ISO/IEC 27001

In einer zunehmend digitalisierten Geschäftswelt ist der Schutz sensibler Daten nicht mehr nur eine IT-Aufgabe, sondern eine existenzielle strategische Notwendigkeit. Die ISO/IEC 27001 ist der weltweit führende Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet Unternehmen jeder Grösse einen systematischen Ansatz, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen nachhaltig zu schützen.

Risikomanagement

Identifizieren und minimieren Sie Bedrohungen für Ihre Datenwerte, bevor sie zum Problem werden.

Compliance & Rechtssicherheit

Erfüllen Sie internationale Anforderungen und nationale Datenschutzgesetze (wie das Schweizer DSG) proaktiv und nachweisbar.

Wettbewerbsvorteil

Positionieren Sie sich gegenüber Kunden und Partnern als sicherer Dienstleister, der Informationssicherheit auf höchstem Niveau garantiert.

Resilienz

Etablieren Sie Prozesse, die Ihr Unternehmen auch bei Sicherheitsvorfällen handlungsfähig halten.

Kerninhalte

Die Kerninhalte der ISO/IEC 27001 lassen sich in zwei wesentliche Bereiche unterteilen: den Hauptteil der Norm, der das eigentliche Managementsystem beschreibt, und den wichtigen Anhang A, der die konkreten Sicherheitsmassnahmen (Controls) enthält.

Das Managementsystem (Kapitel 4 bis 10)

Kontext der Organisation: Bestimmung interner und externer Themen sowie der Erfordernisse interessierter Parteien.

Führung & Verpflichtung: Die Verpflichtung der Geschäftsleitung und die Festlegung der Informationssicherheitspolitik.

Planung: Das Herzstück – die Risikobeurteilung und die Festlegung von Sicherheitszielen.

Bewertung der Leistung: Überwachung,. internes Audit, Managementbewertung.

Verbesserung: Fortlaufende Verbesserung. Fehler erkennen und verbessern.

Die Besonderheit: Anhang A (Die Controls)

Eine Besonderheit der ISO 27001 gegenüber anderen Normen ist die Bedeutung des Anhang A. Während der Hauptteil vorgibt, dass Sie Risiken managen müssen, liefert der Anhang A einen Katalog an konkreten Massnahmen, wie Sie diese Risiken technisch und organisatorisch adressieren können.

Organisatorische Massnahmen (37 Controls): Z. B. Informationssicherheitsrichtlinien, Rückgabe von Werten oder Identitätsmanagement.

Personelle Massnahmen (8 Controls): Z. B. Überprüfung von Mitarbeitenden vor der Einstellung oder Sensibilisierung für Sicherheitsthemen.

Physische Massnahmen (14 Controls): Z. B. Zutrittskontrollen zu Gebäuden, Sicherung von Arbeitsplätzen oder Entsorgung von Datenträgern.

Technologische Massnahmen (34 Controls): Z. B. sichere Authentifizierung, Verschlüsselung, Schutz vor Schadsoftware oder Protokollierung.List item

Das Bindeglied: Statement of Applicability (SoA)

Eine Besonderheit im Zertifizierungsprozess ist die Anwendbarkeitserklärung (Statement of Applicability). Ein Unternehmen muss für jede einzelne Massnahme aus dem Anhang A begründen:
– Wird sie umgesetzt?
– Wenn ja, wie?
– Wenn nein, warum ist sie für dieses spezifische Unternehmen nicht relevant?

Zusammengefasst:
Die ISO 14001 bietet einen systematischen Rahmen, um die Umweltleistung eines Unternehmens durch kontinuierliche Verbesserung und die konsequente Einhaltung rechtlicher Verpflichtungen nachhaltig zu optimieren.

Nutzen

Ein Managementsystem nach ISO 14001 entfaltet seinen Nutzen auf mehreren Ebenen gleichzeitig:

Wirtschaftlich
Der direkteste Hebel liegt bei den Betriebskosten: Wer Energieverbrauch, Wassernutzung, Abfallmengen und Materialeinsatz systematisch erfasst und bewertet, findet fast immer Einsparpotenziale, die vorher unsichtbar waren. In der Praxis amortisieren sich die Zertifizierungskosten dadurch oft innerhalb weniger Jahre. Hinzu kommen vermiedene Bussen und Sanierungskosten durch proaktives Rechtsmanagement sowie – in manchen Branchen – günstigere Versicherungskonditionen.

