ISO 27001 Anforderung 9.1 – Leistungsbewertung

Was beinhaltet Abschnitt 9.1?

Wenn die Organisation eine Zertifizierung nach ISO 27001 anstrebt, wird der unabhängige Prüfer, der in einer mit UKAS verbundenen Zertifizierungsstelle (oder einer ähnlichen international akkreditierten Stelle für die ISO-Zertifizierung) arbeitet, die folgenden Bereiche genau prüfen:

• was es zu überwachen und zu messen beschlossen hat, nicht nur die Ziele, sondern auch die Prozesse und Kontrollen
• wie es valide Ergebnisse bei der Messung, Überwachung, Analyse und Auswertung sicherstellt
• wann diese Messung, Überwachung, Bewertung und Analyse stattfindet und wer sie durchführt
• wie die Ergebnisse genutzt werden

Wie alles andere bei den internationalen ISO- und IEC-Normen, einschließlich ISO 27001, sind die dokumentierten Informationen von entscheidender Bedeutung – daher ist es der Schlüssel zum Erfolg, sie zu beschreiben und dann nachzuweisen, dass sie tatsächlich stattfinden!

So erfüllen Sie die Anforderungen von Abschnitt 9.1

Wie bei einem Großteil von Abschnitt 8 für den Betrieb des Informationssicherheits-Managementsystems wird Abschnitt 9.1 berücksichtigt, indem das gesamte ISMS und die anderen Teile betrachtet werden, die zu dieser Anforderung beitragen.

Beispielsweise:

• Die in 4.1, 4.2 und 4.3 abgeschlossenen Arbeiten identifizieren die Themen (einschließlich der Informationsressourcen), die interessierten Parteien und den Umfang
• In Abschnitt 6.1 werden dann die Risikoidentifizierung, -bewertung und -behandlung auf strukturierte Weise hervorgehoben, um dieser Anforderung gerecht zu werden
• 6.2 dokumentiert tatsächlich die Ziele des ISMS und umfasst bei guter Umsetzung auch die Messung, Überwachung, Häufigkeit, Quellenverwaltung und Nachweise
• 9.2 hilft bei internen Audits des gesamten Systems und zeigt, was funktioniert und was verbessert werden kann
• 9.3 vereint einen Großteil dieser Anforderungen für Managementbewertungen und -analysen mit der strategischen Entscheidungsfindung auf der Agenda, die es abdeckt
• Abschnitt 10.1 befasst sich dann mit der Nichtkonformität und Abschnitt 10.2 mit den umfassenderen kontinuierlichen Verbesserungsmöglichkeiten im Informationssicherheitsmanagementsystem
• Viele der Kontrollen in Anhang A treiben auch die Bewertung und Überprüfung der Leistung voran, einschließlich Anhang A.5.1 und Anhang A.18, sowohl hinsichtlich der Einhaltung von Gesetzen als auch unabhängiger Überprüfungen der Informationssicherheit

Unter der Annahme, dass diese Teile des ISMS unter Berücksichtigung von Abschnitt 7.5 „Stabilität der Dokumentation“ implementiert wurden, können Sie beruhigt sein. Es bleibt nichts anderes zu tun, als zu dokumentieren, dass 9.1 die oben genannten Punkte erfüllt, und das Managementsystem zu verknüpfen, damit ein Auditor sehen kann, dass alles in der Praxis funktioniert. Mit ISMS.online geht das ganz einfach.

Lassen Sie sich mit ISMS.online bis zu 5x schneller zertifizieren

Compliance muss nicht kompliziert sein – ISMS.online soll Ihnen dabei helfen, die ISO 27001-Zertifizierung schnell und kostengünstig zu erreichen, ohne dass eine Schulung erforderlich ist.
Wir haben den ISO 27001-Prozess mit unserer Assured Results Method, einem Vorsprung von 80 %, Ihrem eigenen virtuellen Coach rund um die Uhr, einfachem Onboarding und Expertensupport optimiert.

Buchen Sie eine Plattformdemo, um zu sehen, wie ISMS.online Ihrem Unternehmen helfen kann