So führen Sie Ihr ISO 27001-Management-Review durch
Inhaltsverzeichnis:
- 1) Was ist der Zweck des ISO 27001:2013 Management Review?
- 2) Was sollte in der Managementbewertung enthalten sein?
- 3) Wer sollte an der Managementbewertung teilnehmen?
- 4) Häufigkeit der Managementbewertung
- 5) So verwalten Sie Kommunikation und Aktionen
- 6) « So schreiben Sie einen internen Auditbericht für ISO 27001
- 7) Top-Tipps für Ihr erstes ISO 27001 Stufe 2-Audit »
Was ist der Zweck des ISO 27001:2013 Management Review?
Der Wert der Managementbewertung des Informationssicherheits-Managementsystems (ISMS) wird oft unterschätzt.
Manche betrachten es möglicherweise als eine Anforderung, die nur erfüllt werden muss, um sie zu erfüllen ISO 27001 Anforderung 9.3. Um jedoch gute Informationssicherheitspraktiken wirklich „leben und atmen“ zu können, ist ihre Rolle von unschätzbarem Wert.
Der Zweck der Managementbewertung besteht darin, sicherzustellen, dass das ISMS und seine Ziele angesichts des Zwecks, der Probleme und Risiken der Organisation weiterhin geeignet, angemessen und wirksam bleiben. Diese werden zuvor innerhalb von behandelt 4.1 Die Organisation und ihr Kontext, 4.2 Die Anforderungen interessierter Parteien, und 6.1.Risikomanagement.
Die Ergebnisse der Die Managementbewertung ermöglicht es der Geschäftsleitung, gut informiert zu sein, strategische Entscheidungen, die einen wesentlichen Einfluss auf die Informationssicherheit und die Art und Weise haben, wie die Organisation diese verwaltet.
Was sollte in der Managementbewertung enthalten sein?
Die Managementbewertung muss folgen a Standard Format, das die Erwartungen von berücksichtigt ISO 27001:2103.
Es kann auch sein, dass die Organisation andere Compliance-Regime in die Überprüfung einbeziehen möchte, wie z Cyber-Grundlagen, ISO 9001 und andere bewährte Verfahren, um effektive Überprüfungen und eine fundierte Entscheidungsfindung zu ermöglichen.
Die ISO 27001-Managementbewertung sollte Folgendes umfassen:
a) den Status von Maßnahmen aus früheren Managementbewertungen;
b) Änderungen bei externen und internen Themen, die für die relevant sind Informationssicherheitsmanagement Systems;
c) Feedback zur Informationssicherheitsleistung, einschließlich Trends in:
- Nichtkonformitäten und Korrekturen Aktionen;
- Überwachung und Messung Ergebnisse;
- Prüfung Ergebnisse; Und
- Erfüllung von Informationssicherheitsziele.
d) Feedback von interessierte Parteien;
e) Ergebnisse von risk_assessment“>Risikobewertung und Status der Risikobehandlung planen; Und
f) Möglichkeiten für ständige Verbesserung.
Möglicherweise möchten Sie auch einen zusätzlichen Punkt hinzufügen: g) Einigung über den Prüfungsschwerpunkt für die kommende Periode. Dies ist optional, wenn Sie ein Agiler sind Organisation und nicht in der Lage, das gesamte Auditprogramm vollständig zu spezifizieren und zu weit im Voraus planen. Bedenken Sie jedoch, dass einige externe Prüfer während des Zertifizierungszyklus mehr Klarheit über das gesamte Programm wünschen!
Die Ergebnisse der Managementbewertung sollten Entscheidungen in Bezug auf Folgendes umfassen ständige Verbesserung Möglichkeiten und etwaige Änderungsbedarfe am Informationssicherheitsmanagementsystem.
Wer sollte an der Managementbewertung teilnehmen?
In Anbetracht des oben Gesagten ist klar ersichtlich, dass dies bei gebührender Berücksichtigung der Fall ist ISO 27001 Managementbewertung ist unverzichtbar Werkzeug um sicherzustellen, dass das ISMS bei einem seiner Hauptziele, der Schadensbegrenzung, weiterhin wirksam ist Risiken der Informationssicherheit.
Damit das ISMS in einer Organisation effektiv ist, braucht es Führungskräfte Engagement des Managements Daher ist es sinnvoll, dass die Mitglieder eines ISMS-„Vorstands“ über Befugnisse in Fragen der Informationssicherheit verfügen.