Markt & Wettbewerb
ISO 14001 ist in vielen Lieferketten zur Zugangsbedingung geworden, insbesondere bei Grosskunden aus der Automobil-, Chemie- oder Konsumgüterindustrie sowie bei öffentlichen Ausschreibungen. Ein Zertifikat öffnet Türen, die ohne es verschlossen bleiben – unabhängig davon, wie gut die tatsächliche Umweltleistung ist.

Rechtliche Sicherheit
Die Norm verlangt, dass ein Unternehmen alle relevanten Umweltgesetze und Bewilligungsauflagen kennt, dokumentiert und regelmässig auf Einhaltung prüft. Das klingt aufwändig, schützt aber vor unangenehmen Überraschungen – und entlastet die Geschäftsleitung, die bei Umweltverstössen persönlich haftbar gemacht werden kann.

Reputation & Stakeholder-Vertrauen
Gegenüber Kunden, Investoren, Behörden und der Öffentlichkeit signalisiert ein ISO 14001-Zertifikat, dass Umweltschutz kein Lippenbekenntnis, sondern systematisch verankert ist. Das gewinnt mit zunehmender ESG-Berichtspflicht (CSRD) und der wachsenden Erwartungshaltung der Gesellschaft an Bedeutung.

Interne Wirkung
Oft unterschätzt: Ein funktionierendes UMS schärft das Umweltbewusstsein der Belegschaft, klärt Verantwortlichkeiten und schafft eine gemeinsame Sprache für Verbesserungsprozesse. Unternehmen berichten regelmässig, dass Mitarbeitende durch die Einführung erstmals ein klares Bild davon bekommen, welche Umweltauswirkungen die eigene Arbeit tatsächlich hat.

Strategisch
ISO 14001 zwingt die Unternehmensführung, Umweltthemen als echten Bestandteil der Unternehmensstrategie zu behandeln – nicht als Randthema im Rahmen der Compliance. Wer das ernst nimmt, ist besser positioniert für regulatorische Verschärfungen, steigende CO₂-Preise und den Wandel in der Kundennachfrage.

Zusammengefasst:
Die ISO 27001 transformiert Informationssicherheit von einem IT-Thema in ein strategisches Führungswerkzeug, das durch systematisches Risikomanagement den Geschäftsbetrieb absichert, rechtliche Haftungsrisiken minimiert und das Kundenvertrauen als entscheidenden Wettbewerbsvorteil stärkt.

Entwicklung, Geschichte

Die Geschichte der ISO/IEC 27001 ist eine beeindruckende Entwicklung von einem rein technischen Leitfaden hin zum weltweit anerkannten Standard für Informationssicherheit. Sie zeigt, wie sich der Fokus von „IT-Sicherheit“ hin zu einem umfassenden „Management von Informationswerten“ verschoben hat.

Norm	Fokus
BS 7799 1995-1998	Die Geburtsstunde Lange bevor es eine internationale Norm gab, leistete das britische Handels- und Industrieministerium Pionierarbeit. 1995: Veröffentlichung des BS 7799 (Part 1). Dies war zunächst nur ein Leitfaden für Best Practices. 1998: Ergänzung durch BS 7799 (Part 2). Dies war der entscheidende Schritt, da hier erstmals Anforderungen definiert wurden, gegen die sich Unternehmen zertifizieren lassen konnten.
ISO/IEC 17799:2000	Der Schritt zu einer ISO-Norm BS 7799 Part 1 wird als ISO/IEC 17799 übernommen (später die heutige ISO 27002).
ISO/IEC 27001:2005	Erste ISO/IEC 27001 Die erste echte ISO/IEC 27001:2005 wird veröffentlicht. Damit war ein weltweit einheitliches Zertifizierungsschema für Informationssicherheits-Managementsysteme (ISMS) geboren.
ISO/IEC 27001:2013	Die Strukturreform Mit der Version ISO/IEC 27001:2013 änderte sich das Gesicht der Norm massgeblich. High Level Structure (HLS): Die Norm wurde an die Einheitsstruktur anderer Managementnormen (wie ISO 9001) angepasst. Risikobasierter Ansatz: Der Fokus verschob sich weg von starren Kontrolllisten hin zu einer individuellen Risikobewertung für jedes Unternehmen. Prävention: Vorbeugende Massnahmen wurden fester Bestandteil des Managementsystems.
ISO/IEC 27001:2022	Anpassung an die Cyber-Welt Nach fast einem Jahrzehnt folgte die aktuelle Version ISO/IEC 27001:2022, um den neuen Bedrohungen wie Cloud-Computing und komplexen Cyber-Angriffen gerecht zu werden. Neuordnung des Anhangs A: Die Controls wurden von 114 auf 93 gestrafft und in moderne Kategorien unterteilt. Fokus auf Resilienz: Es geht nicht mehr nur um Schutz, sondern auch darum, wie schnell ein Unternehmen nach einem Vorfall wieder handlungsfähig ist.
ISO/IEC 27001:2022/Amd 1:2024	Klimawandel Eine Ergänzung verpflichtet Unternehmen nun, die Relevanz des Klimawandels für ihr Managementsystem zu prüfen.

