ISMS Copilot
Glossar

Was ist die Managementbewertung in ISO 27001?

Überblick

Die Managementbewertung ist eine obligatorische Evaluierung, die von der obersten Leitung durchgeführt wird, um die fortlaufende Eignung, Angemessenheit und Wirksamkeit Ihres ISMS zu beurteilen. Gefordert durch ISO 27001:2022 Klausel 9.3, stellt sie sicher, dass die Führungsebene die Aufsicht behält und strategische Verbesserungen der Informationssicherheit vorantreibt.

Dies ist keine Sitzung auf Arbeitsebene – es ist eine formelle Überprüfung durch Führungskräfte und Entscheidungsträger, die Ressourcen zuweisen und strategische Entscheidungen über Ihr ISMS treffen können.

Managementbewertung in der Praxis

ISO 27001:2022 verlangt von der obersten Leitung, das ISMS in geplanten Abständen (in der Regel jährlich oder halbjährlich) zu überprüfen, um sicherzustellen, dass es für die Bedürfnisse der Organisation angemessen bleibt und die beabsichtigten Ergebnisse liefert.

Die Überprüfung untersucht, ob Ihr ISMS folgendes ist:

  • Geeignet: Ausgerichtet auf den Kontext, die Strategie und die Geschäftsziele Ihrer Organisation

  • Angemessen: Ausreichend mit Ressourcen ausgestattet und im Umfang so definiert, dass Informationswerte geschützt sind

  • Wirksam: Erreichung der Informationssicherheitsziele und Beherrschung von Risiken

Managementbewertungen müssen mit aufbewahrten Aufzeichnungen dokumentiert werden, aus denen die berücksichtigten Eingaben, getroffenen Entscheidungen und ergriffenen Maßnahmen hervorgehen.

Erforderliche Eingaben (Klausel 9.3)

Ihre Managementbewertung muss Folgendes berücksichtigen:

Status von Maßnahmen aus vorherigen Überprüfungen

Verfolgen Sie den Abschluss von Entscheidungen und Maßnahmen aus der letzten Managementbewertung.

Änderungen bei externen und internen Themen

Überprüfen Sie Aktualisierungen der Kontextanalyse aus Klausel 4.1 (externe Faktoren wie neue Vorschriften, Cyber-Bedrohungen) und Klausel 4.2 (interne Änderungen wie Fusionen, neue Systeme).

Feedback zur Leistung der Informationssicherheit

Untersuchen Sie:

  • Trends bei Nichtkonformitäten und Korrekturmaßnahmen

  • Überwachungs- und Messergebnisse

  • Erreichung der Informationssicherheitsziele

  • Leistung von Kontrollmaßnahmen

Feedback von interessierten Parteien

Beziehen Sie Sicherheitsaspekte von Kunden, Feedback von Regulierungsbehörden, Partneranforderungen und Sicherheitsberichte von Mitarbeitern ein.

Ergebnisse der Risikobewertung und Status des Risikobehandlungsplans

Überprüfen Sie neue oder geänderte Risiken, die Wirksamkeit der Risikobehandlungen und den Fortschritt bei der Implementierung von Kontrollen.

Chancen zur fortlaufenden Verbesserung

Identifizieren Sie Bereiche, in denen das ISMS basierend auf gewonnenen Erkenntnissen, neuen Technologien oder Best Practices verbessert werden kann.

Das Fehlen einer erforderlichen Eingabe kann bei Zertifizierungsaudits zu einer Nichtkonformität führen. Stellen Sie sicher, dass alle Eingaben gemäß Klausel 9.3 dokumentiert und berücksichtigt werden.

