Risikoansatz & PDCA
Grundlagen
Risikobasiert denken
Der wichtigste Grundgedanke von ISO/IEC 27001: Sicherheit richtet sich nach Risiken, nicht nach einer starren Checkliste. Statt „installiere Maßnahme X, weil es alle tun" fragt das ISMS: Welche Bedrohungen treffen welche Werte, wie wahrscheinlich ist das, und wie groß wäre der Schaden? Erst aus dieser Antwort folgen die passenden Maßnahmen.
Ein Risiko entsteht, wenn eine Bedrohung eine Schwachstelle eines Wertes (Asset) ausnutzt. Bewertet wird es meist über zwei Achsen:
Risiko ≈ Eintrittswahrscheinlichkeit × Schadensausmaß
Details zur Methodik folgen in Risikobeurteilung und Risikobehandlung.
Der PDCA-Zyklus
Ein ISMS ist kein Projekt mit Enddatum, sondern ein Kreislauf. Die Norm folgt dem PDCA-Zyklus (Plan–Do–Check–Act), auch Deming-Kreis genannt:
| Phase | Bedeutung | Klauseln in 27001 |
|---|---|---|
| Plan | Kontext klären, Risiken beurteilen, Maßnahmen planen | 4, 5, 6, 7 |
| Do | Maßnahmen umsetzen, Betrieb durchführen | 8 |
| Check | Überwachen, messen, intern auditieren, Management-Review | 9 |
| Act | Abweichungen korrigieren, fortlaufend verbessern | 10 |
┌──────────► PLAN ──────────┐
│ ▼
ACT DO
▲ │
└────────── CHECK ◄──────────┘
(immer wieder von vorne)
Warum ein Kreislauf?
Bedrohungen, Technik und das Geschäft ändern sich ständig. Eine Maßnahme, die heute passt, kann morgen unzureichend sein. Der PDCA-Zyklus zwingt die Organisation, regelmäßig zu prüfen und nachzusteuern – das ist die geforderte fortlaufende Verbesserung.
Die Verbindung zu den Klauseln
Genau in dieser PDCA-Logik sind die Klauseln 4–10 aufgebaut. Wenn du den Zyklus verstanden hast, ergibt die Reihenfolge der Anforderungen sofort Sinn: erst planen (Kontext, Führung, Risiken), dann tun (Betrieb), dann prüfen (Bewertung), dann verbessern.
In welcher PDCA-Phase werden interne Audits und das Management-Review durchgeführt?