ISMS

PDCA-Zyklus im ISMS: Plan-Do-Check-Act in der Praxis

17 Min. Lesezeit
TL;DR
  • Der PDCA-Zyklus (Plan-Do-Check-Act) stammt von W. Edwards Deming und bildet das Fundament für kontinuierliche Verbesserung im ISMS nach ISO 27001.
  • Plan definiert Ziele, bewertet Risiken und plant Maßnahmen. Do setzt um. Check prüft die Wirksamkeit. Act korrigiert und verbessert.
  • Die meisten Organisationen beherrschen Plan und Do, vernachlässigen aber Check und Act. Genau dort entscheidet sich, ob ein ISMS lebt oder nur auf dem Papier existiert.
  • Das Management Review ist das zentrale Check-Instrument, das Maßnahmentracking das wichtigste Act-Werkzeug.
  • Ein konkretes Beispiel zeigt, wie ein Risiko (fehlende MFA bei VPN-Zugängen) den kompletten PDCA-Zyklus durchläuft.

Woher kommt der PDCA-Zyklus?

Der PDCA-Zyklus geht auf den amerikanischen Physiker und Statistiker W. Edwards Deming zurück, der ihn in den 1950er-Jahren als Werkzeug für systematische Qualitätsverbesserung popularisierte. Deming selbst nannte ihn den "Shewhart Cycle", nach seinem Mentor Walter A. Shewhart, der das Grundkonzept bereits in den 1930er-Jahren entwickelt hatte. In Japan, wo Deming nach dem Zweiten Weltkrieg die industrielle Qualitätsbewegung maßgeblich beeinflusste, wurde der Zyklus zum Kernelement von Kaizen (kontinuierliche Verbesserung) und prägte den Aufstieg der japanischen Fertigungsindustrie.

Die Grundidee ist bestechend einfach: Statt Probleme einmalig zu lösen und dann zum nächsten Thema weiterzuziehen, durchlaufen Verbesserungen einen endlosen Kreislauf aus Planung, Umsetzung, Überprüfung und Anpassung. Jede Iteration bringt das System ein Stück näher an den Idealzustand. Was in der industriellen Fertigung funktioniert hat, eignet sich hervorragend für Managementsysteme, und genau deshalb hat die ISO den PDCA-Zyklus zur strukturellen Grundlage aller modernen Managementsystem-Normen gemacht.

ISO 27001 hat in der Version 2013 den expliziten Verweis auf PDCA aus dem Normtext entfernt und stattdessen die High-Level Structure (Annex SL) eingeführt, die ein einheitliches Rahmenwerk für alle ISO-Managementsysteme bietet. Trotzdem ist der PDCA-Zyklus in der Struktur der Norm klar erkennbar: Die Abschnitte 4-7 decken "Plan" ab, Abschnitt 8 entspricht "Do", Abschnitt 9 ist "Check" und Abschnitt 10 steht für "Act". Die Logik bleibt identisch, nur die Verpackung hat sich geändert.

Die vier Phasen im ISMS-Kontext

Plan: Verstehen, bewerten, planen

Die Plan-Phase ist die Grundlage für alles, was folgt. Hier analysierst du den Kontext deiner Organisation, identifizierst interessierte Parteien und deren Anforderungen, definierst den Geltungsbereich deines ISMS und legst die Informationssicherheitspolitik fest. Der Kern der Plan-Phase ist die Risikobewertung: Du identifizierst Bedrohungen und Schwachstellen, bewertest die Wahrscheinlichkeit und die Auswirkungen möglicher Sicherheitsvorfälle und priorisierst die Risiken nach ihrer Kritikalität.

Auf Basis der Risikobewertung erstellst du den Risikobehandlungsplan. Für jedes Risiko, das über dem definierten Akzeptanzniveau liegt, wählst du eine Behandlungsoption (mitigieren, transferieren, vermeiden oder akzeptieren) und planst konkrete Maßnahmen. Dabei legst du fest, wer für die Umsetzung verantwortlich ist, bis wann die Maßnahme umgesetzt sein soll und welche Ressourcen dafür benötigt werden.

Die Plan-Phase endet nicht mit einer einmaligen Analyse. Bei jedem Durchlauf des Zyklus kehrst du hierher zurück, um die Risikolandschaft neu zu bewerten, Maßnahmen auf ihre Aktualität zu prüfen und neue Anforderungen einzuarbeiten. Typische Trigger für eine erneute Planungsphase sind veränderte Geschäftsprozesse, neue gesetzliche Anforderungen, Ergebnisse aus Audits oder Erkenntnisse aus Sicherheitsvorfällen.

