Kontext der Organisation (NK4 NA 4.1)
Geschäftszweck bzw. Geschäftstätigkeit eines Unternehmens
Bestimmen aller Themen, die Zweck, Aufgabe bzw. Tätigkeit einer Organisation betreffen und Auswirkungen auf die Sicherheit haben können.
Unser Zweck, unsere Aufgabe bzw. Tätigkeit[Bearbeiten]
Externe Themen[Bearbeiten]
- Umfeld der Tätigkeit (gesetzliche Rahmenbedingungen, finanzielle Aspekte, Technologieeinsatz bzw. -abhängigkeiten, eingesetzte Lieferanten und Dienstleister)
- Wettbewerbsaspekte (Tätigkeitsbereich: lokal, national, international; Schlüsselfaktoren für eine erfolgreiche Tätigkeit; Image-Aspekte; Beziehung zu Auftraggebern, Kunden, Partnern; Art und Umfang bestehender vertraglicher Beziehungen)
Beispiele:
- Änderung von Gesetzen
- Was tut sich im Wettbewerb? Kommen neue Wettbewerber auf den Markt?
- Die Technologie ändert sich (Geräteklassen, Betriebssysteme, Betriebssystemversionen)
Interne Themen[Bearbeiten]
- Aufbau- und Ablauforganisation
- Zweck und Umfang der eingesetzten IT
- Zur Verfügung stehende Ressourcen für das einzurichtende ISMS
Beispiele:
- Mitarbeiter gewinnen - Wirkt sich auf die Fähigkeit aus, Projekt durchzuführen, Support zu leisten
- Nachfolgeregelungen von Führungskräften oder Vorgesetzten
Was sind interne und externe Punkte?[Bearbeiten]
Diese Anforderung von Abschnitt 4 kann zu allgemein erscheinen und es besteht das Risiko zu weit zu gehen, wenn man die internen und externen Punkte definiert. Zur Erfüllung dieses Abschnittes sollten Sie sich nur auf Punkte fokussieren, die sich auf die Kundenzufriedenheit und Lieferung von Qualitätsprodukten und/oder Services auswirken.
Der interne Kontext einer Organisation ist das Umfeld, in dem sie bestrebt ist, ihre Zielsetzungen zu erreichen. Zum internen Kontext können das Governance-Konzept, die vertraglichen Beziehungen zu Kunden und interessierten Parteien gehören. Dinge, die zu berücksichtigen sind, sind Dinge in Bezug auf Kultur, Überzeugungen, Werte oder Prinzipien innerhalb der Organisation, sowie die Komplexität von Prozessen und die Organisationsstruktur.
Um den externen Kontext festzulegen, sollen Sie Punkte berücksichtigen, die aus dem sozialen, technologischen, umweltspezifischen, ethischen, politischen, gesetzlichen und ökonomischen Umfeld entstehen. Zu den Beispielen eines externen Kontexts können gehören:
- Gesetzliche Vorschriften und Gesetzesänderungen
- Wirtschaftlicher Wandel im Markt der Organisation
- der Mitbewerber der Organisation
- Ereignisse, die sich auf das Unternehmensimage auswirken können
- Technologieänderungen
Im Grunde genommen sind alle diese Informationen in den Köpfen von CEO und anderen Mitgliedern des Managements, wurden jedoch niemals auf Papier gebracht; der beste Weg, diese zu sammeln ist, ein Brainstorming zu organisieren. Eine Systematisierung aller dieser Informationen kann sehr nützlich sein und demonstrieren, wo Sie als Organisation stehen.
Sollte uns die Meinung anderer Leute interessieren?[Bearbeiten]
Vereinfacht gesagt bedeuten die Anforderungen der Identifizierung relevanter interessierter Parteien, dass Sie entscheiden müssen, wessen Meinung über Ihr Unternehmen Sie berücksichtigen müssen.
Zu den interessierten Parteien gehören
- direkte Kunden,
- Endanwender,
- Lieferanten und Partner,
- Regulierungsbehörden und
- andere (zu den anderen könnten Leute in der Organisation, Eigentümer/Aktionäre und selbst die Gesellschaft gehören)
Diese Parteien schaffen einen Mehrwert für die Organisation oder werden durch die Aktivitäten innerhalb der Organisation beeinflusst. Es ist wichtig, deren Bedürfnisse zu identifizieren und zu erfüllen, um ein effektives Qualitätsmanagementsystem zu implementieren. Deren Feedback kann Ihnen wirklich helfen festzustellen, was in Ihrer Organisation verbessert werden kann und wie.
Lassen Sie es uns auf Papier bringen[Bearbeiten]
Sobald alle diese Informationen zusammengetragen wurden, sollten sie dokumentiert werden; die Norm ist ziemlich eindeutig diesbezüglich. Doch wo sollte das dokumentiert werden? Die erste Möglichkeit ist, ein neues Dokument zu erstellen und dieses Dokument wird etwas sein, das die Zertifizierungsstelle anstelle eines Qualitätshandbuchs vor dem Audit verlangen wird.
Zu guter Letzt[Bearbeiten]
Regelmäßige Managementbewertungen sind notwendig, um die internen und externen Punkte der Organisation zu überwachen. Sobald der interne Kontext verstanden wurde, kann das Management eine externe Analyse durchführen und die Analysemethoden „PEST“ (POLITICAL, ECONOMIC, SOCIAL, TECHNOLOGICAL (politisch, ökonomisch, sozial, technologisch)) und „SWOT“ (STRENGTH, WEAKNESS, OPPORTUNITIES, THREATS (Stärken, Schwächen, Möglichkeiten, Gefährdungen) verwenden und aus diesen neuen Anforderungen echten Nutzen ziehen, anstatt diese nur formal zu erfüllen.
Der Kontext der Organisation erscheint wie eine der “Dokumentieren und Vergessen”-Anforderungen zu sein, doch das sollte es nicht. Die bei der Definition des Kontexts zusammengetragenen Informationen können für die Identifizierung von Verbesserungsbereichen sehr nützlich sein und das sollte nicht als selbstverständlich angesehen werden. Den Kontext Ihrer Organisation und die Meinung Ihrer interessierten Parteien zu kennen kann Ihnen helfen, Ihre Organisation zu verbessern und noch besser zu machen.
Überprüfung[Bearbeiten]
Aufnehmen in der Managementbewertung
TODO
Quelle