RiLi-KVP: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
Zeile 8: Zeile 8:
== Einleitung ==
== Einleitung ==


Die Organisation hat ein Managementsystems für Informationssicherheit (ISMS) auf Basis der BSI-Standards 200-x (IT-Grundschutz) etabliert. Ein zentraler Bestandteil eines ISMS ist ein Kontinuierlicher Verbesserungsprozess (KVP), um Korrektur-und Vorbeugemaßnahmen zu verwalten.
Die Organisation hat ein Informationssicherheits-Managementsystem (ISMS) auf Basis des BSI-Standards 200-x (IT-Grundschutz) eingeführt. Zentraler Bestandteil des ISMS ist ein kontinuierlicher Verbesserungsprozess (KVP) zur Steuerung von Korrektur- und Vorbeugemaßnahmen.


Diese Richtlinie beschreibt die Vorgaben für eine kontinuierliche Weiterentwicklung und Verbesserung.
Die vorliegende Richtlinie beschreibt die Anforderungen an eine kontinuierliche Weiterentwicklung und Verbesserung.


== Geltungsbereich ==
== Geltungsbereich ==


Die vorliegende Richtlinie gilt für den KVP innerhalb des gesamten Managementsystems für Informationssicherheit (ISMS) der Organisation. Diese Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich.
Diese Richtlinie gilt für den KVP innerhalb des gesamten Informationssicherheits-Managementsystems (ISMS) der Organisation. Diese Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich.


== Zielsetzung ==
== Zielsetzung ==


Die Organisation verfolgt als Kern des KVP den "Plan-Do-Check-Act"-Verbesserungszyklus, kurz PDCA.
Die Organisation folgt als Kern des KVP dem Verbesserungszyklus "Plan-Do-Check-Act", kurz PDCA.


Ziel der Organisation ist es, in laufenden Iterationen des PDCA-Zyklus aus erkannten Fehlern zu lernen, Schwächen zu erkennen und zu beseitigen und sich so stetig zu verbessern.
Ziel der Organisation ist es, in kontinuierlichen Iterationen des PDCA-Zyklus aus erkannten Fehlern zu lernen, Schwächen zu erkennen und zu beseitigen und sich so kontinuierlich zu verbessern.


Alle Mitarbeitenden sind ausdrücklich aufgefordert sich an diesem Prozess zu beteiligen und erkannte Schwächen oder Verbesserungspotenzial zu melden und aktiv zur Steigerung des Sicherheitsniveaus beizutragen.
Alle Mitarbeitenden sind ausdrücklich aufgefordert, sich an diesem Prozess zu beteiligen, erkannte Schwachstellen oder Verbesserungspotenziale zu melden und aktiv zur Erhöhung des Sicherheitsniveaus beizutragen.


== Prozessbeschreibung ==
== Prozessbeschreibung ==
Zeile 33: Zeile 33:
==== Planung (Plan) ====
==== Planung (Plan) ====


In diesem Schritt werden die Sicherheitsanforderungen identifiziert und analysiert. Ziele und Pläne werden festgelegt, um die Sicherheitsrisiken zu minimieren. Dies beinhaltet die Einführung von Sicherheitsstandards, die Erstellung von Richtlinien, Konzepten und Notfallplänen.
In diesem Schritt werden die Sicherheitsanforderungen ermittelt und analysiert. Es werden Ziele und Pläne festgelegt, um die Sicherheitsrisiken zu minimieren. Dazu gehören die Einführung von Sicherheitsstandards, die Erstellung von Richtlinien, Konzepten und Notfallplänen.


==== Durchführung (Do) ====
==== Umsetzung (Do) ====


In diesem Schritt werden die Pläne in die Tat umgesetzt. Dies beinhaltet die Umsetzung von Sicherheitsmaßnahmen wie Zugangskontrollen, die Schulung von Mitarbeitern oder die Implementierung von Technologien zur Überwachung und Erkennung von Bedrohungen sowie die Umsetzung aller Grundschutzanforderungen gemäß dem gewählten Vorgehensmodell (Basis- Standard- oder Kernabsicherung).
In diesem Schritt werden die Pläne in die Praxis umgesetzt. Dazu gehören die Implementierung von Sicherheitsmaßnahmen wie Zugangskontrollen, Mitarbeiterschulungen oder der Einsatz von Technologien zur Überwachung und Erkennung von Bedrohungen sowie die Umsetzung aller Grundschutzanforderungen entsprechend dem gewählten Vorgehensmodell (Basis-, Standard- oder Kernabsicherung).


==== Überprüfung (Check) ====
==== Überprüfung (Check) ====


In diesem Schritt werden die Ergebnisse gemessen und überprüft, um zu sehen, ob die Ziele erreicht wurden. Dies beinhaltet die Durchführung von Grundschutzchecks und Risikoanalysen, die Überprüfung von Sicherheitsprotokollen, die Durchführung von Penetrationstests oder die Durchführung von Sicherheits-Audits.
In diesem Schritt werden die Ergebnisse gemessen und überprüft, um festzustellen, ob die Ziele erreicht wurden. Dazu gehören die Durchführung von Grundschutzchecks und Risikoanalysen, die Überprüfung von Sicherheitsprotokollen, die Durchführung von Penetrationstests oder die Durchführung von Sicherheitsaudits.


