Was ist eine ISO-Norm – und was ein Managementsystem?

„Wir machen das nach ISO.“ – Diesen Satz hört man oft, aber was bedeutet er eigentlich? Wer Managementsysteme einführen oder auditieren lassen will, sollte zwei Begriffe sauber trennen: die Norm und das Managementsystem. Beides hängt zusammen, ist aber nicht dasselbe.

Was ist eine Norm?

Eine Norm ist ein freiwilliger, im Konsens erarbeiteter Standard. ISO steht für die internationale Normungsorganisation mit Sitz in Genf, in der nationale Normungsgremien zusammenarbeiten. Eine Norm beschreibt, wie man etwas „nach dem anerkannten Stand“ tut – sie ist kein Gesetz, kann aber durch Verträge, Ausschreibungen oder Regulierung faktisch verbindlich werden.

Die Bezeichnung „DIN EN ISO 9001“ verrät den Weg einer Norm: ISO ist die internationale Fassung, EN die europäische Übernahme, DIN die deutsche. Inhaltlich ist es dieselbe Norm – nur auf verschiedenen Ebenen übernommen.

Was ist ein Managementsystem?

Ein Managementsystem ist die Art und Weise, wie eine Organisation ein Thema steuert – mit Zielen, Rollen, Prozessen, Dokumenten und Kontrollen. Ein Qualitätsmanagementsystem (QMS) steuert Qualität, ein Informationssicherheits-Managementsystem (ISMS) die Informationssicherheit, ein KI-Managementsystem (AIMS) den verantwortungsvollen Einsatz von KI.

Eine Managementsystemnorm beschreibt die Anforderungen an ein solches System – nicht an ein einzelnes Produkt. Ein ISO-9001-Zertifikat sagt also etwas darüber aus, wie Sie arbeiten, nicht über ein bestimmtes Werkstück.

Warum sich die Normen so ähneln: Annex SL

Moderne Managementsystemnormen – darunter ISO 9001, ISO 27001 und ISO 42001 – folgen einer gemeinsamen Grundstruktur, der „Harmonized Structure“ (früher Annex SL / High Level Structure). Dadurch haben sie dieselben Kapitel: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung und Verbesserung.

• Kontext: Wer sind wir, welche interessierten Parteien gibt es, was ist der Anwendungsbereich?
• Führung: Die Leitung übernimmt Verantwortung und gibt eine Leitlinie vor.
• Planung: Risiken und Chancen werden bewertet, Ziele gesetzt.
• Unterstützung & Betrieb: Ressourcen, Kompetenz, Dokumentation, gelebte Prozesse.
• Bewertung & Verbesserung: internes Audit, Managementbewertung, Korrekturmaßnahmen.

Der große Vorteil: Wer schon ISO 9001 lebt, erkennt in ISO 27001 oder 42001 dieselbe Logik wieder – und kann die Systeme integrieren statt drei getrennte Bürokratien zu pflegen.

Das Grundprinzip: PDCA

Hinter jedem Managementsystem steckt der PDCA-Zyklus: Plan (planen), Do (umsetzen), Check (überprüfen), Act (verbessern). Ein Managementsystem ist also nie „fertig“ – es ist ein laufender Kreislauf der kontinuierlichen Verbesserung. Genau das prüft ein Audit: Wird der Kreislauf wirklich gelebt?

Zertifizierbar – oder nur Leitfaden?

Nicht jede ISO-Veröffentlichung ist zertifizierbar. Anforderungsnormen wie 9001, 27001 oder 42001 (erkennbar am „muss“/„shall“) sind die Grundlage für ein Zertifikat. Daneben gibt es Leitfäden und technische Berichte, die nur Orientierung geben und nicht zertifiziert werden. Wer eine Zertifizierung anstrebt, braucht also die richtige Norm – und eine akkreditierte Zertifizierungsstelle, die sie ausspricht.