ISO 27001 Anforderung 9.3 – Managementbewertung

Was beinhaltet Abschnitt 9.3?

Die ISO selbst sagt, dass die Überprüfungen in geplanten Abständen stattfinden sollten, das heißt in der Regel mindestens einmal pro Jahr und innerhalb eines externen Audit-Überwachungszeitraums. Angesichts der Geschwindigkeit, mit der sich die Bedrohungen für die Informationssicherheit ändern, und der Tatsache, dass es bei Managementbewertungen viel zu behandeln gibt, empfehlen wir jedoch, diese viel häufiger durchzuführen, wie unten beschrieben, und sicherzustellen, dass das ISMS in der Praxis gut funktioniert und nicht nur ein Kästchen ankreuzt ISO-Konformität.

Der Wert der Managementbewertung des Informationssicherheits-Managementsystems (ISMS) wird oft unterschätzt. Manche betrachten es vielleicht als eine Kontrollkästchenanforderung, die lediglich erfüllt werden muss, um die ISO 27001-Anforderung 9.3 zu erfüllen. Um jedoch gute Informationssicherheitspraktiken wirklich „leben und atmen“ zu können, ist ihre Rolle von unschätzbarem Wert.

Der Zweck der Managementbewertung besteht darin, sicherzustellen, dass das ISMS und seine Ziele angesichts des Zwecks, der Probleme und Risiken im Zusammenhang mit den Informationsressourcen weiterhin geeignet, angemessen und effektiv bleiben. Diese wurden zuvor in 4.1 der Organisation und ihrem Kontext, 4.2 den Anforderungen interessierter Parteien, 4.3 Umfang des ISMS und 6.1 für die Risikomanagementarbeit behandelt.

Die Arbeit im Vorfeld und im Umfeld der Managementbewertung wird es der Geschäftsleitung ermöglichen, fundierte, strategische Entscheidungen zu treffen, die wesentliche Auswirkungen auf die Informationssicherheit und die Art und Weise haben, wie die Organisation sie verwaltet.

Was sollte im ISO 27001 Management Review enthalten sein?

Die Managementbewertung muss mindestens einem Standardformat folgen, das die Anforderungen von 9.3 für ISO 27001:2103 berücksichtigt. Diese werden im Folgenden erläutert. Darüber hinaus kann es auch sein, dass die Organisation andere Compliance-Regelungen in die Überprüfung einbeziehen möchte, beispielsweise Cyber ​​Essentials, ISO 9001 und andere bewährte Praktiken, um effektive Überprüfungen und eine fundierte Entscheidungsfindung zu ermöglichen. Es kann sogar die 9.3-Informationssicherheitsaspekte für 9.3 mit umfassenderen Treffen der Geschäftsleitung oder formellen Vorstandssitzungen verknüpfen. In jedem Fall müssen die Ergebnisse und Maßnahmen der Überprüfungen dokumentiert werden.

Für Organisationen, die sich in der Implementierungsphase ihres ISMS befinden, empfehlen wir außerdem, wöchentlich Managementbewertungen als Teil einer bewährten Praxisentwicklungsgewohnheit durchzuführen und Implementierungslektionen, Ziele und Probleme für die nächste Periode neben den Elementen der formellen Managementagenda einzubeziehen, die möglich sind abgedeckt. Externe Prüfer möchten, dass sich die Organisation den Geist der Managementbewertung zu eigen macht und die Wirksamkeit der Planungs- und Umsetzungsarbeit sieht, was auch den Anforderungen von Abschnitt 7.5 und Abschnitt 8 für den Betrieb entspricht.

Die formelle Agenda der ISO 27001-Managementbewertung 9.3 sollte Folgendes umfassen:

• Der Status von Maßnahmen aus früheren Managementbewertungen
• Änderungen bei externen und internen Themen, die für das Informationssicherheitsmanagementsystem relevant sind
• Feedback zur Informationssicherheitsleistung, einschließlich Trends in:
• Nichtkonformitäten und Korrekturmaßnahmen;
• Überwachungs- und Messergebnisse;
• Prüfungsergebnisse; Und
• Erfüllung der Informationssicherheitsziele.
• Feedback von Interessenten
• Ergebnisse der Risikobewertung und Status des Risikobehandlungsplans; Und
• Möglichkeiten zur kontinuierlichen Verbesserung.