Typischerweise besteht ein ISMS-Vorstand aus dem Chief Information Security Officer (CISO), dem Senior Information Risk Owner (SIRO), dem Chief Technical Officer und vielleicht sogar dem CEO.
Zu den Ergebnissen der Managementbewertung gehören Entscheidungen im Zusammenhang mit ständige Verbesserung Möglichkeiten und etwaige Änderungsbedarfe am Informationssicherheitsmanagementsystem.
Häufigkeit der Managementbewertung
Es gibt eine Mindestanforderung für die Durchführung eines Management Review einmal im Jahr und häufiger, wenn es wesentliche Änderungen gibt, die sich auf die Informationssicherheit und das ISMS auswirken könnten.
Die Häufigkeit wird jedoch durch die Anforderung des Managements bestimmt, den Erfolg des ISMS zu überwachen. Zudem besteht die Gefahr, dass je größer der Abstand, desto größer der Aufwand für die Rückschau auf die Vorperiode ist. Es erhöht auch das Risiko, dass Fehler im ISMS nicht rechtzeitig erkannt werden.
Aus diesem Grund würden wir eine monatliche, zweimonatliche oder sogar vierteljährliche Vorgehensweise empfehlen, wenn Ihr ISMS recht stabil ist. Sicherlich, Managementbewertungen müssen zum geplanten Zeitpunkt stattfinden um sicherzustellen, dass das ISMS „geeignet, angemessen und wirksam“ bleibt.
Für diejenigen, die suchen ISO Zertifizierung 27001 ihres ISMS ist es auch wichtig zu beachten, dass während des Desktop-Audits der Stufe 1 nachzuweisen ist, dass die regelmäßigen Überprüfungen stattfinden.
At ISMS.online Wir empfehlen wöchentliche Managementbewertungen vor dem Audit der Stufe 1, da dies Ihr Implementierungsprojekt auf Kurs hält, die Gewohnheit aufbaut und Sie innerhalb eines Monats mit einfachen Mitteln genügend Beweise gesammelt haben Management-Review-Programm in der Plattform, um den Prüfer zufriedenzustellen.
So verwalten Sie Kommunikation und Aktionen
Bei einer Managementbewertung werden in der Regel vorab per E-Mail die Einladungen zu Besprechungen, die Tagesordnung, die Beweise und Berichte zur Prüfung oder zur Unterstützung der Überprüfung sowie die vorherigen Punkte, die Maßnahmen erforderten, verteilt.
Während der Überprüfung können Notizen zu den Ergebnissen gemacht werden, die später schriftlich festgehalten und verteilt werden können.
Bereiche, in denen Korrekturmaßnahmen und Verbesserungen erforderlich sind, müssen ebenfalls dokumentiert und den Personen zugewiesen werden, die für die Durchführung dieser Maßnahmen verantwortlich sind.
Bei jedem Schritt müssen Beweise aufbewahrt werden, um einen externen Prüfer davon zu überzeugen, dass die Überprüfung und die Prozesse stattfinden und wirksam sind.
Das sind viele E-Mails, viel Planung und viele Beweise!
Stellen Sie sich ein Online vor Managementbewertungsprogramm Das machte es einfach, Ihr ISMS-Vorstandsteam einzurichten, Überprüfungen einfach zu planen und einer Standardagenda zu folgen, einfach auf frühere Überprüfungen und alle benötigten Informationen zu verlinken und Korrekturmaßnahmen und Verbesserungen einfach zuzuweisen und zu verfolgen?
Du bildest es dir ein ISMS.online Das macht die Verwaltung Ihres gesamten ISMS einfach.
Bringen Sie alles in einer sicheren Online-Umgebung zusammen, wo Sie können mit Kollegen zusammenarbeitenErfassen Sie die erforderlichen Beweise nur einmal und navigieren Sie vor, während und nach der Überprüfung einfach zu ihnen.
Es ist nicht einmal notwendig, dass alle Vorstandsmitglieder an einem Ort zusammenkommen – führen Sie die Veranstaltung online durch und sparen Sie Reisezeit und -kosten!
Beziehen Sie unsere mit ein Virtueller Coach Programm zur fachkundigen Anleitung und pragmatischen Beratung bei jeder der erforderlichen Aktivitäten