Aufbau/Implementierung

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Zertifizierung

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Tool Box

Effizienz ist kein Zufall, sondern das Ergebnis der richtigen Werkzeuge. In diesem Bereich finden Sie eine gezielte Auswahl an Ressourcen, die darauf ausgelegt sind, die Komplexität von ISO-Normen zu reduzieren und Theorie in gelebte Praxis zu verwandeln.
Ob Sie Ihre Prozesse mit präzisen Checklisten prüfen, Ihr Team durch spezifische Ausbildungsangebote stärken oder auf direkt einsetzbare Vorlagen zurückgreifen möchten: Unsere Tools unterstützen Sie dabei, den administrativen Aufwand zu minimieren und den Fokus wieder auf das Wesentliche zu lenken – Ihren unternehmerischen Erfolg.

P-D-C-A-Zyklus

Der P-D-C-A-Zyklus ist ein zentrales Element der Norm ISO/IEC 27001. Hier finden Sie mehr Informationen zum P-D-C-A-Zyklus.

P-D-C-A-Zyklus

Bundesamt für Cybersicherheit (BACS) (CH)

Eine Zusammenfassung der wichtigsten Pfeiler wie das Umweltschutzgesetz (USG) oder die Gewässerschutzverordnung (GSchV).

BACS

Glossar

Kurze Definitionen von Fachbegriffen wie „Umweltaspekt“, „Umweltauswirkung“ oder „Bindende Verpflichtungen“.

Glossar

Datenschutzgesetz (CH)

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

DSG (CH)

Die CIA-Triade

Das Akronym steht für die drei Grundpfeiler der Informationssicherheit:
Vertraulichkeit (Confidentiality),
Integrität (Integrity) und
Verfügbarkeit (Availability).

CIA-Triade

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

FAQ

Sie finden hier oft angetroffene Fragen und die dazugehörenden Antworten.
Wenn für Sie eine Frage nicht ausreichend beantwortet wird oder fehlt, bitte benutzen Sie das Kontaktformular, um uns Ihre Wünsche mitzuteilen.

Was ist die ISO/IEC 27001 genau?

Die ISO/IEC 27001 ist der internationale Standard für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Im Gegensatz zu rein technischen Lösungen betrachtet sie Sicherheit ganzheitlich – einschliesslich Organisation, Personal und physischer Sicherheit.

Warum braucht mein Unternehmen eine Zertifizierung?

Ein zertifiziertes ISMS schützt Ihre wertvollsten Informationen (Daten, Know-how, Kundeninformationen) vor unbefugtem Zugriff und Verlust. Zudem ist es heute oft eine Grundvoraussetzung in Ausschreibungen, stärkt das Vertrauen Ihrer Kunden massgeblich und minimiert finanzielle Risiken durch Cyberangriffe oder Datenpannen.

Lohnt sich ISO 27001 auch für Schweizer KMU?

Definitiv. Cyberrisiken machen vor der Unternehmensgrösse keinen Halt. Die Norm ist skalierbar und lässt sich flexibel an die Komplexität eines KMU anpassen. Gerade für Schweizer Dienstleister ist sie zudem ein wichtiges Signal für Qualität und Zuverlässigkeit („Swiss Trust“).

