Ein IMS. Zwei Standards. 60 % weniger Aufwand.

Was ist ein integriertes Managementsystem?

Ein integriertes Managementsystem (IMS) ist die organisatorische und dokumentarische Zusammenführung mehrerer Managementsystem-Standards in eine gemeinsame Struktur. Statt zwei oder drei parallele Welten zu betreiben, fasst du Führungsverantwortung, Risikobewertung, Dokumentenlenkung, Audit-Programm und Management-Review in einem einzigen System zusammen. Die meisten IMS-Implementierungen kombinieren ISO 9001 (Qualität) mit ISO 27001 (Informationssicherheit), oft ergänzt um ISO 14001 (Umwelt) oder ISO 45001 (Arbeitsschutz).

Der Schlüssel zum IMS ist die High Level Structure (HLS, früher Annex SL). Seit 2012 hat die ISO alle neuen und überarbeiteten Managementsystem-Standards auf eine gemeinsame Klauselstruktur ausgerichtet. ISO 9001:2015 und ISO 27001:2022 folgen beide diesem Aufbau, was die Integration drastisch vereinfacht.

Warum die High Level Structure den Unterschied macht

Die HLS definiert zehn Kapitel, die in jedem ISO-Managementsystem auftauchen. Die Kapitel 4 bis 10 sind die Substanz, die Kapitel 1 bis 3 sind Anwendungsbereich, Verweise und Begriffe.

• Kapitel 4 Kontext der Organisation: interne und externe Themen, interessierte Parteien, Geltungsbereich. Identisch in 9001 und 27001, nur die Risikoperspektive unterscheidet sich.
• Kapitel 5 Führung: Verantwortung der obersten Leitung, Politik, Rollen. Eine integrierte Politik kann beide Aspekte abdecken.
• Kapitel 6 Planung: risikobasiertes Denken, Ziele und Maßnahmen. Hier liegt der größte technische Hebel des IMS.
• Kapitel 7 Unterstützung: Ressourcen, Kompetenz, Bewusstsein, Kommunikation, dokumentierte Information. Vollständig integrierbar.
• Kapitel 8 Betrieb: der Norm-spezifische Teil. ISO 9001 fordert Kundenorientierung und Produktrealisierung, ISO 27001 fordert Risikobehandlung und operative Sicherheit.
• Kapitel 9 Bewertung: Überwachung, Messung, internes Audit, Management-Review. Ein gemeinsamer Auditplan und ein Review-Zyklus reichen.
• Kapitel 10 Verbesserung: Nichtkonformitäten, Korrekturmaßnahmen, kontinuierliche Verbesserung. Ein einheitliches CAPA-System bedient beide Normen.

Eine wichtige Klarstellung: Annex SL wurde 2019 formal in ISO/IEC Directives Part 1 Annex L umbenannt. Die High Level Structure (HLS, früher Annex SL) ist heute der korrekte Begriff, viele Auditoren verwenden aber weiterhin die alte Bezeichnung. Inhaltlich hat sich nichts geändert.

Konkrete Überlappungen, die du am ersten Tag nutzt

Die folgenden Bereiche kannst du sofort als gemeinsame Bausteine aufsetzen, statt sie zweimal zu pflegen.

Kontext und Stakeholder. Eine Stakeholder-Liste mit Spalten für QMS-Relevanz, ISMS-Relevanz und Erwartungen. Kunden, Lieferanten, Mitarbeitende, Behörden. Pflegen einmal, auswerten zweifach.

Risikomanagement. Ein Risikoregister mit standardisierter Bewertungsskala (Eintrittswahrscheinlichkeit × Auswirkung). Risiken werden mit Tags klassifiziert: Qualität, Vertraulichkeit, Integrität, Verfügbarkeit, Compliance. Ein Risiko kann mehrere Tags tragen, wird aber nur einmal bewertet und behandelt.

Dokumentenlenkung. Ein Dokumentenmanagementsystem mit einheitlicher Lenkung: Verantwortlicher, Freigeber, Gültigkeitsstand, Review-Zyklus. Egal ob Qualitätsrichtlinie oder Zugriffskonzept, derselbe Workflow.

Internes Audit. Ein Auditplan über drei Jahre, der beide Standards abdeckt. Auditoren werden für beide Normen geschult oder als IMS-Auditoren ausgebildet. Pro Audit-Termin werden Klauseln aus beiden Normen abgefragt, Nachweise einmal gesammelt, Findings in einem Tool nachverfolgt.

Management-Review. Eine Agenda, ein Protokoll, ein Termin pro Quartal oder Halbjahr. Standard-Tagesordnungspunkte: Status der Ziele, Audit-Ergebnisse, Kundenfeedback, Sicherheits-Incidents, Risiken, Verbesserungspotenziale, Ressourcenbedarf.

Kontinuierliche Verbesserung. Ein CAPA-System (Corrective and Preventive Actions) für beide Welten. Eine Nichtkonformität aus dem QMS-Audit und ein Sicherheitsvorfall werden im selben Tool erfasst, bewertet und nachverfolgt.

Pragmatischer Aufbau-Fahrplan

Wenn du bereits ISO 27001 zertifiziert bist und ISO 9001 ergänzen willst, sieht ein realistischer Zeitplan so aus.

