ISMS Copilot
Begrippenlijst

Wat is Management Review in ISO 27001?

Overzicht

Management Review is een verplichte evaluatie uitgevoerd door het topmanagement om de voortdurende geschiktheid, adequaatheid en effectiviteit van uw ISMS te beoordelen. Vereist door ISO 27001:2022 Clausule 9.3, zorgt het ervoor dat de leiding toezicht houdt en strategische verbeteringen aan de informatiebeveiliging aanstuurt.

Dit is geen overleg op werkniveau—het is een formele beoordeling door leidinggevenden en besluitvormers die middelen kunnen toewijzen en strategische beslissingen kunnen nemen over uw ISMS.

Management Review in de praktijk

ISO 27001:2022 vereist dat het topmanagement het ISMS met geplande tussenpozen (meestal jaarlijks of halfjaarlijks) beoordeelt om te garanderen dat het passend blijft voor de behoeften van de organisatie en de beoogde resultaten oplevert.

De beoordeling onderzoekt of uw ISMS:

  • Geschikt (Suitable): Afgestemd op de context, strategie en bedrijfsdoelstellingen van uw organisatie

  • Adequaat (Adequate): Voldoende uitgerust met middelen en reikwijdte om informatie-assets te beschermen

  • Effectief (Effective): Behaalt de informatiebeveiligingsdoelstellingen en beheerst de risico's

Management reviews moeten worden gedocumenteerd met bewaarde verslagen die de overwogen input, genomen beslissingen en ondernomen acties aantonen.

Verplichte Input (Clausule 9.3)

Uw management review moet rekening houden met:

Status van acties uit eerdere beoordelingen

Volg de voltooiing van besluiten en actiepunten van de vorige management review.

Wijzigingen in externe en interne kwesties

Beoordeel updates van de contextanalyse uit Clausule 4.1 (externe factoren zoals nieuwe regelgeving, cyberdreigingen) en Clausule 4.2 (interne wijzigingen zoals fusies, nieuwe systemen).

Feedback over prestaties op het gebied van informatiebeveiliging

Onderzoek:

  • Trends in afwijkingen en corrigerende maatregelen

  • Resultaten van monitoring en metingen

  • Behalen van informatiebeveiligingsdoelstellingen

  • Prestaties van beheersmaatregelen

Feedback van belanghebbenden

Inclusief beveiligingszorgen van klanten, feedback van toezichthouders, vereisten van partners en beveiligingsrapportages van medewerkers.

Resultaten van risicobeoordeling en status van het risicobehandelingsplan

Beoordeel nieuwe of gewijzigde risico's, de effectiviteit van risicobehandelingen en de voortgang van de implementatie van beheersmaatregelen.

Kansen voor continue verbetering

Identificeer gebieden waar het ISMS kan worden verbeterd op basis van geleerde lessen, opkomende technologieën of best practices.

Het ontbreken van vereiste input kan leiden tot een afwijking (non-conformity) tijdens certificeringsaudits. Zorg ervoor dat alle input uit Clausule 9.3 gedocumenteerd en overwogen wordt.

Vereiste Output

Outputs van de management review moeten besluiten en acties bevatten met betrekking tot:

  • Kansen voor continue verbetering: Strategische initiatieven om het ISMS te versterken

  • Noodzaak voor wijzigingen aan het ISMS: Updates van de scope, het beleid, de doelstellingen of beheersmaatregelen

  • Middelenbehoefte: Benodigde budgetten, personeel, tools of trainingen

Voorbeeld output: "Keur een budget van €50.000 goed voor de implementatie van multi-factor authenticatie (MFA) in alle systemen voor Q3 om verhoogde phishing-risico's aan te pakken."

Wie neemt er deel

ISO 27001:2022 vereist dat het "topmanagement" de beoordeling uitvoert. Dit omvat doorgaans:

  • CEO, COO of gelijkwaardige directeuren

  • CISO of Information Security Manager (presenteert de bevindingen)

  • Relevante afdelingshoofden (IT, Juridisch, Compliance, HR)

  • Risico-eigenaren voor kritieke activa

Delegeer de voorbereiding aan het ISMS-team, maar zorg dat de daadwerkelijke besluitvormers aanwezig zijn. De review verliest zijn waarde als leidinggevenden niet aanwezig zijn om over middelen en strategie te beslissen.

Kleine organisaties hebben vaak de ISMS-implementeerder in het topmanagement, waardoor dezelfde persoon de management review kan uitvoeren. ISO 27001 verbiedt dit niet, maar het creëert een risico op functieverstrengeling. Leg dit risico vast in uw risicoregister, documenteer het besluit om dit te accepteren of te behandelen, en definieer mitigerende acties (bijv. toekomstige delegatie van controle-eigenaarschap, externe input of periodieke onafhankelijke controles).

Frequentie en timing

Hoewel ISO 27001:2022 beoordelingen met "geplande tussenpozen" vereist, bevelen best practices het volgende aan:

  • Minimaal jaarlijkse reviews

  • Halfjaarlijkse reviews voor volwassen of hoog-risico organisaties

  • Extra reviews na grote incidenten of significante organisatorische wijzigingen

  • Timing voorafgaand aan certificeringsaudits om eventuele hiaten aan te pakken

Documentatievereisten

Clausule 9.3 vereist dat u gedocumenteerde informatie bewaart als bewijs van management reviews. Uw verslagen moeten het volgende bevatten:

  • Vergaderagenda die aantoont dat alle verplichte input is behandeld

  • Aanwezigheidslijst die deelname van het topmanagement bevestigt

  • Samenvatting van gepresenteerde input (metrieken, auditbevindingen, risico-wijzigingen)

  • Genomen besluiten en toegewezen acties met eigenaren en deadlines

  • Bewijs van opvolging van eerdere acties

Gebruik ISMS Copilot om agenda's voor management reviews te genereren, input-samenvattingen voor te bereiden op basis van uw ISMS-gegevens, of actieplannen op te stellen naar aanleiding van besluiten.

Veelgemaakte fouten om te vermijden

  • Het delegeren van de review aan het middenmanagement in plaats van aan het topmanagement

  • Het behandelen als een formaliteit zonder zinvolle discussie

  • Het missen van verplichte input uit Clausule 9.3

  • Het niet documenteren van besluiten en acties

  • Het niet opvolgen van actiepunten uit vorige reviews

Gerelateerde termen

Was dit nuttig?