Zum Inhalt springen Zur Navigation springen
DSGVO & ISMS: Der PDCA-Zyklus

DSGVO & ISMS: Der PDCA-Zyklus

Ein Managementsystem, egal ob dieses für die Informationssicherheit, Datenschutz oder Qualitätsmanagement eingesetzt wird, erschöpft sich nicht in einem einmaligen Aufbau, sondern ist ein kontinuierlicher Prozess. In diesem Zusammenhang hat sich der Plan-Do-Check-Act Zyklus (PDCA-Zyklus) bewährt. In diesem Artikel erläutern wir, was sich hinter diesem Modell verbirgt.

PDCA-Zyklus

Der PDCA-Zyklus stammt ursprünglich von Walter Shewhart und wurde durch W. Edwards Deming bekannt, weshalb er auch der Deming-Kreis genannt wird. Die Grundidee hinter diesem Zyklus ist, dass das Managementsystem nach einer systematischen Methodik aufgebaut und kontinuierlich verbessert werden soll. Dabei durchlaufen nicht nur die einzelnen Prozesse diesen Zyklus, sondern das gesamte System selbst.

Eine kontinuierliche Verbesserung ist deswegen von Bedeutung, da sich Anforderungen und Risiken, gesetzliche Vorgaben sowie die Technik ständig ändern. Aufgrund dieser Änderungen und neuen Entwicklungen, muss immer wieder überprüft werden, ob auch Prozesse bzw. Maßnahmen verbessert bzw. geändert werden müssen.

In der älteren Version der ISO 27001:2005 war der PDCA-Zyklus explizit erwähnt. In der aktuellen Version ISO/IEC 27001:2013 ist dieser zwar nicht mehr ausdrücklich als solcher benannt. Jedoch ist die Norm nach dem PDCA-Zyklus gegliedert und behält weiterhin seine Gültigkeit.

Praktische Umsetzung: Plan-Do-Check-Act

Der PDCA-Zyklus besteht aus vier Phasen:

1. Plan: Aufbau eines Managementsystems

Bei der Planungsphase sollten zunächst die Ziele formuliert und Anforderungen identifiziert werden. Eine Analyse der Ist-Situation hilft zudem herauszufinden, welche Prozesse bzw. Informationen und welche Dokumente (z.B. Richtlinien, Konzepte usw.) vorhanden sind. Sowohl bei der Informationssicherheit als auch im Datenschutz muss ein Risikomanagement erstellt werden. Um die gewünschte Situation zu erreichen, werden dann die erforderlichen Maßnahmen definiert und können als Ergebnis der Planungsphase in einem Umsetzungsplan aufgenommen werden.

2. Do: Implementierung des Managementsystems

In der Phase der Realisierung werden die Ziele und Maßnahmen aus der Planungsphase implementiert bzw. eingeführt. Der vorhandene Umsetzungsplan wird an die entsprechenden Mitarbeiter kommuniziert. Die Umsetzung inklusive aller Verantwortlichkeiten sollten dokumentiert werden. Wichtig bei der Realisierung ist auch die Sensibilisierung der Mitarbeiter z.B. durch Schulungen.

3. Check: Überprüfung durch ständige Überwachung

Die Umsetzung muss auf ihre Wirksamkeit überprüft werden. Deshalb müssen innerhalb des Managementsystems die umgesetzten Maßnahmen und Prozesse laufend überwacht und kontrolliert werden. Beispielsweise kann mit einem Penetrationstest oder durch simulierte Vorfälle die Wirksamkeit der technischen und organisatorischen Maßnahmen überprüft werden.

4. Act: Optimierung und Mängelbeseitigung

Die Überprüfung in der Phase 3 kann ergeben, dass z.B. Ziele, Richtlinien, Maßnahmen modifiziert, zurückgenommen oder durch etwas Neues ersetzt werden müssen. Diese Verbesserung bzw. Beseitigung von Mängeln findet also in diesem Phase „Act“ statt. Auch die ISO-Norm regelt explizit dass die Informationssicherheit, also die Ziele, Richtlinien und Maßnahmen kontinuierlich optimiert werden müssen.

Aufwand der einzelnen Phasen

Bei dem Aufbau und Pflege eines Managementsystems müssen Ressourcen zur Verfügung gestellt werden. Der Initialaufwand in der Plan- und Do-Phase ist am größten. Ist das Managementsystem etabliert, so durchläuft dieses den Zyklus immer wieder, allerdings ist der Aufwand verhältnismäßig geringer als der initiale Aufwand.

Hier finden Sie weitere Beiträge der Reihe ISMS & DSGVO.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.