==== Handlung (Act) ====
==== Handlung (Act) ====
Zeile 52: Zeile 52:


Es ist wichtig, dass die Ergebnisse der Überprüfungen dokumentiert werden, um sicherzustellen, dass die Erkenntnisse in zukünftigen Planungs- und Überprüfungszyklen berücksichtigt werden. Dieser Prozess wiederholt sich dann, um eine kontinuierliche Verbesserung der Sicherheit zu gewährleisten.
Es ist wichtig, dass die Ergebnisse der Überprüfungen dokumentiert werden, um sicherzustellen, dass die Erkenntnisse in zukünftigen Planungs- und Überprüfungszyklen berücksichtigt werden. Dieser Prozess wiederholt sich dann, um eine kontinuierliche Verbesserung der Sicherheit zu gewährleisten.
In diesem Schritt werden die Erkenntnisse aus dem Check genutzt, um die Prozesse und Systeme zu verbessern und die Sicherheitsziele erneut anzustreben.
* Korrekturmaßnahmen: Fehler und Schwachstellen, die während des Check identifiziert wurden, werden behoben. Dies kann durch technische oder organisatorische Maßnahmen geschehen.
* Anpassungen: Die Sicherheitskonzepte werden an veränderte Umstände oder neue Bedrohungen angepasst.
* Verbesserungen: Prozesse, Richtlinien und Systeme werden kontinuierlich verbessert, um die Sicherheit zu erhöhen und die Effizienz zu steigern.
Die Ergebnisse der Überprüfungen werden dokumentiert, um sicherzustellen, dass die Erkenntnisse in zukünftige Planungs- und Überprüfungszyklen einfließen. Dieser Prozess wiederholt sich fortlaufend, um eine kontinuierliche Verbesserung der Sicherheit zu gewährleisten.


=== Kontrolle ===
=== Kontrolle ===


''Beispiel BSI:'' Der Ansprechpartner kontrolliert die Umsetzung regelmäßig und kommuniziert den aktuellen Stand quartalsweise an das ISMS-Meeting.
Jährlich führt der Ansprechpartner eine Wirksamkeitsüberprüfung der bereits umgesetzten Maßnahmen im Hinblick auf die Zielerreichung durch; dabei soll geklärt werden, ob die Maßnahmen nicht nur im Hinblick auf die ursprüngliche Korrektur- oder Verbesserungsmaßnahme wirksam sind, sondern auch, ob sie effizient sind. Darüber hinaus ist zu prüfen, ob die Maßnahmen von den Mitarbeitern akzeptiert werden.


Jährlich führt der Ansprechpartner eine Wirksamkeitsüberprüfung bereits durchgeführter Maßnahmen im Hinblick auf die Zielerreichung durch; hier soll geklärt werden, ob die Maßnahmen nicht nur wirksam im Hinblick auf die ursprüngliche Korrektur- oder Verbesserungsmaßnahme wirken, sondern auch, ob sie effizient sind. Ferner soll geprüft werden, ob die Maßnahmen von den Mitarbeitern akzeptiert werden.
Ergeben sich aus der Wirksamkeitsüberprüfung neue Erkenntnisse, werden diese wiederum in die KVP-Liste aufgenommen.


Ergeben sich bei der Wirksamkeitsüberprüfung neue Sachverhalte, gehen diese wiederum in die KVP-Liste ein.
=== Messung ===
=== Messung ===
''Beschreibung zu den Regelungen zur Messung der Zielerreichung.''
''Beschreibung zu den individuellen Regelungen zur Messung der Zielerreichung.''


=== Dokumentation ===
=== Dokumentation ===
''Beschreibung von Art und Umfang der erforderlichen Dokumentation.''


== Schlussbestimmung ==
== Schlussbestimmung ==

Version vom 30. Juli 2023, 19:14 Uhr

Mustervorlage: "Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen"

Einleitung

Die Organisation hat ein Informationssicherheits-Managementsystem (ISMS) auf Basis des BSI-Standards 200-x (IT-Grundschutz) eingeführt. Zentraler Bestandteil des ISMS ist ein kontinuierlicher Verbesserungsprozess (KVP) zur Steuerung von Korrektur- und Vorbeugemaßnahmen.

Die vorliegende Richtlinie beschreibt die Anforderungen an eine kontinuierliche Weiterentwicklung und Verbesserung.

Geltungsbereich

Diese Richtlinie gilt für den KVP innerhalb des gesamten Informationssicherheits-Managementsystems (ISMS) der Organisation. Diese Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich.

Zielsetzung

Die Organisation folgt als Kern des KVP dem Verbesserungszyklus "Plan-Do-Check-Act", kurz PDCA.

