Database Reference
In-Depth Information
ISMS-Verantwortlichen bauen als auch im ersten Jahr zumindest in dieser Phase noch
im Hintergrund bleiben, bevor das DSMS im Rahmen des 2-Jahres-Plans im nächsten
Jahr in allen Geschäftsbereichen vollständig ausgerollt worden ist.
SAP
Bei SAP erfolgt die Audit-Planung über das für das DSMS zuständige Security & Data
Protection Office, wobei insgesamt über ein an der ISO 19001 ausgerichtetes Audit-
Programmmanagement zahlreiche weitere Stellen eingebunden werden: So finden in
den Bereichen des DSMS auch Auditierungen anderer Managementsysteme (etwa ISO
9001 oder ISO 27001) statt, die an dieser Stelle berücksichtigt werden. Auch der Audit-
Prozess selbst wird regelmäßig evaluiert und verbessert. Für die Audit-Planung wird
wie folgt verfahren: Nachdem gemeinsam mit der Zertifizierungsstelle je nach Art von
Audit (Rezertifizierung oder Neuzertifizierung) die Prozesse und Lokationen ausge-
wählt wurden, wird der Zeitplan für die internen Audits und Management Reviews
festgelegt. Dabei werden interne Audits an allen Lokationen, in denen das DSMS eta-
bliert ist, durchgeführt. Mit den internen Audits wird nach Möglichkeit auch zeitnah
nach Erstellung des Audit Plans begonnen, um einen möglichst großen Zeitraum zur
Bearbeitung der Audit-Findings zurVerfügung zu haben. Aufgrund der vielen Pro-
zesse im Anwendungsbereich und den zahlreichen Lokationen (der SAP-Support ist
an 60 verschiedenen Standorten weltweit tätig) werden die externen Audits wiederum
schwerpunktmäßig in Lokationen mit mehr als 20 Mitarbeitern durchgeführt. Auch
die Möglichkeit zur Durchführung von Remote-Audits spielt eine Rolle bei der Aus-
wahl von Lokationen. Der Audit-Plan wird den Bereichsverantwortlichen vorgelegt
und bedarf deren Genehmigung, da mit den Audits interne Aufwände und auch Zerti-
fizierungsgebühren einhergehen. Auch die lokalen Datenschutzvertreter, die die Audits
vorbereiten und an der Durchführung mitwirken, werden frühzeitig eingebunden und
über ihre Aufgaben unterrichtet.
Mit dem Audit-Programm liegt eine solide Grundlage für die nun folgenden Aktivitäten
der Check-Phase vor, die mit den internen Audits beginnt.
Fazit
•
Die Überprüfung der Wirksamkeit des DSMS erfolgt analog den Best Practices für
etablierte Managementsysteme.
•
Die Auditierung des DSMS kann aus verschiedenen Perspektiven erfolgen (1st-,
2nd-, 3rd-Party bzw. durch die Aufsichtsbehörde).
•
Die Auditierung des DSMS erfolgt grundsätzlich über System-Audits, ergänzend
können andere Audit-Typen herangezogen werden.
•
Die Aktivitäten der Check-Phase des DSMS müssen in ein Audit-Programm
überführt werden.
Search WWH ::
Custom Search