D: ISMS und PDCA-Modell
Rubrik: NachrichtenR. Olschewski - 2B Advice GmbH - the privacy benchmark
Der Datenschutzbeauftragte hat täglich mit verschiedenen Begriffen in der Schnittmenge zwischen Management- und Organisationslehre sowie dem Qualitätsmanagement und der IT zu tun. Diese bedürfen daher einer Erläuterung.
Ein Managementsystem dient der Steuerung und Lenkung zwecks Erreichung der Unternehmensziele. Der Teil, der sich mit Informationssicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (ISMS) bezeichnet.
Das ISMS definiert, mit welchen Instrumenten und Methoden die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten organisiert, d.h. geplant, einsetzt, durchführt und überwacht sowie dann letztlich verbessert werden. Im Rahmen der ISO-Zertifizierung (2700XX) sowie des Grundschutzkatalogs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurden ISMS bzw. deren Komponenten teilweise standardisiert.
Dabei sollte auch ein ISMS einen Lebenszyklus haben, d.h. es handelt sich nicht nur um eine statische Einrichtung, sondern um einen kontinuierlichen Prozess. Dieser unterliegt ständiger Anpassung an die gelebten Unternehmensprozesse.
Um diesen Prozess besser beschreiben zu können, wird er häufig in die folgenden vier Phasen eingeteilt: Planung, Umsetzung der Planung, Kontrolle und Optimierung. Dieses Modell wird nach den einzelnen Phasen ("Plan", "Do", "Check", "Act") auch als PDCA-Modell bezeichnet und lässt sich grundsätzlich auf viele Sicherheitsprozesse anwenden.
Die Umsetzung der Sicherheitsmaßnahmen sollte, beispielsweise durch den (externen) Datenschutzbeauftragten oder das Qualitätsmanagement in regelmäßigen Abständen mit Hilfe von internen Audits ausgewertet werden. Neben diesen Audits ist die Durchführung von Übungen und Sensibilisierungsmaßnahmen notwendig, um zu testen, ob alle vorgesehenen Abläufe und das Verhalten in Notfallsituationen auch tatsächlich funktionieren.
Erkenntnisse über Schwachstellen und Verbesserungsmöglichkeiten müssen dann zu Konsequenzen in der Informationssicherheitsorganisation führen. Bei allen Audits sollte darauf geachtet werden, dass sie nicht von denjenigen durchgeführt werden, die an der Planung oder Konzeption von Sicherheitsvorgaben beteiligt waren, da es schwierig ist eigene Fehler zu finden. Je nach Unternehmensgröße empfiehlt es sich für Audits Externe hinzuzuziehen, um Objektivität zu gewährleisten.
Die ständige Überprüfung der Sicherheitsprozesse im Rahmen eines ISMS dient dann letztlich der Verbesserung der Prozessabläufe und der langfristigen Sicherung des Unternehmenserfolges.
Weitere Informationen: https://www.bsi.bund.de/cae/servlet/contentblob/471450/publicationFile/30759/standard_1001_pdf.pdf
(495 mal gelesen)
