ISO 9001 × ISO 27001 Clause Mapping

Beide Normen verlangen, dass du externe und interne Themen identifizierst, die dein QMS beziehungsweise ISMS beeinflussen. Im IMS reicht eine Kontext-Analyse, die beide Sichtweisen abdeckt.

Identische Anforderung an Stakeholder-Analyse. Im integrierten System genügt eine Liste, die Qualitäts- und Informationssicherheits-Erwartungen zusammen erfasst.

Scope wird in beiden Normen verlangt, aber inhaltlich unterschiedlich. ISO 9001 fokussiert Produkte und Dienstleistungen, ISO 27001 fokussiert Informationen und Assets.

Beide verlangen einen prozessorientierten Ansatz. Die ISO 9001 ist hier deutlich detaillierter (Prozesseingaben, Outputs, Wechselwirkungen), die ISO 27001 hält es kürzer.

Identische Anforderungen an die oberste Leitung: Verantwortung übernehmen, Ressourcen bereitstellen, kontinuierliche Verbesserung fördern.

Kundenorientierung als eigenständige Pflicht der Leitung gibt es in der ISO 27001 nicht. Sicherheitsanforderungen kommen indirekt über interessierte Parteien (4.2) und Risikobewertung.

Strukturell gleich. Im IMS kannst du eine integrierte Politik formulieren, die Qualität und Sicherheit gemeinsam adressiert.

Identische Klausel. In der Praxis bekommt der ISB zusätzliche Verantwortung für Informationssicherheit, der QMB für Qualität.

Beide verlangen risikobasiertes Denken. ISO 27001 ist deutlich präskriptiver und verlangt eine formelle Methode zur Informationssicherheits-Risikobewertung.

Die ISO 27001 schreibt einen Prozess für Risikoidentifikation, Analyse und Bewertung vor. Die ISO 9001 lässt dir hier mehr Freiheit, du musst nur nachweisen, dass du Risiken berücksichtigst.

Die Statement of Applicability (SoA) und der Risikobehandlungsplan sind ISO-27001-spezifisch. Du dokumentierst, welche der 93 Annex-A-Controls anwendbar sind und warum.

Beide verlangen messbare Ziele auf relevanten Ebenen. Im IMS kannst du Qualitäts- und Sicherheitsziele in einem konsolidierten Zielsystem führen.

Change-Management wird in beiden Normen ähnlich behandelt. Änderungen müssen geplant und ihre Auswirkungen bewertet werden, bevor du sie umsetzt.

Beide verlangen, dass die Organisation die nötigen Ressourcen für das Management-System bereitstellt. ISO 9001 ist deutlich ausführlicher (Personal, Infrastruktur, Umgebung, Mess-Equipment).

ISO 9001 verlangt explizit, dass du das nötige Personal bereitstellst. ISO 27001 deckt das implizit über 7.1 ab und vertieft Personalsicherheit über die Annex-A-Controls A.6.1 bis A.6.8.

Diese Klausel zur Kalibrierung und Rückführbarkeit von Mess-Equipment ist 9001-spezifisch und für Hardware-Hersteller besonders relevant.

ISO 9001 fordert organisationales Wissen als Asset zu pflegen. ISO 27001 schützt dieses Wissen über Klassifizierung und kontrollierte Weitergabe (Annex A).

Identische HLS-Klausel. Im IMS kannst du eine zentrale Kompetenzmatrix führen, die Qualitäts- und Sicherheitsskills gemeinsam abdeckt.

Awareness wird in beiden Normen verlangt. Im IMS bündelst du Qualitäts- und Security-Awareness in einem gemeinsamen Schulungsprogramm.

Strukturell identisch. Beide verlangen, dass du intern und extern relevante Informationen kommunizierst, mit klarem Was, Wann, an Wen, von Wem.

Anforderungen an Erstellung, Aktualisierung und Lenkung sind identisch. ISO 27001 ergänzt mit Annex A spezifische Schutzanforderungen für aufzeichnungs-relevante Daten.

Gleiche Klausel-Nummer, völlig unterschiedlicher Inhalt. ISO 9001 plant die Produkt- und Dienstleistungsrealisierung, ISO 27001 plant die Sicherheits-Prozesse.

Komplett 9001-spezifisch. Diese Klausel deckt Kundenanfragen, Verträge, Änderungen und die Behandlung von Kundenfeedback ab.

Vor Vertragsannahme musst du sicherstellen, dass du die Anforderungen erfüllen kannst. Reine 9001-Pflicht, in der 27001 nicht vorhanden.

Klausel-Nummer kollidiert. ISO 9001 meint Produktentwicklung mit Phasen, Reviews und Verifizierung. ISO 27001 meint die Umsetzung des Risikobehandlungsplans.

Beide Normen behandeln Lieferanten-Management. ISO 9001 fokussiert Produktqualität, ISO 27001 die Informationssicherheit über die Lieferkette. Im IMS bündelst du beide in einem Vendor-Management-Prozess.

Reiner Realisierungs-Block. Hier geht es um Steuerung, Identifikation, Eigentum des Kunden, Konservierung und Tätigkeiten nach Lieferung. In der 27001 nicht enthalten.

Geplante Konformitätsprüfungen vor Auslieferung sind 9001-Pflicht. Die 27001 hat keine vergleichbare Klausel.

ISO 9001 verlangt unmittelbare Eindämmung nichtkonformer Produkte. ISO 27001 verfolgt diesen Aspekt unter Korrekturmaßnahmen in Klausel 10.

HLS-Klausel. Beide verlangen, dass du festlegst was du misst, wann, mit welchen Methoden und wer die Ergebnisse bewertet.

Die Pflicht zur Messung der Kundenzufriedenheit ist 9001-spezifisch. Die 27001 hat keine vergleichbare Anforderung.

Identische Anforderungen. Im IMS kannst du ein gemeinsames Audit-Programm fahren und die Auditzeit deutlich reduzieren.

Identische Struktur und Inputs. Im integrierten System hältst du eine konsolidierte Management-Review pro Jahr ab, die Qualität und Informationssicherheit gemeinsam adressiert.

Beide verlangen kontinuierliche Verbesserung der Eignung, Angemessenheit und Wirksamkeit des Management-Systems.

Identische Anforderungen an Ursachenanalyse und Maßnahmenwirksamkeit. Du kannst ein gemeinsames CAPA-System für Qualitäts- und Sicherheitsabweichungen führen.

ISO 9001 hat eine eigene Klausel für fortlaufende Verbesserung. ISO 27001 deckt das in 10.1 ab.

Die 93 Controls aus Anhang A (organisatorisch, Personen, physisch, technologisch) sind 27001-exklusiv. Sie konkretisieren die Risikobehandlung und werden in der SoA verbindlich erklärt.