RiLi-KVP

Aus ISMS-Ratgeber WiKi
Version vom 3. August 2024, 08:23 Uhr von Dirk (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Die Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen beschreibt den kontinuierlichen Verbesserungsprozess (KVP) nach dem PDCA-Zyklus. Sie umfasst die Planung, Umsetzung, Überprüfung und Anpassung von Maßnahmen zur kontinuierlichen Verbesserung der Informationssicherheit und Effizienz.

Einleitung

Die Organisation hat ein Informationssicherheits-Managementsystem (ISMS) auf Basis des BSI-Standards 200-x (IT-Grundschutz) eingeführt. Zentraler Bestandteil des ISMS ist ein kontinuierlicher Verbesserungsprozess (KVP) zur Steuerung von Korrektur- und Vorbeugemaßnahmen.

Die vorliegende Richtlinie beschreibt die Anforderungen an eine kontinuierliche Weiterentwicklung und Verbesserung.

Geltungsbereich

Diese Richtlinie gilt für den KVP innerhalb des gesamten Informationssicherheits-Managementsystems (ISMS) der Organisation. Diese Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich.

Zielsetzung

Die Organisation folgt als Kern des KVP dem Verbesserungszyklus "Plan-Do-Check-Act", kurz PDCA.

Ziel der Organisation ist es, in kontinuierlichen Iterationen des PDCA-Zyklus aus erkannten Fehlern zu lernen, Schwächen zu erkennen und zu beseitigen und sich so kontinuierlich zu verbessern.

Alle Mitarbeitenden sind ausdrücklich aufgefordert, sich an diesem Prozess zu beteiligen, erkannte Schwachstellen oder Verbesserungspotenziale zu melden und aktiv zur Erhöhung des Sicherheitsniveaus beizutragen.

Prozessbeschreibung

Verantwortliche

Vorgehen im PDCA Zyklus

PDCA steht für Plan-Do-Check-Act und ist ein zyklischer Prozess zur Verbesserung von Prozessen und Systemen.

Planung (Plan)

In diesem Schritt werden die Sicherheitsanforderungen ermittelt und analysiert. Es werden Ziele und Pläne festgelegt, um die Sicherheitsrisiken zu minimieren. Dazu gehören die Einführung von Sicherheitsstandards, die Erstellung von Richtlinien, Konzepten und Notfallplänen.

Umsetzung (Do)

In diesem Schritt werden die Pläne in die Praxis umgesetzt. Dazu gehören die Implementierung von Sicherheitsmaßnahmen wie Zugangskontrollen, Mitarbeiterschulungen oder der Einsatz von Technologien zur Überwachung und Erkennung von Bedrohungen sowie die Umsetzung aller Grundschutzanforderungen entsprechend dem gewählten Vorgehensmodell (Basis-, Standard- oder Kernabsicherung).

Überprüfung (Check)

In diesem Schritt werden die Ergebnisse gemessen und überprüft, um festzustellen, ob die Ziele erreicht wurden. Dazu gehören die Durchführung von Grundschutzchecks und Risikoanalysen, die Überprüfung von Sicherheitsprotokollen, die Durchführung von Penetrationstests oder die Durchführung von Sicherheitsaudits.

Handlung (Act)

Act (Handlung): In diesem Schritt werden die Erkenntnisse aus der Überprüfung genutzt, um die Prozesse und Systeme zu verbessern und die Sicherheitsziele erneut anzustreben.

  • Korrekturmaßnahmen: Fehler und Schwachstellen, die während der Überprüfung identifiziert wurden, werden behoben. Dies kann durch technische oder organisatorische Änderungen erfolgen.
  • Anpassungen: Die Sicherheitskonzepte werden angepasst, um sich an veränderte Umstände oder neue Bedrohungen anzupassen.
  • Verbesserungen: Die Prozesse, Richtlinien und Systeme werden kontinuierlich verbessert, um die Sicherheit zu erhöhen und die Effizienz zu steigern.

Es ist wichtig, dass die Ergebnisse der Überprüfungen dokumentiert werden, um sicherzustellen, dass die Erkenntnisse in zukünftigen Planungs- und Überprüfungszyklen berücksichtigt werden. Dieser Prozess wiederholt sich dann, um eine kontinuierliche Verbesserung der Sicherheit zu gewährleisten.


In diesem Schritt werden die Erkenntnisse aus dem Check genutzt, um die Prozesse und Systeme zu verbessern und die Sicherheitsziele erneut anzustreben.

  • Korrekturmaßnahmen: Fehler und Schwachstellen, die während des Check identifiziert wurden, werden behoben. Dies kann durch technische oder organisatorische Maßnahmen geschehen.
  • Anpassungen: Die Sicherheitskonzepte werden an veränderte Umstände oder neue Bedrohungen angepasst.
  • Verbesserungen: Prozesse, Richtlinien und Systeme werden kontinuierlich verbessert, um die Sicherheit zu erhöhen und die Effizienz zu steigern.

Die Ergebnisse der Überprüfungen werden dokumentiert, um sicherzustellen, dass die Erkenntnisse in zukünftige Planungs- und Überprüfungszyklen einfließen. Dieser Prozess wiederholt sich fortlaufend, um eine kontinuierliche Verbesserung der Sicherheit zu gewährleisten.

Kontrolle

Jährlich führt der Ansprechpartner eine Wirksamkeitsüberprüfung der bereits umgesetzten Maßnahmen im Hinblick auf die Zielerreichung durch; dabei soll geklärt werden, ob die Maßnahmen nicht nur im Hinblick auf die ursprüngliche Korrektur- oder Verbesserungsmaßnahme wirksam sind, sondern auch, ob sie effizient sind. Darüber hinaus ist zu prüfen, ob die Maßnahmen von den Mitarbeitern akzeptiert werden.

Ergeben sich aus der Wirksamkeitsüberprüfung neue Erkenntnisse, werden diese wiederum in die KVP-Liste aufgenommen.

Messung

Beschreibung zu den individuellen Regelungen zur Messung der Zielerreichung.

Dokumentation

Beschreibung von Art und Umfang der erforderlichen Dokumentation.

Schlussbestimmung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung