Planung der Maßnahmen bei Abweichungen zur ISO-Norm
Der Ausgang von externen und internen Prüfungen resultiert oft in der Feststellung von Abweichungen von der vorgegebenen Norm. Diese Abweichungen müssen zunächst überprüft und verstanden werden, bevor geeignete Maßnahmen abgeleitet werden können. Ein strukturierter Ansatz ist essentiell, um Abweichungen durch nachhaltige Maßnahmen zu beheben. Häufig besteht jedoch Unsicherheit hinsichtlich der Definition der Maßnahmen. In vielen Fällen wird angenommen, dass eine einfache Beschreibung der Maßnahme ausreicht. Dies kann dazu führen, dass die Maßnahme unvollständig, verspätet oder sogar gar nicht umgesetzt wird.
Um dieses Risiko zu minimieren, sollten Maßnahmen gemäß der SMART-Methodik definiert werden. Diese Methode unterstützt dabei, den Fokus auf das Wesentliche zu behalten, ungesteuerten Aktionismus zu verhindern und Ressourcen effizient für die wichtigsten Maßnahmen einzusetzen. SMART steht dabei für: Spezifisch, Messbar, Ausführbar, Realistisch und Terminiert.
“Spezifisch” heißt, dass die Maßnahmen präzise und detailliert definiert werden müssen, um Unklarheiten zu vermeiden. “Messbar” bedeutet, dass die Maßnahmen so formuliert werden sollten, dass ihre Erfüllung überprüfbar ist. Die Maßnahme sollte “ausführbar” sein, das bedeutet, es muss klar sein, wer was tun muss, um die Maßnahme umzusetzen.
“Realistisch” meint, dass die Maßnahme erreichbar sein sollte, da utopische Ziele nur zu Frustration führen. Schließlich steht das “T” in SMART für “Terminiert”, was bedeutet, dass jede Maßnahme eine klar definierte Frist zur Umsetzung haben sollte. Meilensteine können dabei helfen, Verzögerungen frühzeitig zu erkennen und entsprechend einzugreifen.
Auf Basis des SMART-Prinzips wird sichergestellt, dass die Umsetzung anhand einer klaren Struktur erfolgt und die Ergebnisse nachvollziehbar abgeschlossen wurden. Im Kontext von Audits ist wichtig, dass die Maßnahmen nicht nur umgesetzt werden, sondern auch später nachvollzogen werden kann, welche Hintergründe die Maßnahmenumsetzung notwendig machten.
Zusammenfassung:
Es wurde bereits hingewiesen, dass die hier diskutierten Probleme keine abschließende Liste darstellen, sondern eher auf typische Fallstricke hinweisen. Um eine proaktive Handlungsweise zu gewährleisten oder besser vorbereitet zu sein, empfehlen wir Ihnen die Umsetzung folgender Punkte:
- Ein Grundverständnis für Informationssicherheit etablieren
- Die Bedeutung der Informationssicherheit in der gesamten Organisation vermitteln
- Bei allen Beteiligten das Bewusstsein für die fortlaufende Natur des Prozesses wecken
- Informationsquellen für Verständnisfragen bereitstellen
- Einen Ansprechpartner für Informationssicherheitsfragen bestimmen
- Frühzeitige und regelmäßige Kommunikation mit den Fachabteilungen gewährleisten
- Vorgaben in adressatengerechter Sprache formulieren
- Die SMART-Methodik bei der Planung von Maßnahmen anwenden
Wenn Sie Fragen haben oder Unterstützung bei Umsetzung Ihres ISMS möchten, sprechen Sie uns gerne an.
