Moin.
Ich habe mir die bisher veröffentlichten 360+ Einzelmaßnahmen in den Referenzmaßnahmen-Bausteinen des SDM 2.0b angesehen. Dazu kurz zwei systemische Fragen:
- Ich konnte mehrere Doppelungen von Einzelmaßnahmen ausmachen. Sie diese bewusst gewählt?
a) Löschkonzept: M42.P22 und M60.P03
b) Entgegennahme von Anträge unabhängig von ihrer Form: M61.P12, M62.P03
c) Prozess zur Identitätsprüfung von Antragstellern : M61.P14, M62.P05
- MUSS-/KANN-/SOLL-Klassifizierung
Ich habe begonnen die Einzelmaßnahmen nach ihrer Verbindlichkeit in MUSS/KANN/SOLL einzustufen, musste aber leider abbrechen: Die Bausteine halten diese Einstufungslogik nicht stringent durch.
Beispiele:
a) Baustein 11 (Aufbewahrung), Seite 7: “Für Daten mit hohem Schutzbedarf MÜSSEN regelmäßig Inventurprozesse angestoßen werden um sicherzustellen, dass der Beweiswert nicht durch veraltete kryptographische Verfahren verloren geht” - es findet sich zu dieser Maßnahme keine Referenz-ID. Entweder ist diese Maßnahme neu oder sie gehört zu M11.D01
b) wie a), Seite 8: “Beim Einsatz von Virtualisierungs- und Emulationstechniken MUSS
der Verantwortliche durch geeignete Trennungen sicherstellen, dass die Nichtverkettung
auch auf einem Hostsystem nicht unterlaufen wird. Zudem sind regelmäßige Tests auf Verfügbarkeit und Lesbarkeit angebracht. Die gewählte Aufbewahrungsstrategie MUSS dokumentiert sein und die Speicherungsorte SOLLTEN ausdrücklich festgelegt sein” - auch hier fehlt die Referenz-ID.
c) Baustein 50 (Trennung), Seite 6: “Verantwortliche MÜSSEN durch die Einrichtung und Wahrung zweckgerichteter Einheiten (Abteilungen, Referate, Arbeitsgruppen) sicherstellen, dass die zweckgemäßen Verarbeitungen personenbezogener Daten auf der Ebene der Sachbearbeitung einer
Organisation durch entsprechende organisatorische Einteilungen ordnungsgemäß umgesetzt
werden können” - auch hier fehlt die Referenz-ID.
Bitte nicht falsch verstehen: an vielen Stellen wird die Zuordnung mit klarer Referenz-ID vorgenommen. Nur durch die Vermischung mit Absätzen oder Sätzen die ein “soll”, “kann”, “muss” ohne Referenz-ID enthalten und teils in neuen Absätzen eingebracht sind, verwirrt mich das als Anwender. Es sind bereits 360+ Einzelmaßnahmen, da bleibt mir als Anwender ehrlich gesagt keine Zeit, mich auch noch mit nicht referenzierten Passagen und ihrer Bedeutung/Zuordnung zu beschäftigen.
Ich würde mir bei einer (redaktionellen) Überarbeitung wünschen, dass es eine übersichtliche/deutliche Trennung bzw. Konsolidierung gibt. Beispiel: visuelle Trennung von Maßnahmen mit Referenz-ID mit klarer Soll/Kann/Muss-Zuordnung einerseits und deskriptiven Texten mit eindeutigen Hinweis dazu andererseits?
Ich freue mich auf eine Weiterentwicklung. Ich stecke noch in der Meta-Analyse des SDM, habe aber bereits vernommen, dass auch das KDM auf Basis des SDM wächst und wächst. An dieser Stelle ist daher auch ein deutliches Lob an das gesamte daran beteiligte Team gerichtet, dass hier mit den vermutlich eh begrenzten Ressourcen versucht ein operationalisierbares Managementmodell auf die Beine zu stellen. Danke!