Was ist die PDCA-Methode?
Der Ansatz von ISO 27001 basiert auf der PDCA-Methode (Plan-Do-Check-Act), einem Qualitätsmanagementansatz, der auch in anderen Standards wie beispielsweise ISO 9001 angewendet wird.
Der PDCA-Zyklus ist ein kontinuierlicher Verbesserungsprozess, der aus den folgenden vier Schritten besteht:
- Planung (Plan):
In diesem ersten Schritt wird eine Informationssicherheitspolitik erstellt und zukünftige Ziele und Prozesse für das Informationssicherheitsmanagement festgelegt. Es werden außerdem Risiken identifiziert und bewertet sowie ein Risikomanagementplan erstellt. - Umsetzung (Do):
Im zweiten Schritt werden die Prozesse, Kontrollen und Verfahren implementiert, die im Planungsprozess festgelegt wurden. Es werden unter anderem auch Schulungen und Sensibilisierungsmaßnahmen für die Mitarbeiter durchgeführt. - Überwachung und Überprüfung (Check):
In diesem dritten Schritt wird das Informationssicherheitsmanagementsystem überwacht und kontinuierlich überprüft, um sicherzustellen, dass es effektiv ist und den vorher festgelegten Anforderungen entspricht. Es werden außerdem interne Audits durchgeführt, um die Einhaltung der Standards so gut wie möglich zu überprüfen. - Kontinuierliche Verbesserung (Act):
In diesem letzten und vierten Schritt werden die Ergebnisse der Überwachung und Überprüfung des Informationssicherheitsmanagementsystems verwendet, um eventuelle Verbesserungen vorzunehmen. Des Weiteren werden Korrekturmaßnahmen ergriffen, um Schwachstellen im System zu beseitigen und das System weiterhin kontinuierlich zu verbessern.
Nähere Informationen zur PDCA-Methode erfährst du bei unseren ISO-27001-Foundation-Schulungen.