Im ISMS gehört zur Plan-Phase:

  • Kontext der Organisation analysieren (ISO 27001, Abschnitt 4)
  • Geltungsbereich definieren
  • Informationssicherheitspolitik festlegen
  • Risikobewertung und Risikobehandlungsplanung durchführen
  • Statement of Applicability (SoA) erstellen
  • Sicherheitsziele und Maßnahmenpläne definieren
  • Ressourcen, Kompetenzen und Kommunikationswege planen

Do: Umsetzen, schulen, betreiben

Die Do-Phase bringt die Pläne in die Realität. Hier werden die geplanten Sicherheitsmaßnahmen implementiert, Richtlinien veröffentlicht, technische Controls konfiguriert und Mitarbeitende geschult. Das klingt straightforward, ist aber in der Praxis die Phase, in der die meisten Herausforderungen auftauchen. Denn zwischen einem gut formulierten Maßnahmenplan und der gelebten Umsetzung liegt oft eine erhebliche Kluft.

Ein typisches Beispiel: Du hast in der Plan-Phase beschlossen, Multi-Faktor-Authentifizierung für alle Remote-Zugänge einzuführen. Die Do-Phase umfasst dann die Auswahl und Beschaffung der MFA-Lösung, die technische Integration in die bestehende Infrastruktur, die Erstellung von Anleitungen und Schulungsmaterialien, die Pilotierung mit einer Testgruppe, den schrittweisen Rollout auf alle Nutzer und die Anpassung der entsprechenden Richtlinien.

Parallel zur Umsetzung einzelner Maßnahmen läuft in der Do-Phase der operative Betrieb des ISMS. Dazu gehören die Bearbeitung von Sicherheitsvorfällen, das Patch-Management, die Verwaltung von Berechtigungen, die Durchführung von Awareness-Schulungen und die laufende Dokumentation aller Aktivitäten. Die Do-Phase ist keine einmalige Implementierungsphase, sondern der Dauerzustand, in dem sich dein ISMS den Großteil der Zeit befindet.

Im ISMS gehört zur Do-Phase:

  • Sicherheitsmaßnahmen implementieren
  • Richtlinien und Verfahren einführen
  • Awareness-Schulungen durchführen
  • Technische Controls konfigurieren und betreiben
  • Sicherheitsvorfälle bearbeiten
  • Dokumentation pflegen
  • Operative Prozesse leben

Check: Messen, prüfen, bewerten

Die Check-Phase ist das Gewissen deines ISMS. Hier überprüfst du, ob die Maßnahmen aus der Do-Phase tatsächlich wirken, ob die definierten Sicherheitsziele erreicht werden und ob das ISMS insgesamt die Anforderungen der Norm erfüllt. Ohne eine ernsthafte Check-Phase wüsstest du nicht, ob deine Sicherheitsmaßnahmen nur auf dem Papier existieren oder tatsächlich einen Unterschied machen.

Die wichtigsten Instrumente der Check-Phase sind das interne Audit und das Management Review. Das interne Audit prüft systematisch, ob die dokumentierten Prozesse und Controls tatsächlich umgesetzt werden und die Normanforderungen erfüllen. Das Management Review bewertet auf Führungsebene die Gesamtperformance des ISMS anhand von KPIs, Audit-Ergebnissen, Incident-Berichten und veränderten Rahmenbedingungen.

Darüber hinaus gehören zur Check-Phase die regelmäßige Überwachung und Messung von Sicherheitskennzahlen (z.B. Anzahl der Sicherheitsvorfälle, Patch-Compliance, Schulungsquote), die Analyse von Log-Daten und Monitoring-Ergebnissen, die Überprüfung der Wirksamkeit einzelner Maßnahmen und die Auswertung von Penetrationstests oder Schwachstellenscans.

Im ISMS gehört zur Check-Phase:

  • Interne Audits durchführen (ISO 27001, Abschnitt 9.2)
  • Management Review abhalten (Abschnitt 9.3)
  • Sicherheitskennzahlen messen und auswerten (Abschnitt 9.1)
  • Wirksamkeit von Maßnahmen überprüfen
  • Audit-Feststellungen dokumentieren
  • Trends und Muster in Sicherheitsvorfällen analysieren
  • Konformität mit Richtlinien und Normanforderungen prüfen

Act: Korrigieren, verbessern, anpassen

Die Act-Phase schließt den Kreis und leitet den nächsten Durchlauf ein. Hier reagierst du auf die Erkenntnisse aus der Check-Phase: Du behandelst Nichtkonformitäten, leitest Korrekturmaßnahmen ein und implementierst Verbesserungen. Die Act-Phase ist der Motor der kontinuierlichen Verbesserung, denn sie stellt sicher, dass Probleme nicht nur erkannt, sondern auch behoben werden.

