VdS 10000 - Training on the job! (Update)
Das Problem:
Die Umsetzung der VdS 10000 ist eine komplexe Aufgabe. Ob sie in Angriff genommen wird und ob sie dann auch erfolgreich verläuft, hängt nicht nur vom Wissen rund um die VdS 10000 ab. Vielmehr spielen weitere Faktoren wie eine strukturierte Vorgehensweise, die Beachtung grundlegender Prinzipien und die bereits bestehende Erfahrung mit der Umsetzung eines ISMS eine wichtige Rolle. Organisationen und Berater sind angesichts dieser Anforderungen häufig unsicher.
Die Idee:
Ich werde für die Umsetzung der VdS 10000 eine Begleitung unter dem Namen „Training-on-the-Job“ anbieten. Die Begleitung richtet sich an mehrere Kunden gleichzeitig. Ziel ist es, die Umsetzung der VdS zu einem definierten Zeitpunkt gemeinsam zu beginnen und sie zu einem definierten Zeitpunkt gemeinsam erfolgreich abzuschließen. Dabei ist es egal, ob die VdS 10000 im eigenen Unternehmen/der eigenen Organisation implementiert werden soll, oder ob es sich um ein Kundenprojekt handelt (Berater und Systemhäuser sind herzlich willkommen).
Die Vorgehensweise:
- Es findet sich eine Gruppe zusammen, deren Teilnehmer ein Ziel haben: die VdS 10000 zu einem Stichtag möglichst effizient umzusetzen.
- Start und Ende der Umsetzung sind fix (wenige Monate), damit alle Beteiligten Planungssicherheit haben.
- Die Umsetzung ist in mehrere Phasen gegliedert. Am Anfang jeder Phase findet über das Internet ein Seminar statt, in dem die anstehenden Aufgaben erläutert, mögliche Fallstricke aufgezeigt und konkrete Lösungsmöglichkeiten vorgestellt werden. Das Seminar ist in zwei jeweils halbtägige Veranstaltungen unterteilt, damit die Teilnehmer nicht zu lange aus dem Tagesgeschäft gerissen werden und sie zwischen dem ersten und dem zweiten Seminarteil die Möglichkeiten haben, das Gehörte auf ihre Situation abzubilden und Fragen zu sammeln.
- Bei Unklarheiten und Problemen werden die Teilnehmer während des gesamten Projekts konkret unterstützt. Hierzu steht ein privates sowie ein für die gesamte Gruppe einsehbares Support-Forum zur Verfügung, in das jederzeit Fragen eingereicht und sich untereinander ausgetauscht werden kann. Darüber hinaus finden alle 14 Tage über das Internet Jour- Fixe statt, in denen der Stand der Projekte besprochen und Fragen auch direkt gestellt werden können.
- Zusätzlich erhalten die Teilnehmer sämtliche Umsetzungshilfen aus dem Wiki (eine komplette Kommentierung der VdS 10000, Vorlagen für die benötigten Dokumente, Hintergrundartikel, ...) sowie weitere Unterlagen wie z. B. Checklisten und weitere Erläuterungen.
- Zusätzliche Consulting-Leistungen (wie z. B. Workshops vor Ort) können die Teilnehmer bei Bedarf kurzfristig hinzubuchen.
Die Phasen:
Phase 1: Ausgangslage, Zieldefinition und Beauftragung (3 Wochen)
Diese Phase dient dazu, das Umfeld des Projekts zu analysieren. Für die Umsetzung der VdS 10000 muss das Unternehmen über grundlegende Fähigkeiten im Bereich der internen Organisation, des Qualitäts- und des Risikomanagements verfügen. Es muss darüber hinaus in der Lage sein, das Projekt angemessen zu steuern, organisatorische Änderungen umzusetzen und mit seinen Mitarbeitern zu kommunizieren. Darüber hinaus müssen die entsprechenden Positionen über genügend freie Ressourcen verfügen. Anhand der Ergebnisse wird ein Umsetzungskonzept erarbeitet (inkl. Abschätzung des Aufwands) und eine Beauftragung durch das Topmanagement eingeholt:
- Identifizieren und Einschätzen der für die Umsetzung relevanten Positionen und Gruppen in der Organisation
- Identifizieren von positiven und negativen Rahmenbedingungen für die Umsetzung des Projekts
- Reifegradanalyse der organisatorischen und technischen Gegebenheiten
- Entwickeln eines Grobkonzepts inkl. Aufwandsabschätzung
- Milestone: Erhalten der Beauftragung durch das Topmanagement oder Abbruch des gesamten Projekts
Phase 2: Kick-Off und Vorbereitung der Organisation (6 Wochen)
Diese Phase dient der Teamfindung und der Vorbereitung auf die anstehenden Arbeiten.
