 ist sicherlich das Richtige für uns da in unserem Büro Krankenakten lagern, wir online Zugriff auf die Krankenhäuser haben bzw. Kisten mit Akten quer durch Deutschland gefahren
werden. Wenn da mal was weg kommt…
Ich lese immer wieder von Risiko-Analyse, aber ich hab doch noch kein Plan von dem Laden.
Fühl mich grad leicht überfordert.

Das richtige für dich wird eine ISO 27001 Schulung / Zertifizierung sein. Mittlerweile findest du sowas bei vielen Unternehmen. Das ganze Thema wird hinsichtlich der Verschärfung der Datenschutzbedingungen im Jahr 2018 auch deutlich an Zugkraft bewinnen. Wohl kaum ein KMU wird sich dem wohl noch entziehen können und einen internen oder externen Datenschutzbeauftragten einsetzen müssen.