Wie hängen ISO 27001 und das neue Schweizer Datenschutzgesetz (DSG) zusammen?

Es gibt eine sehr grosse Schnittmenge. Wer ein ISMS nach ISO 27001 betreibt, erfüllt bereits einen Grossteil der technischen und organisatorischen Massnahmen (TOM), die das neue DSG fordert. Die Norm bietet somit den perfekten Rahmen, um Compliance-Anforderungen strukturiert umzusetzen.

Was hat es mit dem Anhang A (Controls) auf sich?

Der Anhang A enthält einen Katalog von Sicherheitsmassnahmen. In der aktuellen Version 2022 sind dies 93 Massnahmen, unterteilt in organisatorische, personelle, physische und technologische Bereiche. Jedes Unternehmen entscheidet anhand einer Risikoanalyse, welche dieser „Controls“ anwendbar sind.

Was ist eine Anwendbarkeitserklärung (SoA)?

Das Statement of Applicability (SoA) ist eines der wichtigsten Dokumente im Zertifizierungsprozess. Es listet alle Massnahmen aus dem Anhang A auf und dokumentiert, welche davon umgesetzt wurden und warum andere eventuell ausgeschlossen wurden. Es ist die „Landkarte“ Ihrer Informationssicherheit.

Wie lange dauert die Umsetzung bis zur Zertifizierungsreife?

Je nach Reifegrad der bestehenden IT und Organisation dauert der Aufbau eines ISMS meist zwischen 6 und 12 Monaten. Mit strukturierten Vorlagen und einer klaren Roadmap lässt sich dieser Zeitraum deutlich verkürzen, da das Rad nicht neu erfunden werden muss.

Muss ich von der 2013er Version auf die 2022er Version wechseln?

Ja, für bestehende Zertifikate gibt es Übergangsfristen. Die neue Version ist moderner und besser auf Themen wie Cloud-Sicherheit und Datenschutz ausgerichtet. Neue Zertifizierungen sollten ohnehin direkt nach der Version ISO/IEC 27001:2022 durchgeführt werden.

Was bedeutet IEC im Normtitel?

Während viele Normen (wie die ISO 9001 oder ISO 14001) alleinige Veröffentlichungen der ISO (International Organization for Standardization) sind, ist die 27001-Serie ein Gemeinschaftsprodukt.
Die Zusammenarbeit: ISO & IEC
Das Kürzel IEC steht für die International Electrotechnical Commission. Da die Informationssicherheit sowohl organisatorische Aspekte (Management) als auch komplexe technische und elektronische Komponenten umfasst, haben sich diese beiden Organisationen zusammengeschlossen.
ISO: Zuständig für allgemeine internationale Standards und Managementprozesse.
IEC: Die weltweit führende Organisation für Normen im Bereich Elektrotechnik und Elektronik.
Das Joint Technical Committee (JTC 1)
Um Doppelspurigkeiten zu vermeiden und technologisches Know-how zu bündeln, gründeten beide Organisationen das Joint Technical Committee 1 (ISO/IEC JTC 1). Dieses Komitee ist ausschliesslich für die Normierung im Bereich der Informationstechnologie zuständig.
Was bedeutet das für Ihre Kunden?
Dass das IEC im Titel steht, ist ein Qualitätssiegel. Es garantiert, dass die Norm nicht nur von Management-Experten geschrieben wurde, sondern auch die hohen technischen Anforderungen der weltweiten Elektronik- und IT-Industrie berücksichtigt. Für Unternehmen bedeutet dies eine umfassende Absicherung, die über rein administrative Prozesse hinausgeht.

Welchen konkreten wirtschaftlichen Nutzen bringt ISO/IEC 27001?

