(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Informationssicherheitsvorfälle liefern wertvolle Erkenntnisse über Schwachstellen, Bedrohungen und die Wirksamkeit bestehender Sicherheitsmaßnahmen. Werden diese Erkenntnisse nicht systematisch ausgewertet und genutzt, besteht die Gefahr, dass sich ähnliche Vorfälle wiederholen oder strukturelle Schwächen bestehen bleiben. Dieses Control stellt sicher, dass aus Informationssicherheitsvorfällen gelernt wird und die gewonnenen Erkenntnisse zur kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems genutzt werden.

Zweck des Controls

A 5.27 soll gewährleisten, dass Organisationen Erkenntnisse aus Informationssicherheitsvorfällen systematisch erfassen, analysieren und in Verbesserungsmaßnahmen überführen. Ziel ist es, Wiederholungen ähnlicher Vorfälle zu verhindern, die Wirksamkeit des ISMS zu erhöhen und die Resilienz der Organisation gegenüber zukünftigen Bedrohungen zu stärken.

Anforderungen und Maßnahmen

1. Systematische Auswertung von Vorfällen

Nach Abschluss der Reaktion auf einen Informationssicherheitsvorfall muss eine strukturierte Auswertung erfolgen, insbesondere:

• Analyse der Ursachen und Auslöser
• Bewertung der betroffenen Informationswerte und Prozesse
• Untersuchung der Wirksamkeit der ergriffenen Maßnahmen
• Identifikation organisatorischer, technischer oder menschlicher Schwachstellen

Die Auswertung muss nachvollziehbar dokumentiert werden.

2. Identifikation von Verbesserungspotenzialen

Auf Basis der Auswertung müssen Verbesserungspotenziale identifiziert werden, zum Beispiel:

• Anpassung bestehender Sicherheitsmaßnahmen
• Einführung zusätzlicher Kontrollen
• Verbesserung von Prozessen oder Zuständigkeiten
• Optimierung von Erkennungs- oder Reaktionsmechanismen

So werden strukturelle Schwächen gezielt adressiert.

3. Ableitung und Umsetzung von Maßnahmen

Erkannte Verbesserungspotenziale müssen in konkrete Maßnahmen überführt werden:

• Definition von Korrektur- und Präventionsmaßnahmen
• Priorisierung auf Basis von Risiko und Auswirkungen
• Zuweisung von Verantwortlichkeiten
• Überwachung der Umsetzung und Wirksamkeit

Die Maßnahmen müssen in das bestehende ISMS integriert werden.

4. Integration in das Risikomanagement

Erkenntnisse aus Vorfällen müssen im Risikomanagement berücksichtigt werden:

• Aktualisierung von Risikoanalysen und Risikobewertungen
• Neubewertung bestehender Risiken
• Identifikation neuer Risiken
• Anpassung von Risikobehandlungsmaßnahmen

So bleibt das Risikomanagement aktuell und wirksam.

5. Anpassung von Richtlinien, Prozessen und Kontrollen

Auf Basis der gewonnenen Erkenntnisse müssen relevante Regelwerke überprüft werden:

• Anpassung von Richtlinien und Verfahren
• Überarbeitung technischer und organisatorischer Kontrollen
• Aktualisierung von Notfall- und Incident-Prozessen
• Anpassung von Schulungs- und Awareness-Inhalten

Dies stellt sicher, dass das ISMS kontinuierlich verbessert wird.

6. Kommunikation der Erkenntnisse

Relevante Erkenntnisse müssen angemessen kommuniziert werden:

• Information zuständiger Rollen und Fachbereiche
• Berichterstattung an Management oder Gremien
• Weitergabe relevanter Erkenntnisse an Mitarbeitende
• Sensibilisierung für identifizierte Risiken oder Schwachstellen

Die Kommunikation muss zielgerichtet und abgestimmt erfolgen.

7. Dokumentation und Nachvollziehbarkeit

Die Organisation muss sicherstellen, dass Erkenntnisse und Maßnahmen dokumentiert werden:

• Dokumentation der Vorfallanalyse
• Nachweise über beschlossene und umgesetzte Maßnahmen
• Dokumentation von Entscheidungen und Priorisierungen
• Archivierung gemäß interner Vorgaben

Diese Dokumentation ist wichtig für Audits und kontinuierliche Verbesserung.

8. Regelmäßige Überprüfung des Lernprozesses

Der Umgang mit Erkenntnissen aus Vorfällen muss regelmäßig überprüft werden:

• Bewertung der Wirksamkeit umgesetzter Maßnahmen
• Überprüfung, ob Wiederholungen vermieden wurden
• Anpassung des Lern- und Verbesserungsprozesses
• Berücksichtigung im Rahmen von Management Reviews

So wird sichergestellt, dass Lernen aus Vorfällen nachhaltig verankert ist.

Zusammenfassung

A 5.27 fordert, dass Organisationen aus Informationssicherheitsvorfällen systematisch lernen. Durch strukturierte Auswertung, Ableitung und Umsetzung von Verbesserungsmaßnahmen, Integration in das Risikomanagement sowie gezielte Kommunikation wird die Wirksamkeit des ISMS kontinuierlich erhöht. Das Control trägt wesentlich dazu bei, Wiederholungen von Vorfällen zu vermeiden und die Resilienz der Organisation gegenüber zukünftigen Bedrohungen nachhaltig zu stärken.