Für jede Nichtkonformität aus einem Audit oder jede Abweichung von den Sicherheitszielen führst du eine Ursachenanalyse durch. Wie du Audit-Feststellungen bewertest und Maßnahmen ableitest, ist dabei entscheidend. Warum ist das Problem aufgetreten? Liegt es an einem fehlerhaften Prozess, an mangelnder Schulung, an unzureichenden Ressourcen oder an einer veralteten Maßnahme? Die Korrekturmaßnahme adressiert nicht nur das Symptom, sondern die Ursache, damit dasselbe Problem nicht erneut auftritt.

Neben der Korrektur von Fehlern geht es in der Act-Phase auch um proaktive Verbesserungen. Vielleicht hat das Management Review ergeben, dass ein bestimmter Prozess zwar normkonform funktioniert, aber unnötig aufwändig ist. Oder eine neue Bedrohungslage erfordert zusätzliche Maßnahmen, die im ursprünglichen Plan nicht vorgesehen waren. Diese Erkenntnisse fließen in die nächste Plan-Phase ein und setzen den Kreislauf fort.

Im ISMS gehört zur Act-Phase:

  • Nichtkonformitäten behandeln (ISO 27001, Abschnitt 10.1)
  • Ursachenanalysen durchführen
  • Korrekturmaßnahmen definieren und umsetzen
  • Wirksamkeit der Korrekturmaßnahmen verifizieren
  • Verbesserungspotenziale identifizieren und umsetzen (Abschnitt 10.2)
  • Risikoregister und Behandlungspläne aktualisieren
  • Erkenntnisse in die nächste Plan-Phase überführen

Konkretes Beispiel: Ein Risiko durch den PDCA-Zyklus begleiten

Theorie wird greifbar, wenn du sie an einem konkreten Fall nachvollziehen kannst. Nehmen wir ein Risiko, das in vielen mittelständischen Unternehmen existiert: VPN-Zugänge für Remote-Arbeit sind nur mit Benutzername und Passwort geschützt, ohne Multi-Faktor-Authentifizierung.

Plan: Das Risiko erkennen und bewerten

Bei der jährlichen Risikobewertung identifiziert das ISMS-Team das Risiko "Kompromittierung von VPN-Zugangsdaten durch Phishing oder Credential Stuffing". Die Bewertung ergibt eine hohe Eintrittswahrscheinlichkeit (Phishing-Angriffe sind alltäglich und gestohlene Passwörter sind in großen Mengen im Darknet verfügbar) und hohe Auswirkungen (ein Angreifer mit VPN-Zugang hat Zugriff auf das interne Netzwerk und kann sich lateral bewegen).

Das Risiko wird als "hoch" eingestuft und die Behandlungsoption "mitigieren" gewählt. Die geplante Maßnahme: Einführung von MFA für alle VPN-Verbindungen. Als Risikoeigner wird der IT-Leiter benannt, als Umsetzungsfrist werden drei Monate festgelegt. Die geschätzten Kosten für Lizenzen und Implementierung werden im Risikobehandlungsplan dokumentiert und von der Geschäftsführung freigegeben.

Do: Die Maßnahme umsetzen

Der IT-Leiter evaluiert verschiedene MFA-Lösungen und entscheidet sich für eine TOTP-basierte Lösung mit einer Authenticator-App, weil sie kostengünstig ist, keine zusätzliche Hardware erfordert und sich gut in die bestehende VPN-Infrastruktur integrieren lässt. Die Implementierung läuft in Phasen ab: Zunächst wird die MFA-Lösung in einer Testumgebung konfiguriert und mit einer Pilotgruppe aus der IT-Abteilung getestet. Parallel erstellt das Team eine Schritt-für-Schritt-Anleitung für die Einrichtung der Authenticator-App.

