Standard-Datenschutzmodell (SDM) - Thread für Fragen zum SDM (aktuell V2.0b)

Moin.

Ich komme öfters mit dem #SDM und den Referenzmaßnahmen in Berührung und würde mich gerne über innerhalb dieses Themas mit euch über Einzelfragen zum SDM V2.0b austauschen. Ggf. macht es Sinn die Fragen dazu hier zu kanalisieren.

Beispiel: neue Frage/Facette zu SDM V2.0b wird als direkte Antwort/Zitat zum Ausgangsbeitrag in eckiger Klammer und Nummerierung gesetzt. Wenn das nicht den Board-Regeln entspricht, bitte kurze Info.

Ggf. können wir die hier diskutierten Fragen ja auch generisch an das ULD/die DSK weitergeben, wenn das bei der Fortentwicklung hilft. :slight_smile:

1 „Gefällt mir“

Ich starte mal mit Frage [1]: PDCA

Jeder Maßnahmen in den Referenz-Bausteinen wird mindestens eine Phase nach dem PDCA-Zyklus zugeteilt. In der Gesamtschau hat das SDM 50% “Plan”, 30% “Do”, fast 20% “Check” und < 1% “Act”-Maßnahmen, wenn ich das richtig überschlagen habe. - ist das mit Blick auf andere Managementmodelle, die ihr kennt, eine ‘normale’ Verteilung oder ist an der Verteilung systemisch etwas auszusetzen?

Nach meiner Erfahrung ist die “normale” Verteilung selten die ursprünglich vorgesehene. Die Theorie der Modelle scheitert regelmäßig an der Praxis. Angenommen, es fehlt ein Rechte/Rollenkonzept. Eine Umsetzung kann in dem Fall wesentlich aufwendiger sein als die Planung. Wenn man den PDCA allein auf die Tätigkeiten des DSB abbildet, dürfte die Verteilung stimmen.
Was genau ist der Sinn der Frage? Eine Verifikation durch Gegenüberstellung oder das Finden eines anderen Modells?

Guter Punkt!

Momentan ist das eine theoretische Frage. Ich gucke mir die einzelnen Bestandteile des SDM aktuell aus einer Meta-Sicht an. Verteilungen wie die o.g. helfen ggf. bei Vergleichen mit anderen Management-Modellen und der beliebten Frage des Risk-Owners, was Modell A von Modell B im Detail unterscheidet.

P.S.: ich weiß, dass alleine quantitative Kennzahlen ohne Kontext nicht so einfach verwertbar sind. Wie geschrieben, ich bin noch auf dem Weg. :slight_smile:

Ich würde Prozesse(Modelle) nicht über die % Kennzahlen des PDCA vergleichen. Für mich (ich mache einiges im Bereich ISO), ist der PDCA gesund, wenn er ausgewogen ist. Was hilft viele Planung wenn das ACT nicht erfolgt.

Das ist richtig. Ich hatte mich nur gefragt, ob es irgendwelche Gesetzmäßigkeiten bei Managementsystemen gibt, die Aufschluss über die Verteilung / Gewichtung der PDCA-Schritte geben. Was würdest du unter ‘ausgewogen’ verstehen?

Kennst du ggf. Versuche, Managementsysteme anhand von Metriken miteinander zu vergleichen?

PDCA wendet man auf jeden Prozess an.
Du planst einen Prozess, den setzt du um. Im Anschluss hast du dein Check und ggf. Korrekturmaßnahmen. Somit sollte es, über ein Unternehmen im Idealfall so sein das alle Prozesse geplant werden vor der Umsetzung. P/D =100%, dann werden alle Prozesse geprüft C=100% und daraus leiten sich Maßnahmen ab. Im Zuge der kontinuierlichen Verbesserung (KVP) kann man das Verbessern als Maßnahme sehen A=100%

Mir würde kein Sinn dazu einfallen. Jedes Managementsystem verfolgt einen anderen Zweck.

9001 = Allgemein Produktion, Büro
13485 = Medizintechnik
27001 = Informationssicherheit
Die kann man untereinander “verschachteln” und IMS-Systeme aufbauen.

Schaue ich mir nur das Thema Informationssicherheit an, gibt es ein
Managementsystem was normativ ist: 27001.
Hier könnte man aber Aufwand/ Nutzen/ Sicherheit vergleichen mit
BSI Grundschutz
SDM
CISIS

Da rate ich aber Kunden zu dem “was passt” und was ggf. gefordert wird.

Ich hoffe, ich habe nicht zu weit am Thema vorbei geantwortet.
Wenn ich dein Problem besser versehe, habe ich ggf. mehr Senf den ich dazu geben kann.

Vielen Dank für den ganzen Input @MKO. Ich merke schon, ich brauche mehr Kenntnisse im Prozessmanagement. :slight_smile:

1 „Gefällt mir“

Wenn ich dir was helfen kann, gene P/N.

1 „Gefällt mir“