Ein Managementsystem, egal ob dieses für die Informationssicherheit, Datenschutz oder Qualitätsmanagement eingesetzt wird, erschöpft sich nicht in einem einmaligen Aufbau, sondern ist ein kontinuierlicher Prozess. In diesem Zusammenhang hat sich der Plan-Do-Check-Act Zyklus (PDCA-Zyklus) bewährt. In diesem Artikel erläutern wir, was sich hinter diesem Modell verbirgt.
Der Inhalt im Überblick
PDCA-Zyklus
Der PDCA-Zyklus stammt ursprünglich von Walter Shewhart und wurde durch W. Edwards Deming bekannt, weshalb er auch der Deming-Kreis genannt wird. Die Grundidee hinter diesem Zyklus ist, dass das Managementsystem nach einer systematischen Methodik aufgebaut und kontinuierlich verbessert werden soll. Dabei durchlaufen nicht nur die einzelnen Prozesse diesen Zyklus, sondern das gesamte System selbst.
Eine kontinuierliche Verbesserung ist deswegen von Bedeutung, da sich Anforderungen und Risiken, gesetzliche Vorgaben sowie die Technik ständig ändern. Aufgrund dieser Änderungen und neuen Entwicklungen, muss immer wieder überprüft werden, ob auch Prozesse bzw. Maßnahmen verbessert bzw. geändert werden müssen.
In der älteren Version der ISO 27001:2005 war der PDCA-Zyklus explizit erwähnt. In der aktuellen Version ISO/IEC 27001:2013 ist dieser zwar nicht mehr ausdrücklich als solcher benannt. Jedoch ist die Norm nach dem PDCA-Zyklus gegliedert und behält weiterhin seine Gültigkeit.
Praktische Umsetzung: Plan-Do-Check-Act
Der PDCA-Zyklus besteht aus vier Phasen:
1. Plan: Aufbau eines Managementsystems
Bei der Planungsphase sollten zunächst die Ziele formuliert und Anforderungen identifiziert werden. Eine Analyse der Ist-Situation hilft zudem herauszufinden, welche Prozesse bzw. Informationen und welche Dokumente (z.B. Richtlinien, Konzepte usw.) vorhanden sind. Sowohl bei der Informationssicherheit als auch im Datenschutz muss ein Risikomanagement erstellt werden. Um die gewünschte Situation zu erreichen, werden dann die erforderlichen Maßnahmen definiert und können als Ergebnis der Planungsphase in einem Umsetzungsplan aufgenommen werden.
2. Do: Implementierung des Managementsystems
In der Phase der Realisierung werden die Ziele und Maßnahmen aus der Planungsphase implementiert bzw. eingeführt. Der vorhandene Umsetzungsplan wird an die entsprechenden Mitarbeiter kommuniziert. Die Umsetzung inklusive aller Verantwortlichkeiten sollten dokumentiert werden. Wichtig bei der Realisierung ist auch die Sensibilisierung der Mitarbeiter z.B. durch Schulungen.
3. Check: Überprüfung durch ständige Überwachung
Die Umsetzung muss auf ihre Wirksamkeit überprüft werden. Deshalb müssen innerhalb des Managementsystems die umgesetzten Maßnahmen und Prozesse laufend überwacht und kontrolliert werden. Beispielsweise kann mit einem Penetrationstest oder durch simulierte Vorfälle die Wirksamkeit der technischen und organisatorischen Maßnahmen überprüft werden.
4. Act: Optimierung und Mängelbeseitigung
Die Überprüfung in der Phase 3 kann ergeben, dass z.B. Ziele, Richtlinien, Maßnahmen modifiziert, zurückgenommen oder durch etwas Neues ersetzt werden müssen. Diese Verbesserung bzw. Beseitigung von Mängeln findet also in diesem Phase „Act“ statt. Auch die ISO-Norm regelt explizit dass die Informationssicherheit, also die Ziele, Richtlinien und Maßnahmen kontinuierlich optimiert werden müssen.
Aufwand der einzelnen Phasen
Bei dem Aufbau und Pflege eines Managementsystems müssen Ressourcen zur Verfügung gestellt werden. Der Initialaufwand in der Plan- und Do-Phase ist am größten. Ist das Managementsystem etabliert, so durchläuft dieses den Zyklus immer wieder, allerdings ist der Aufwand verhältnismäßig geringer als der initiale Aufwand.
Hier finden Sie weitere Beiträge der Reihe ISMS & DSGVO.