Für viele Unternehmen gilt die ISO/IEC 27001 auf den ersten Blick als Kostenfaktor. Doch bei richtiger Umsetzung wandelt sich das Informationssicherheits-Managementsystem (ISMS) von einer reinen Ausgabe zu einer wertsteigernden Investition.
Vermeidung horrender Schadenskosten:
Der offensichtlichste Nutzen ist die Prävention. Ein einziger erfolgreicher Cyberangriff oder ein schwerwiegender Datenverlust kann die Existenz eines Unternehmens bedrohen.
Reduktion von Ausfallzeiten:
Ein ISMS minimiert die Wahrscheinlichkeit von Betriebsunterbrüchen durch IT-Ausfälle.
Vermeidung von Bussgeldern:
Mit dem neuen Schweizer Datenschutzgesetz (DSG) und der DSGVO drohen bei massiven Datenpannen empfindliche Sanktionen. Die ISO 27001 dient hier als Nachweis, dass Sie die „Sorgfaltspflicht“ erfüllt haben.
Marktzutritt und Wettbewerbsvorteile:
In vielen Branchen – insbesondere im B2B-Bereich, bei Banken oder Versicherungen – ist eine Zertifizierung nach ISO/IEC 27001 heute eine zwingende Voraussetzung, um überhaupt als Lieferant gelistet zu werden.
Beschleunigung von Sales-Prozessen:
Anstatt hunderte individuelle Sicherheitsfragen in Kunden-Fragebögen zu beantworten, reicht oft der Verweis auf das Zertifikat.
Differenzierung:
Sie positionieren sich als vertrauenswürdiger Partner und heben sich aktiv von Mitbewerbern ab, die keine geprüfte Sicherheit nachweisen können.
Effizienzsteigerung durch Prozessklarheit:
Die Norm zwingt das Unternehmen dazu, Verantwortlichkeiten und Abläufe glasklar zu definieren.
Weniger Redundanz:
Klare Prozesse verhindern Doppelspurigkeiten in der IT und Verwaltung.
Schnellere Reaktion:
Im Falle eines Vorfalls greifen vordefinierte Notfallpläne, was die „Time-to-Recovery“ drastisch verkürzt und somit Kosten spart.
Reduktion von Versicherungsprämien:
Viele Cyber-Versicherungen setzen mittlerweile einen gewissen Sicherheitsstandard voraus.
Bessere Konditionen:
Unternehmen mit einem zertifizierten ISMS erhalten oft deutlich bessere Prämien oder werden überhaupt erst versicherbar.

Was sind typische Fehler bei der Einführung?

Die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 ist ein Marathon, kein Sprint. Viele Unternehmen stolpern über die gleichen Hindernisse, was oft zu unnötigen Kosten oder Frustration führt.

Das „IT-Projekt“-Missverständnis
Dies ist der Klassiker: Die Geschäftsleitung delegiert die ISO 27001 komplett an die IT-Abteilung.
Der Fehler:
Informationssicherheit wird als reines Technik-Thema betrachtet.
Die Folge:
Organisatorische Risiken (Personal, Verträge, physischer Zutritt) werden ignoriert, und es fehlt am nötigen Budget und Rückhalt „von oben“.

Der „Papier-Tiger“ (Überdokumentation)
Unternehmen versuchen oft, jedes Detail bis ins Unendliche zu beschreiben.
Der Fehler:
Es werden hunderte Seiten Dokumentation erstellt, die im Alltag niemand liest oder umsetzt.
Die Folge:
Das System lebt nicht. Beim Audit wird schnell klar, dass Theorie und Praxis meilenweit auseinanderliegen.

Ein falsch gewählter Geltungsbereich (Scope)
Man will entweder alles auf einmal (zu komplex) oder klammert kritische Bereiche aus, um es „einfacher“ zu haben.
Der Fehler:
Der Fokus liegt nicht dort, wo die eigentlichen Risiken für das Unternehmen schlummern.
Die Folge:
Das Zertifikat ist zwar da, aber die wirkliche Sicherheit der kritischen Geschäftsprozesse bleibt lückenhaft.

Die „Kopie-und-Einfügen“-Falle
Blindes Übernehmen von fremden Richtlinien ohne Anpassung an die eigene Unternehmenskultur.
Der Fehler:
Man nutzt Vorlagen, ohne sie auf die eigenen Prozesse zu prüfen.
Die Folge:
Mitarbeitende blockieren, weil die neuen Regeln ihre Arbeit unnötig behindern oder gar nicht zum Arbeitsalltag passen.