Nach erfolgreicher Pilotphase wird MFA abteilungsweise ausgerollt. Jede Abteilung erhält eine kurze Einführungsschulung, und der Helpdesk wird auf typische Fragen und Probleme vorbereitet. Innerhalb von sechs Wochen sind alle 120 VPN-Nutzer auf MFA umgestellt. Die VPN-Konfiguration wird so angepasst, dass Verbindungen ohne zweiten Faktor ab einem definierten Stichtag abgelehnt werden. Die Passwort-Richtlinie und die Remote-Access-Richtlinie werden aktualisiert.

Check: Die Wirksamkeit überprüfen

Drei Monate nach dem vollständigen Rollout prüft das ISMS-Team die Wirksamkeit der Maßnahme. Die Überprüfung umfasst mehrere Perspektiven:

Technische Prüfung: Die VPN-Logs zeigen, dass tatsächlich keine Verbindung ohne MFA-Token mehr möglich ist. Ein Penetrationstest bestätigt, dass gestohlene Zugangsdaten allein nicht mehr für den VPN-Zugang ausreichen.

KPI-Messung: Die Anzahl erfolgreicher Login-Versuche mit kompromittierten Credentials ist auf null gesunken. Vorher gab es im Schnitt zwei verdächtige Login-Versuche pro Monat, die auf gestohlene Passwörter hindeuteten.

Nutzerfeedback: Die Helpdesk-Tickets zum Thema MFA sind nach einer anfänglichen Spitze im ersten Monat auf ein Minimum zurückgegangen. Zwei Mitarbeitende haben sich beschwert, dass der zusätzliche Schritt den Login verlangsamt, aber das ist operativ vertretbar.

Audit-Befund: Beim internen Audit wird festgestellt, dass fünf externe Dienstleister, die ebenfalls VPN-Zugang haben, noch nicht auf MFA umgestellt wurden, weil sie vertraglich noch an die alte Zugangsregelung gebunden sind.

Act: Korrigieren und verbessern

Auf Basis der Check-Ergebnisse werden zwei Maßnahmen abgeleitet. Erstens: Die fünf externen Dienstleister werden innerhalb von sechs Wochen auf MFA umgestellt, die Verträge werden entsprechend angepasst. Das ist eine Korrekturmaßnahme für die im Audit festgestellte Lücke.

Zweitens: Das ISMS-Team erkennt, dass die Maßnahme zwar wirksam ist, aber ein weiteres Risiko offenbart hat. TOTP-Codes können theoretisch durch Echtzeit-Phishing (Adversary-in-the-Middle) abgefangen werden. Als proaktive Verbesserung wird für den nächsten Planungszyklus die Migration auf FIDO2-basierte phishing-resistente Authentifizierung für privilegierte Accounts vorgeschlagen.

Diese Erkenntnisse fließen in das Risikoregister ein, das aktualisierte Restrisiko wird neu bewertet, und der nächste PDCA-Durchlauf beginnt mit einer angepassten Ausgangslage.

Warum Check und Act oft vernachlässigt werden

Die Erfahrung aus zahllosen ISMS-Projekten zeigt ein wiederkehrendes Muster: Organisationen investieren viel Energie in die Plan- und Do-Phase, verlieren dann aber die Motivation für Check und Act. Das hat mehrere Gründe, die sich gegenseitig verstärken.

Das Gefühl der Fertigstellung

Nach Monaten intensiver Arbeit an Richtlinien, Risikoanalysen und Maßnahmen fühlt es sich so an, als wäre die Arbeit getan. Die Richtlinien sind geschrieben, die Firewall ist konfiguriert, die Schulung ist durchgeführt. Der psychologische Drang, das Projekt als "abgeschlossen" zu verbuchen und sich dem nächsten Thema zuzuwenden, ist menschlich nachvollziehbar, aber für ein ISMS fatal. Ein ISMS ist kein Projekt mit Anfang und Ende, sondern ein dauerhafter Prozess.

Der Aufwand der Überprüfung

Maßnahmen umzusetzen fühlt sich produktiv an. Ihre Wirksamkeit zu messen fühlt sich oft wie Verwaltungsaufwand an. KPIs zu definieren, Audit-Pläne zu erstellen, Management Reviews vorzubereiten und Ergebnisse auszuwerten erfordert Zeit und Disziplin, liefert aber kein sichtbares "neues" Ergebnis. Gerade in kleinen Teams, die ohnehin unter Ressourcendruck stehen, wird die Check-Phase als erste gestrichen, wenn es eng wird.