Monat 0 bis 2: Gap-Analyse und Architektur. Bestehende ISMS-Dokumente gegen ISO 9001:2015 mappen. Entscheidung über das gemeinsame Handbuch und die Tool-Architektur. Definition der gemeinsamen Politik und der Rollen. Wenn du extern Unterstützung möchtest, ist jetzt der Zeitpunkt, einen Partner einzubinden, alternativ kannst du die Phase intern mit einem GRC-Tool wie Kopexa abwickeln.

Monat 2 bis 5: Lücken schließen. Kundenorientierungs-Prozesse aufsetzen (8.2 Anforderungen für Produkte und Dienstleistungen, 9.1.2 Kundenzufriedenheit). Produktrealisierungs-Prozesse dokumentieren (8.3 Entwicklung, 8.5 Produktion und Dienstleistungserbringung). Bestehende ISMS-Risikobewertung um Qualitätsperspektive erweitern.

Monat 5 bis 8: Integration und Testlauf. Internes Audit über beide Standards. Management-Review mit kombinierter Agenda. CAPA-Tracking auf das integrierte System umstellen. Falls deine ISO 27001 Roadmap bereits etabliert ist, lassen sich viele Schritte parallelisieren.

Monat 8 bis 10: Zertifizierungsaudit. Stage 1 (Dokumentenprüfung) und Stage 2 (Vor-Ort-Audit) als kombiniertes Audit. Die Vorbereitung folgt unserer ISO 9001 Audit-Checkliste mit ISO 27001-Bezug.

Ab Monat 10: Betriebsphase. Quartalsweise Management-Reviews, halbjährliche interne Teilaudits, jährliche Überwachungsaudits durch die Zertifizierungsstelle.

Ein Tool, ein Risikoregister, ein Auditplan

Ein IMS funktioniert nur, wenn die Werkzeuglandschaft mitspielt. Drei separate Excel-Listen, zwei Confluence-Spaces und ein Jira-Projekt sind kein integriertes System, sondern drei Silos mit gemeinsamem Logo.

Ein modernes GRC-Tool sollte für ein IMS folgendes leisten:

• Multi-Framework-Mapping mit einer Quelle der Wahrheit für Risiken, Controls und Nachweise.
• Statement of Applicability für ISO 27001 und Prozessdokumentation für ISO 9001 in einem Modell. Mehr Hintergrund dazu im SoA-Leitfaden.
• Audit-Modul, das einen Auditplan über mehrere Standards verwalten kann.
• Rollenbasierte Zugriffsrechte, damit Quality-Manager und CISO im selben System arbeiten, aber unterschiedliche Sichten erhalten.

Kopexa unterstützt sowohl Self-Service-Teams, die das IMS selbst aufbauen wollen, als auch Partner-Setups, in denen ein QM-Berater oder ein externer CISO mit dir zusammenarbeitet. Der Tool-Kern bleibt derselbe, die Rollen werden flexibel verteilt.

Anti-Patterns, die du vermeiden solltest

Diese Fehler sehen wir immer wieder, und sie kosten am meisten Geld und Nerven.

Zwei separate Handbücher pflegen, aber „IMS“ draufschreiben. Wenn dein QM-Handbuch und dein ISMS-Handbuch zwei verschiedene Word-Dokumente sind, ist es kein IMS. Mitarbeitende werden weiterhin zwei Versionen vorhalten, und du hast die Pflegekosten verdoppelt.

Doppelte Interviewtermine bei Audits. Wenn der Lead-Auditor für ISO 9001 montags den Vertrieb interviewt und der Lead-Auditor für ISO 27001 dienstags denselben Vertrieb zur selben Lieferantenfrage befragt, hast du den Sinn des kombinierten Audits verfehlt. Lass dir vom Zertifizierer eine echte IMS-Auditplanung garantieren.

Zwei CISOs, oder ein QM-Manager und ein CISO ohne Abstimmungsroutine. Persönliche Zuständigkeiten dürfen geteilt werden, aber die Prozesse müssen sich treffen. Mindestens einmal im Monat sollte eine gemeinsame Steuerungsrunde stattfinden.

Beratungs-Bashing oder „Wir machen alles selbst“-Dogma. Manche Organisationen schaffen ein IMS allein, andere brauchen einen Partner für die Methodik oder die Zertifizierungsvorbereitung. Beides ist legitim. Kopexa funktioniert in Eigenregie genauso wie im Partner-Modell.

Cross-Referenzen für deine Detailrecherche

Tiefer gehen kannst du in unserem Vergleich ISO 9001 vs ISO 27001, der Klauselüberlappung und Unterschiede strukturiert nebeneinanderstellt. Wenn du speziell aus der SaaS-Welt kommst, findest du im SaaS-Playbook für ISO 9001 eine angepasste Sicht auf Engineering-Prozesse als QMS-Evidenz. Für ISO 27001-spezifische Vertiefung lohnen sich die ISO 27001 Roadmap und der Leitfaden zur Statement of Applicability.

Ein IMS ist kein Zertifizierungstrick, sondern eine Investition in eine gesunde Managementarchitektur. Wer ohnehin beide Standards braucht, sollte sie von Anfang an als ein System denken, nicht als zwei Projekte.