Der PDCA-Zyklus erklärt für Führungskräfte

Plan-Do-Check-Act klingt bürokratisch. In der Praxis bedeutet es: Schreib auf, was du tust, tue es, prüf ob es funktioniert, passe es an. Hier die kürzeste brauchbare Erklärung.

PDCA ist der rote Faden durch jedes ISMS. ISO 27001 erwartet, dass Sie diesen Zyklus anwenden. In der Praxis geschieht dies auf drei Ebenen: strategisch (Jahr), taktisch (Quartal), operativ (laufend).

Strategisch: jährlich

• Plan: Jahresplan mit 2–5 Sicherheitszielen.
• Do: Umsetzung im Laufe des Jahres.
• Check: Internes Audit + Management Review.
• Act: Der nächste Jahresplan berücksichtigt die Erkenntnisse.

Taktisch: Quartalsrhythmus

• Planung: Welche Controls brauchen in diesem Zeitraum Aufmerksamkeit?
• Umsetzung: Access Reviews, Backup-Tests, Policy-Updates.
• Check: Erkenntnisse sammeln, Risikoregister aktualisieren.
• Act: Korrekturmaßnahmen einplanen.

Operativ: laufend

Vorfälle protokollieren, Phishing-Tests durchführen, Vulnerability-Scans, Patches einspielen. Jede Woche gibt es irgendetwas zu tun.

Eine gemeinsame Grundregel

Halten Sie alle Zyklen (Jahr, Quartal, Woche) in demselben Kalender bzw. Tool fest. Ein ISMS, das nur in den Köpfen existiert, ist eines, das beim ersten Auditoren-Stress scheitert.

Siehe auch Was ist ein ISMS.