RiLi-KVP

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Mustervorlage: "Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen"

Einleitung

Die Organisation hat ein Managementsystems für Informationssicherheit (ISMS) auf Basis der BSI-Standards 200-x (IT-Grundschutz) etabliert. Ein zentraler Bestandteil eines ISMS ist ein Kontinuierlicher Verbesserungsprozess (KVP), um Korrektur-und Vorbeugemaßnahmen zu verwalten.

Diese Richtlinie beschreibt die Vorgaben für eine kontinuierliche Weiterentwicklung und Verbesserung.

Geltungsbereich

Die vorliegende Richtlinie gilt für den KVP innerhalb des gesamten Managementsystems für Informationssicherheit (ISMS) der Organisation. Diese Richtlinie ist für alle Mitarbeitenden der Organisation verbindlich.

Zielsetzung

Die Organisation verfolgt als Kern des KVP den "Plan-Do-Check-Act"-Verbesserungszyklus, kurz PDCA.

Ziel der Organisation ist es, in laufenden Iterationen des PDCA-Zyklus aus erkannten Fehlern zu lernen, Schwächen zu erkennen und zu beseitigen und sich so stetig zu verbessern.

Alle Mitarbeitenden sind ausdrücklich aufgefordert sich an diesem Prozess zu beteiligen und erkannte Schwächen oder Verbesserungspotenzial zu melden und aktiv zur Steigerung des Sicherheitsniveaus beizutragen.

Prozessbeschreibung

Verantwortliche

Vorgehen im PDCA Zyklus

PDCA steht für Plan-Do-Check-Act und ist ein zyklischer Prozess zur Verbesserung von Prozessen und Systemen.

Planung (Plan)

In diesem Schritt werden die Sicherheitsanforderungen identifiziert und analysiert. Ziele und Pläne werden festgelegt, um die Sicherheitsrisiken zu minimieren. Dies beinhaltet die Einführung von Sicherheitsstandards, die Erstellung von Richtlinien, Konzepten und Notfallplänen.

Durchführung (Do)

In diesem Schritt werden die Pläne in die Tat umgesetzt. Dies beinhaltet die Umsetzung von Sicherheitsmaßnahmen wie Zugangskontrollen, die Schulung von Mitarbeitern oder die Implementierung von Technologien zur Überwachung und Erkennung von Bedrohungen sowie die Umsetzung aller Grundschutzanforderungen gemäß dem gewählten Vorgehensmodell (Basis- Standard- oder Kernabsicherung).

Überprüfung (Check)

In diesem Schritt werden die Ergebnisse gemessen und überprüft, um zu sehen, ob die Ziele erreicht wurden. Dies beinhaltet die Durchführung von Grundschutzchecks und Risikoanalysen, die Überprüfung von Sicherheitsprotokollen, die Durchführung von Penetrationstests oder die Durchführung von Sicherheits-Audits.

Handlung (Act)

Act (Handlung): In diesem Schritt werden die Erkenntnisse aus der Überprüfung genutzt, um die Prozesse und Systeme zu verbessern und die Sicherheitsziele erneut anzustreben.

  • Korrekturmaßnahmen: Fehler und Schwachstellen, die während der Überprüfung identifiziert wurden, werden behoben. Dies kann durch technische oder organisatorische Änderungen erfolgen.
  • Anpassungen: Die Sicherheitskonzepte werden angepasst, um sich an veränderte Umstände oder neue Bedrohungen anzupassen.
  • Verbesserungen: Die Prozesse, Richtlinien und Systeme werden kontinuierlich verbessert, um die Sicherheit zu erhöhen und die Effizienz zu steigern.

Es ist wichtig, dass die Ergebnisse der Überprüfungen dokumentiert werden, um sicherzustellen, dass die Erkenntnisse in zukünftigen Planungs- und Überprüfungszyklen berücksichtigt werden. Dieser Prozess wiederholt sich dann, um eine kontinuierliche Verbesserung der Sicherheit zu gewährleisten.

Kontrolle

Beispiel BSI: Der Ansprechpartner kontrolliert die Umsetzung regelmäßig und kommuniziert den aktuellen Stand quartalsweise an das ISMS-Meeting.

Jährlich führt der Ansprechpartner eine Wirksamkeitsüberprüfung bereits durchgeführter Maßnahmen im Hinblick auf die Zielerreichung durch; hier soll geklärt werden, ob die Maßnahmen nicht nur wirksam im Hinblick auf die ursprüngliche Korrektur- oder Verbesserungsmaßnahme wirken, sondern auch, ob sie effizient sind. Ferner soll geprüft werden, ob die Maßnahmen von den Mitarbeitern akzeptiert werden.

Ergeben sich bei der Wirksamkeitsüberprüfung neue Sachverhalte, gehen diese wiederum in die KVP-Liste ein.

Messung

Dokumentation

Schlussbestimmung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung