Der PDCA (plan, do, check, act)-Zyklus ist eine Methode um Prozesse durch lernen und verändern kontinuierlich zu verbessern.
Planung und Zielsetzung (Plan)
In den ersten Gesprächen mit der obersten Leitung erfassen wir die Ziele, die interessierten Parteien (Stakeholder) und definieren gemeinsam mit Ihnen den Anwendungsbereich.
In einem Vorgespräch besprechen wir die firmeninterne Unterstützung auf allen Ebenen des Unternehmens und definieren im zweiten Schritt den Anwendungsbereich des ISMS.
Danach werden Maßnahmen zum Umgang mit Risiken festgelegt und Informationssicherheitsziele und deren Erreichung geplant.
Welche Sicherheitsmaßnahmen sind bereits vorhanden?
Mittels einer GAP-Analyse werden bereits vorhandene Sicherheits- und Qualitätsmanagementsysteme auf ihre Ausbaufähigkeit und weitere Verwendung innerhalb des ISMS geprüft. Dieser „Status Quo“ wird in einem aussagekräftigen Bericht dokumentiert und besprochen. So können die Ergebnisse und Anforderungen mit einem wirtschaftlich und zeitlich angemessenen Unternehmensziel in Einklang gebracht werden. Der Umfang des Projekts wird unter Berücksichtigung der Rahmenbedingungen angepasst.
Dabei besprechen wir auch die Mitwirkungsleistung je nach Ihren Möglichkeiten und der unternehmensintern gewünschten Beteiligung. Das ermöglicht Ihnen Ihre Ressourcen im Überblick zu behalten.
Umsetzung und Betrieb (Do)
Nachdem Prozesse und Verfahren geplant sind geht es an die Umsetzung. Dabei liegt das Augenmerk auf betrieblicher Planung und Steuerung sowie der Risikobeurteilung und Risikoanalyse.
Wichtig dabei ist die Einbeziehung von unternehmerischen Ressourcen und Kompetenzen, sowie der internen Kommunikation.
Wir erstellen den Entwurf der Anwendbarkeitserklärung (SoA – Statement of Applicability) und führen ihn kontinuierlich während des gesamten Projekts weiter.
In der Umsetzungsphase werden die geforderten technischen- und organisatorischen Maßnahmen (TOM/Controls) aufgenommen und Verfahren und Prozesse ausgestaltet.
Analyse und Kontrolle (Check)
In der nächsten Phase wird die bereits umgesetzte Leistung bewertet, gemessen und analysiert. Durch die Entwicklung firmenrelevanter Kennzahlensysteme (KPI`s) lässt sich die Effektivität eines ISMS messen und die systematische Verbesserung der Maßnahmen überwachen und steuern. Diese werden u.a. durch interne Audits unter eigener Verantwortung des Unternehmens durchgeführt, um die Reife Ihres ISMS zu überprüfen.
Hier stehen wir Ihnen als externer Auditor zur Seite und führen Ihre firmeninternen Audits durch.
Optimierung und Verbesserungsprozess (Act)
An diesem Punkt wird mittels der durch die Analyse und Kontrolle erlangten Erkenntnisse reagiert und ein systematischer Verbesserungsprozess angestoßen und umgesetzt.
Sollten Anforderungen im Rahmen des ISMS nicht erfüllt sein, kann das Unternehmen darauf aktiv reagieren und weitere Maßnahmen zur Überwachung und Verbesserung durchführen.
Der PDCA-Zyklus findet fortlaufend statt, deshalb spricht man hier von einem kontinuierlichen Verbesserungsprozess.