Fehlende Konsequenzen

Wenn nach einem Audit keine ernsthaften Konsequenzen folgen, wenn Nichtkonformitäten zwar dokumentiert, aber nie wirklich behoben werden, und wenn das Management Review eine Pflichtübung ohne echte Diskussion ist, dann verliert der gesamte PDCA-Zyklus seine Wirkung. Die Act-Phase verkümmert zu einem Lippenbekenntnis, und die nächste Plan-Phase basiert auf veralteten Annahmen.

Was du dagegen tun kannst

Der Schlüssel liegt in der Institutionalisierung. Plane interne Audits und Management Reviews mit festen Terminen im Kalender, nicht als "machen wir, wenn wir Zeit haben". Definiere klare KPIs mit Zielwerten und überprüfe sie quartalsweise. Stelle sicher, dass jede Audit-Feststellung einen Verantwortlichen und eine Frist hat und dass die Umsetzung tatsächlich nachverfolgt wird. Und mache das Management Review zu einem echten Steuerungsinstrument, in dem die Geschäftsführung aktiv Entscheidungen trifft, statt nur Berichte zur Kenntnis zu nehmen.

Management Review als zentrales Check-Instrument

Das Management Review ist das wichtigste Instrument der Check-Phase und zugleich das Bindeglied zwischen operativem ISMS-Betrieb und strategischer Steuerung. ISO 27001 Abschnitt 9.3 definiert verbindlich, welche Inputs das Review berücksichtigen muss: den Status der Maßnahmen aus vorherigen Reviews, Veränderungen bei internen und externen Themen, Feedback zur Informationssicherheitsleistung (Incidents, KPIs, Audit-Ergebnisse) und Möglichkeiten zur Verbesserung.

Ein wirksames Management Review findet mindestens einmal jährlich statt, bei dynamischen Risikolandschaften auch halbjährlich oder quartalsweise. Es ist keine reine Informationsveranstaltung, sondern ein Entscheidungsforum: Die Geschäftsführung entscheidet über Ressourcenzuteilungen, Priorisierungen und strategische Anpassungen des ISMS. Das Protokoll des Management Reviews ist eine Pflichtdokumentation für die Zertifizierung und wird im externen Audit regelmäßig eingefordert.

Typische Entscheidungen aus einem Management Review sind die Freigabe zusätzlicher Budgets für neue Sicherheitsmaßnahmen, die Anpassung des Geltungsbereichs, die Neubewertung der Risikoakzeptanzkriterien oder die Beauftragung zusätzlicher Schulungsmaßnahmen. Damit das Review funktioniert, muss die ISB-Rolle die Ergebnisse so aufbereiten, dass die Geschäftsführung fundierte Entscheidungen treffen kann, ohne sich durch technische Details kämpfen zu müssen.

Maßnahmentracking als Act-Werkzeug

Wenn das Management Review das Herzstück der Check-Phase ist, dann ist ein konsequentes Maßnahmentracking das Herzstück der Act-Phase. Jede Maßnahme, die aus einer Risikobewertung, einem Audit, einem Sicherheitsvorfall oder einem Management Review entsteht, muss nachverfolgt werden: Wer ist verantwortlich? Bis wann soll die Maßnahme umgesetzt sein? Wie wird die Wirksamkeit überprüft? Was ist der aktuelle Status?

In der Praxis scheitert das Maßnahmentracking oft an zu vielen parallelen Systemen. Audit-Feststellungen landen in einer Excel-Tabelle, Risikobewertungen in einer anderen, Incident-Maßnahmen in einem Ticketsystem und Management-Review-Aufgaben in einem Protokoll. Das Ergebnis: Niemand hat den Überblick, Fristen werden übersehen und beim nächsten Audit stellt sich heraus, dass die Hälfte der Maßnahmen noch offen ist. Tools wie ISMS Lite bündeln alle Maßnahmen in einem zentralen Register mit Status, Fristen und Verantwortlichen 500 Euro pro Jahr, ohne Seat-Lizenzen, sodass der PDCA-Zyklus nicht an der Dokumentation scheitert.

Ein zentrales Maßnahmenregister, in dem alle Maßnahmen unabhängig von ihrer Quelle erfasst und nachverfolgt werden, löst dieses Problem. Es sollte mindestens diese Informationen pro Maßnahme enthalten: Beschreibung, Quelle (Risiko, Audit, Incident, Review), Verantwortlicher, Frist, Status, Nachweis der Umsetzung und Bewertung der Wirksamkeit. Regelmäßige Statusberichte an die Geschäftsführung schaffen Transparenz und Verbindlichkeit.