Risikoanalyse „nach Gefühl“
Die Risikobewertung wird oberflächlich durchgeführt, nur um den Punkt in der Norm abzuhaken.
Der Fehler:
Es gibt keine systematische Methode, um Bedrohungen und Schwachstellen zu identifizieren.
Die Folge:
Das Unternehmen investiert viel Geld in unnötige Schutzmassnahmen, während die echten Gefahrenquellen offen bleiben.

Die „Einmal-und-fertig“-Mentalität
Das Projekt gilt als beendet, sobald das Zertifikat an der Wand hängt.
Der Fehler:
Die kontinuierliche Verbesserung (PDCA) wird vernachlässigt.
Die Folge:
Spätestens beim ersten Überwachungsaudit nach einem Jahr folgt das böse Erwachen, weil das System in der Zwischenzeit „eingeschlafen“ ist.

Wie halte ich das System (nach der Zertifizierung) lebendig?

Das Zertifikat an der Wand ist ein grossartiger Meilenstein, aber die eigentliche Herausforderung beginnt am Tag danach: Wie verhindert man, dass das Managementsystem (ISMS oder UMS) in der Schublade verstaubt? Ein lebendiges System ist kein statisches Handbuch, sondern ein atmender Teil Ihrer Unternehmenskultur.
Hier sind die entscheidenden Strategien, um die Dynamik nach der Zertifizierung hochzuhalten:

Verankerung im Alltag (Integration)
Ein System stirbt, wenn es als „Zusatzaufgabe“ wahrgenommen wird.
Prozess-Integration:
Umwelt- oder Sicherheitsaspekte müssen Teil der täglichen Arbeitsabläufe werden. Wenn ein Mitarbeiter ein neues Projekt startet, sollte die Risikoanalyse oder die Umweltprüfung so selbstverständlich sein wie die Budgetplanung.
Software-Unterstützung:
Nutzen Sie Tools (wie Aufgabenplaner oder Intranet-Lösungen), um regelmässige Aufgaben automatisch zu delegieren und zu tracken.

„Awareness“ durch Kommunikation
Informationssicherheit und Umweltschutz leben von den Menschen.
Regelmässige Impulse:
Statt einer Mammut-Schulung pro Jahr setzen Sie lieber auf monatliche Kurz-Infos (z. B. ein „Sicherheitstipp des Monats“ oder ein „Umwelt-Quick-Win“).
Storytelling:
Teilen Sie Erfolge. Wenn durch eine neue Massnahme 15 % Energie gespart wurde oder ein Phishing-Versuch erfolgreich abgewehrt wurde, machen Sie das intern publik.

Das Interne Audit als Coaching-Tool
Betrachten Sie das interne Audit nicht als Kontrolle oder „Polizei-Besuch“, sondern als interne Unternehmensberatung.
Frühwarnsystem:
Nutzen Sie Audits, um Prozesse zu hinterfragen: „Hilft uns diese Richtlinie wirklich, oder behindert sie uns nur?“
Rotation:
Lassen Sie Mitarbeitende aus unterschiedlichen Abteilungen gegenseitig auditieren. Das fördert das Verständnis für die Herausforderungen der Kollegen und bringt frische Perspektiven.

Messbare Kennzahlen (KPIs) statt Prosa
Führungskräfte lieben Zahlen. Machen Sie Fortschritte sichtbar.
Dashboards:
Visualisieren Sie Ihre Umweltziele oder Sicherheitsvorfälle. Wenn die Kurve in die richtige Richtung zeigt, motiviert das ungemein.
Relevanz:
Messen Sie nur das, was wirklich einen Einfluss auf den Unternehmenserfolg oder die Umweltleistung hat.

Den PDCA-Zyklus ernst nehmen
Der „Act“-Teil im PDCA-Zyklus ist oft der schwächste Punkt.
Fehlerkultur:
Wenn etwas schiefgeht (eine Nichtkonformität), suchen Sie nicht den Schuldigen, sondern die Schwachstelle im System. Jede Korrekturmassnahme ist ein Beweis dafür, dass das System lebt.
Management Review:
Die Geschäftsleitung muss das System jährlich kritisch hinterfragen: „Passt unsere Strategie noch zur aktuellen Marktlage und zur Bedrohungssituation?“