- Die für die Umsetzung Verantwortlichen werden zusammengerufen, die anstehenden Arbeiten erläutert und ihr Feedback eingeholt mit dem Ziel, eine Verständigung über die anstehenden Arbeiten zu erreichen.
- Die Organisation wird auf die Umsetzung der VdS 10000 vorbereitet, indem noch fehlende Strukturen im Bereich der internen Organisation, des Qualitäts- und des Risikomanagements, des Projektmanagements, des Änderungsmanagements und der Mitarbeiterkommunikation behoben werden.
- Milestone: die Organisation schätzt sich selbst als vorbereitet ein
Phase 3: Kern des ISMS, erste Vorbereitung der IT-Infrastruktur, Analyse (8 Wochen)
Nachdem die grundlegenden Arbeiten abgeschlossen sind, wird der Kern des ISMS in der Organisation eingeführt. Parallel dazu wird die Umsetzung der aufwändigsten Maßnahmen zur Absicherung der IT-Infrastruktur in Angriff genommen (Teile der Grundanforderungen und des Basisschutzes) und analysiert, ob die Organisation kritischen IT-Ressourcen besitzt.
Phase 4: ISMS vervollständigen, Grundanforderungen, kritische IT-Ressourcen (6 Wochen)
Die Strukturen des ISMS und die Umsetzung der Grundanforderungen werden abgeschlossen, parallel dazu werden die ersten zusätzlichen Maßnahmen für die kritischen IT-Ressourcen (falls vorhanden) in Angriff genommen.
Phase 5: ISMS Trainingsphase, Basisschutz, kritische IT-Ressourcen (6 Wochen)
Der ISB und das IST üben anhand einzelner Aufgaben die Zusammenarbeit. Parallel dazu wird die Umsetzung der Maßnahmen des Basisschutzes abgeschlossen, die Umsetzung der zusätzlichen Maßnahmen für die kritischen IT-Ressourcen (falls vorhanden) wird voran getrieben.
Phase 6: Überführung in den Betrieb, kritische IT-Ressourcen (6 Wochen)
Das Projekt nähert sich dem Abschluss. Die Abläufe des ISMS werden geübt und die Umsetzung der zusätzlichen Maßnahmen für die kritischen IT-Ressourcen (falls vorhanden) wird abgeschlossen.
Phase 7: Validierung (4 Wochen)
Die Abläufe des ISMS werden weiter geübt, der ISB erstellt den ersten Report für das IST. Letzte Arbeiten werden durchgeführt.
Gibt es eine Umsetzungsgarantie?
Natürlich kann ich keine Garantie für eine erfolgreiche Umsetzung der VdS 10000 übernehmen - für eine qualifizierte Einschätzung müsste ich zunächst die Struktur der jeweiligen Organisationen, die Verantwortlichen und die technischen Voraussetzungen im Detail kennen. Die erste Umsetzungsphase wird sich aber genau mit diesen Themen beschäftigen. So kann jeder Teilnehmer zu Beginn des Projektes prüfen, ob sein Vorhaben Aussicht auf Erfolg hat und ggf. abbrechen.
Kann die Umsetzung abgebrochen werden?
Die Umsetzung kann ohne weitere Kosten bis zum Ende der ersten Projektphase abgebrochen werden. Nach Ende der ersten Projektphase ist ein Abbruch mit 80% der Restkosten verbunden.
Die Kursgröße:
Wir starten ab 6 Teilnehmern. Die Obergrenze liegt bei 12 Teilnehmern.
Die Voraussetzungen:
Das "Training-On-The-Job" ist keine Einführungsveranstaltung. Die Teilnehmer müssen über fundiertes Wissen zur VdS 10000 verfügen. Idealerweise haben sie den Lehrgang der VdS Schadenverhütung (2-Tage) belegt.
Die Preise:
Die Kosten belaufen sich pro Teilnehmer auf € 4.200,- (zzgl. 19% MwSt. = € 4.998,-).
Dafür erhält jeder Teilnehmer:
- 7 Seminare zu je 6 Stunden
- 21 Jour-Fixe von bis zu 2 Stunden
- Zugriff auf das Support-Forum
- sämtliche Umsetzungshilfen aus dem Wiki (eine komplette Kommentierung der VdS 10000, Vorlagen für die benötigten Dokumente, Hintergrundartikel sowie weitere Unterlagen wie z. B. Checklisten und weitere Erläuterungen)
Der Zeitplan:
Aktuell ist geplant, den ersten Kurs Anfang Mai (06.05.2019) oder Mitte Mai (20.06.2019) zu starten. Der Kurs wird 40 Wochen nach seinem Start enden (14.02.2020 bzw. 28.02.2020). Wenn alle Teilnehmer einverstanden sind, kann die Durchführung einzelner Phasen auch beschleunigt werden.