Erforderliche Ausgaben

Die Ergebnisse der Managementbewertung müssen Entscheidungen und Maßnahmen enthalten in Bezug auf:

  • Chancen zur fortlaufenden Verbesserung: Strategische Initiativen zur Verbesserung des ISMS

  • Änderungsbedarf am ISMS: Aktualisierungen von Anwendungsbereich, Richtlinien, Zielen oder Kontrollen

  • Ressourcenbedarf: Erforderliches Budget, Personal, Tools oder Schulungen

Beispiel für ein Ergebnis: "Genehmigung eines Budgets von 50.000 € für die Implementierung der Multi-Faktor-Authentifizierung (MFA) in allen Systemen bis zum 3. Quartal, um erhöhten Phishing-Risiken zu begegnen."

Wer teilnimmt

ISO 27001:2022 verlangt, dass die "oberste Leitung" die Überprüfung durchführt. Dies umfasst in der Regel:

  • CEO, COO oder gleichwertige Führungskräfte

  • CISO oder Informationssicherheitsbeauftragter (präsentiert die Ergebnisse)

  • Relevante Abteilungsleiter (IT, Recht, Compliance, Personalwesen)

  • Risikoverantwortliche für kritische Assets

Delegieren Sie die Vorbereitung an das ISMS-Team, aber stellen Sie sicher, dass die tatsächlichen Entscheidungsträger anwesend sind. Die Überprüfung verliert an Wert, wenn keine Führungskräfte anwesend sind, um Ressourcen- und Strategieentscheidungen zu treffen.

In kleinen Organisationen gehört der ISMS-Verantwortliche oft zur obersten Leitung, sodass dieselbe Person die Managementbewertung durchführen kann. ISO 27001 verbietet dies nicht, schafft aber ein Risiko bei der Funktionstrennung. Erfassen Sie das Risiko in Ihrem Risikoregister, dokumentieren Sie die Entscheidung, es zu akzeptieren oder zu behandeln, und definieren Sie Minderungsmaßnahmen (z. B. zukünftige Delegation der Kontrollverantwortung, externer Input oder regelmäßige unabhängige Prüfungen).

Häufigkeit und Zeitplan

Obwohl ISO 27001:2022 Überprüfungen in "geplanten Abständen" verlangt, empfehlen Best Practices:

  • Mindestens jährliche Überprüfungen

  • Halbjährliche Überprüfungen für reife oder risikoreiche Organisationen

  • Zusätzliche Überprüfungen nach größeren Vorfällen oder signifikanten organisatorischen Änderungen

  • Zeitliche Planung vor Zertifizierungsaudits, um etwaige Lücken zu schließen

Dokumentationsanforderungen

Klausel 9.3 verlangt von Ihnen, dokumentierte Informationen als Nachweis für Managementbewertungen aufzubewahren. Ihre Aufzeichnungen sollten Folgendes enthalten:

  • Tagesordnung, aus der hervorgeht, dass alle erforderlichen Eingaben abgedeckt wurden

  • Teilnehmerliste, die die Mitwirkung der obersten Leitung bestätigt

  • Zusammenfassung der präsentierten Eingaben (Metriken, Auditergebnisse, Risikoänderungen)

  • Getroffene Entscheidungen und zugewiesene Maßnahmen mit Verantwortlichen und Fristen

  • Nachweis der Nachverfolgung früherer Maßnahmen

Nutzen Sie den ISMS Copilot, um Tagesordnungen für Managementbewertungen zu generieren, Zusammenfassungen der Eingaben aus Ihren ISMS-Daten vorzubereiten oder Aktionspläne basierend auf den Überprüfungsentscheidungen zu entwerfen.

Häufige Fehler, die vermieden werden sollten

  • Delegieren der Überprüfung an das mittlere Management statt an die oberste Führungsebene

  • Behandlung als Formalität ohne inhaltliche Diskussion

  • Fehlende erforderliche Eingaben aus Klausel 9.3

  • Versäumnis, Entscheidungen und Maßnahmen zu dokumentieren

  • Keine Nachverfolgung von Maßnahmen aus vorherigen Überprüfungen

Verwandte Begriffe

War das hilfreich?