Praktische Umsetzung im Alltag

PDCA im Kleinen

Der PDCA-Zyklus muss nicht immer den großen Bogen vom Jahresaudit bis zum Management Review spannen. Er funktioniert genauso im Kleinen: Ein Mitarbeiter meldet eine verdächtige E-Mail (Check). Der ISB analysiert die E-Mail und stellt fest, dass der Spam-Filter sie nicht erkannt hat (Act/Plan). Die Filter-Regeln werden angepasst (Do). Nach einer Woche wird geprüft, ob ähnliche E-Mails jetzt korrekt gefiltert werden (Check). Dieser Mikro-PDCA dauert Tage statt Monate und hält das ISMS auch zwischen den großen Reviews lebendig.

PDCA als Denkmodell

Unabhängig von formalen Prozessen lohnt es sich, PDCA als Denkmodell zu verinnerlichen. Bevor du eine Maßnahme umsetzt: Hast du das Problem wirklich verstanden und den richtigen Lösungsansatz gewählt (Plan)? Nach der Umsetzung: Hast du überprüft, ob die Maßnahme tatsächlich wirkt (Check)? Und wenn nicht: Hast du die Ursache analysiert und den Ansatz angepasst (Act)?

Dieses Denkmuster verhindert den häufigsten Fehler in der Informationssicherheit, nämlich Maßnahmen zu implementieren und dann nie wieder hinzuschauen. Firewalls, die einmal konfiguriert und nie wieder überprüft werden. Richtlinien, die einmal geschrieben und nie aktualisiert werden. Schulungen, die einmal gehalten und nie wiederholt werden. PDCA ist das Gegenmittel gegen dieses "Set and Forget"-Syndrom.

Häufigkeit der Zyklen

Es gibt keinen festen Takt für den PDCA-Zyklus. ISO 27001 schreibt vor, dass interne Audits und Management Reviews "in geplanten Abständen" stattfinden müssen, ohne einen konkreten Rhythmus vorzugeben. In der Praxis hat sich für die meisten mittelständischen Unternehmen ein jährlicher Hauptzyklus bewährt, ergänzt durch quartalsweise KPI-Reviews und anlassbezogene Mini-Zyklen bei Sicherheitsvorfällen oder wesentlichen Veränderungen.

Entscheidend ist nicht die Häufigkeit, sondern die Ernsthaftigkeit. Ein gründlicher PDCA-Durchlauf pro Jahr bringt mehr als vier oberflächliche. Gleichzeitig darf der Abstand zwischen den Zyklen nicht so groß werden, dass Probleme monatelang unerkannt bleiben. Die richtige Balance findest du durch die Erfahrung der ersten ein bis zwei Zyklen: Wenn das Management Review zu viele überraschende Erkenntnisse liefert, ist der Abstand zu lang. Wenn kaum neue Erkenntnisse auftauchen, kann der Abstand möglicherweise verlängert werden.

Der erste Zyklus ist der schwierigste

Beim erstmaligen Aufbau eines ISMS ist der erste PDCA-Durchlauf naturgemäß der aufwändigste. Die Plan-Phase umfasst die komplette Risikoerstbewertung, die Do-Phase die Implementierung aller grundlegenden Maßnahmen, die Check-Phase das erste interne Audit und das erste Management Review. Ab dem zweiten Zyklus wird es einfacher, weil du auf bestehenden Strukturen aufbaust und nur noch die Veränderungen seit dem letzten Durchlauf betrachtest.

Lass dich vom Aufwand des ersten Zyklus nicht abschrecken. Der Wert des PDCA-Ansatzes zeigt sich erst ab dem zweiten oder dritten Durchlauf, wenn du merkst, dass dein ISMS tatsächlich besser wird: Risiken werden präziser bewertet, Maßnahmen wirken zielgenauer, Audits verlaufen reibungsloser und das Sicherheitsniveau steigt messbar. Genau das ist der Unterschied zwischen einem lebendigen ISMS und einer Sammlung von Dokumenten, die im Regal verstaubt.

Weiterführende Artikel

PDCA Zyklus ISMS Plan Do Check Act Beispiel Kontinuierliche Verbesserung ISMS ISO 27001 PDCA Deming-Zyklus

PDCA-Zyklus automatisiert umsetzen

ISMS Lite bildet den gesamten PDCA-Zyklus ab: von der Risikoanalyse über die Maßnahmenplanung bis zum Management Review und Maßnahmentracking. So wird kontinuierliche Verbesserung zur Routine statt zur Ausnahme.

Jetzt installieren