Vielleicht möchten Sie auch einen zusätzlichen Punkt hinzufügen:

• Vereinbaren Sie den Prüfungsschwerpunkt für die kommende Periode. Dies ist optional, wenn Sie ein agiles Unternehmen sind und nicht in der Lage sind, das gesamte Auditprogramm vollständig zu spezifizieren und zu weit im Voraus zu planen. Bedenken Sie jedoch, dass einige externe Prüfer mehr Klarheit über das gesamte Programm für den Zertifizierungszyklus wünschen!

Die Ergebnisse der Managementbewertung sollten Entscheidungen im Zusammenhang mit kontinuierlichen Verbesserungsmöglichkeiten und etwaigen Änderungsbedarfen am Informationssicherheits-Managementsystem umfassen.

Wer sollte am ISO 27001 Management Review teilnehmen?

Unter Berücksichtigung des oben Gesagten wird deutlich, dass die ISO 27001-Managementbewertung bei gebührender Berücksichtigung ein unverzichtbares Instrument ist, um sicherzustellen, dass das ISMS der Organisation weiterhin dabei hilft, die beabsichtigten Ergebnisse der Investitionen in das Informationssicherheitsmanagement zu erzielen.

Damit das ISMS in einer Organisation wirksam ist, ist das Engagement der Geschäftsleitung erforderlich. Daher ist es sinnvoll, dass die Mitglieder eines ISMS-„Vorstands“ über Autorität in Fragen der Informationssicherheit verfügen. Typischerweise besteht ein ISMS-Vorstand aus dem Chief Information Security Officer (CISO) und anderen Führungskräften sowie den Vertretern, die das ISMS in der Praxis verwalten. Rollen rund um die Informationssicherheit müssen nicht Vollzeit oder ausschließlich sein, erfordern jedoch Klarheit in Bezug auf Rollen, Verantwortlichkeiten und Befugnisse, wie in Abschnitt 5.3 beschrieben. Ein ISMS-Board unterstützt diesen Prozess ebenfalls.

Zu den Ergebnissen der Managementbewertung gehören Entscheidungen im Zusammenhang mit kontinuierlichen Verbesserungsmöglichkeiten und eventuellem Änderungsbedarf am Informationssicherheits-Managementsystem.

Was ist die ideale Management-Review-Häufigkeit?

Es besteht die Mindestanforderung, einmal im Jahr eine Managementbewertung durchzuführen, bei wesentlichen Änderungen, die sich auf die Informationssicherheit und das ISMS auswirken könnten, auch häufiger. Die Häufigkeit wird jedoch durch die Anforderung des Managements bestimmt, den Erfolg des ISMS zu überwachen. Zudem besteht die Gefahr, dass je größer der Abstand, desto größer der Aufwand für die Rückschau auf die Vorperiode ist. Es erhöht auch das Risiko, dass Fehler im ISMS nicht rechtzeitig erkannt werden.

Aus diesem Grund würden wir eine monatliche, zweimonatliche oder sogar vierteljährliche Vorgehensweise empfehlen, wenn Ihr ISMS recht stabil ist. Natürlich müssen Managementbewertungen in geplanten Abständen stattfinden, um sicherzustellen, dass das ISMS „geeignet, angemessen und wirksam“ bleibt.

Für diejenigen, die eine ISO 27001-Zertifizierung ihres ISMS anstreben, ist es außerdem wichtig zu beachten, dass während des Desktop-Audits der Stufe 1 nachzuweisen ist, dass die regelmäßigen Überprüfungen stattfinden.

Wir empfehlen wöchentliche Managementbewertungen vor dem Audit der Stufe 1, da dies Ihr Implementierungsprojekt auf Kurs hält, die Gewohnheit festigt und Sie innerhalb eines Monats mithilfe des einfachen Management-Review-Programms in der Plattform genügend Nachweise gesammelt haben, um den Prüfer zufrieden zu stellen Machen Sie sich bereit für zukünftige Rezensionen.

Managementbewertungen mit ISMS.online

ISMS.online vereinfacht die Verwaltung Ihres gesamten ISMS, einschließlich der Managementbewertungen für Informationssicherheit.

ISMS.online vereint alles in einer sicheren Online-Umgebung, in der Sie mit Kollegen zusammenarbeiten, die erforderlichen Nachweise nur einmal erfassen und vor, während und nach der Prüfung problemlos darauf zugreifen können.