Database Reference
In-Depth Information
der Erstimplementierung (siehe Abschn. 5.2.2). Auf Basis der bereits vorhandenen Erfah-
rungenlassensichdiemeistenderinFolgeanstehendenTätigkeiten(Risikoanalyse, Audits,
Reviewetc.) bereitsangemessenplanen, wobeidieserPlanfreilichunterdemVorbehaltder
ÄnderungbeiunvorhergesehenenEntwicklungensteht. BeinhaltensolltedieserJahresplan
die Zeiträume für die in diesem Unterkapitel beschriebenen Folgeschritte, insbesondere
ist die Planung auf das jährliche Überwachungs-/Rezertifizierungs-Audit auszurichten.
An dieser Stelle sind weiterhin die Verantwortlichen parallel laufender Managementsys-
teme einzubeziehen und die Zeitplanung abzustimmen (z.B. ISMS- und DSMS-Audits ge-
meinsam vornehmen, siehe Abschn. 5.2.8.1.2). Ausreichende Pufferzeiten sind ebenfalls
zu berücksichtigen. Der Jahresplan muss von den Verantwortlichen genehmigt und den
DSMS-Akteuren bekannt gemacht werden.
5.3.3 Risikoanalyse und Erstellung des Maßnahmenplans
Erneut ist eine umfangreiche Analyse und Neubewertung
aller
Risiken vorzunehmen.
Dabei wird es zwangsläufig zu Neubewertungen kommen, die ein aktuelleres Bild der
Risikosituation vermitteln, als es das bis dahin bestehende Risikoregister vermag. An
dieser Stelle der Neubewertung sind insbesondere die Erfahrungswerte aus der Erstim-
plementierung wichtig: Da viele Beteiligte Datenschutzrisiken am Anfang meist noch als
abstrakt wahrnehmen und daher in manchen Fällen pauschal mit (zu) niedriger Eintritts-
wahrscheinlichkeit klassifizieren, lässt sich über das bis hierhin erworbene Know-how ein
zunehmend realistischeres Bild der Risikosituation des Unternehmens beschreiben. Dieser
Lerneffekt im Laufe der Zeit ist sehr wichtig und zeigt, dass sich der risikoorientierte An-
satz des DSMS und der kontinuierliche Verbesserungsprozess ergänzen. Auch Prozesse,
die während der Erstimplementierung noch außen vor gelassen wurden, lassen sich jetzt
aufgrund freigewordener Ressourcen an dieser Stelle genauer analysieren.
Die neue Risikosituation wird wiederum im Risikoregister vermerkt und anschließend
wie bei der Erstimplementierung verfahren: Risikoakzeptanzkriterien müssen beschlossen
und nicht akzeptierbare Risiken auf ein vertretbares Niveau über entsprechende Maßnah-
men gesenkt werden. Dazu sind die Risiken den Risikoinhabern zuzuordnen sowie ein
Maßnahmenplan zu erstellen, der die Verantwortlichkeit zur Umsetzung der jeweiligen
Maßnahme gleich mitbestimmt. Häufig besteht an dieser Stelle dann auch die Möglichkeit,
die Akzeptanzkriterien abzusenken und solche Risiken in den Behandlungsplan zu inte-
grieren, welche während der Erstimplementierung aufgrund der begrenzten Ressourcen
nochaußenvorgelassenwurden. DamitsetztdasDSMSkonsequentdieRisikoorientierung
fort und führt über die Zeit zur Risikooptimierung im Bereich Datenschutz.
5.3.4 Dokumentenrevision
Auf Basis der Ergebnisse der Risikobehandlung werden schließlich gegen Ende der
Plan-Phase die Dokumente zum DSMS einer Revision unterzogen. Da Anpassungen
Search WWH ::
Custom Search