Ziel der Organisation ist es, in kontinuierlichen Iterationen des PDCA-Zyklus aus erkannten Fehlern zu lernen, Schwächen zu erkennen und zu beseitigen und sich so kontinuierlich zu verbessern.

Alle Mitarbeitenden sind ausdrücklich aufgefordert, sich an diesem Prozess zu beteiligen, erkannte Schwachstellen oder Verbesserungspotenziale zu melden und aktiv zur Erhöhung des Sicherheitsniveaus beizutragen.

Prozessbeschreibung

Verantwortliche

Vorgehen im PDCA Zyklus

PDCA steht für Plan-Do-Check-Act und ist ein zyklischer Prozess zur Verbesserung von Prozessen und Systemen.

Planung (Plan)

In diesem Schritt werden die Sicherheitsanforderungen ermittelt und analysiert. Es werden Ziele und Pläne festgelegt, um die Sicherheitsrisiken zu minimieren. Dazu gehören die Einführung von Sicherheitsstandards, die Erstellung von Richtlinien, Konzepten und Notfallplänen.

Umsetzung (Do)

In diesem Schritt werden die Pläne in die Praxis umgesetzt. Dazu gehören die Implementierung von Sicherheitsmaßnahmen wie Zugangskontrollen, Mitarbeiterschulungen oder der Einsatz von Technologien zur Überwachung und Erkennung von Bedrohungen sowie die Umsetzung aller Grundschutzanforderungen entsprechend dem gewählten Vorgehensmodell (Basis-, Standard- oder Kernabsicherung).

Überprüfung (Check)

In diesem Schritt werden die Ergebnisse gemessen und überprüft, um festzustellen, ob die Ziele erreicht wurden. Dazu gehören die Durchführung von Grundschutzchecks und Risikoanalysen, die Überprüfung von Sicherheitsprotokollen, die Durchführung von Penetrationstests oder die Durchführung von Sicherheitsaudits.

Handlung (Act)

Act (Handlung): In diesem Schritt werden die Erkenntnisse aus der Überprüfung genutzt, um die Prozesse und Systeme zu verbessern und die Sicherheitsziele erneut anzustreben.

  • Korrekturmaßnahmen: Fehler und Schwachstellen, die während der Überprüfung identifiziert wurden, werden behoben. Dies kann durch technische oder organisatorische Änderungen erfolgen.
  • Anpassungen: Die Sicherheitskonzepte werden angepasst, um sich an veränderte Umstände oder neue Bedrohungen anzupassen.
  • Verbesserungen: Die Prozesse, Richtlinien und Systeme werden kontinuierlich verbessert, um die Sicherheit zu erhöhen und die Effizienz zu steigern.

Es ist wichtig, dass die Ergebnisse der Überprüfungen dokumentiert werden, um sicherzustellen, dass die Erkenntnisse in zukünftigen Planungs- und Überprüfungszyklen berücksichtigt werden. Dieser Prozess wiederholt sich dann, um eine kontinuierliche Verbesserung der Sicherheit zu gewährleisten.


In diesem Schritt werden die Erkenntnisse aus dem Check genutzt, um die Prozesse und Systeme zu verbessern und die Sicherheitsziele erneut anzustreben.

  • Korrekturmaßnahmen: Fehler und Schwachstellen, die während des Check identifiziert wurden, werden behoben. Dies kann durch technische oder organisatorische Maßnahmen geschehen.
  • Anpassungen: Die Sicherheitskonzepte werden an veränderte Umstände oder neue Bedrohungen angepasst.
  • Verbesserungen: Prozesse, Richtlinien und Systeme werden kontinuierlich verbessert, um die Sicherheit zu erhöhen und die Effizienz zu steigern.

Die Ergebnisse der Überprüfungen werden dokumentiert, um sicherzustellen, dass die Erkenntnisse in zukünftige Planungs- und Überprüfungszyklen einfließen. Dieser Prozess wiederholt sich fortlaufend, um eine kontinuierliche Verbesserung der Sicherheit zu gewährleisten.

Kontrolle

Jährlich führt der Ansprechpartner eine Wirksamkeitsüberprüfung der bereits umgesetzten Maßnahmen im Hinblick auf die Zielerreichung durch; dabei soll geklärt werden, ob die Maßnahmen nicht nur im Hinblick auf die ursprüngliche Korrektur- oder Verbesserungsmaßnahme wirksam sind, sondern auch, ob sie effizient sind. Darüber hinaus ist zu prüfen, ob die Maßnahmen von den Mitarbeitern akzeptiert werden.

Ergeben sich aus der Wirksamkeitsüberprüfung neue Erkenntnisse, werden diese wiederum in die KVP-Liste aufgenommen.

Messung

Beschreibung zu den individuellen Regelungen zur Messung der Zielerreichung.

Dokumentation

Beschreibung von Art und Umfang der erforderlichen Dokumentation.

Schlussbestimmung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung