(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Die unabhängige Überprüfung der Informationssicherheit ist ein wesentliches Element zur Sicherstellung der Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS). Ohne regelmäßige, objektive Bewertungen besteht das Risiko, dass Schwachstellen unentdeckt bleiben, Maßnahmen ihre Wirksamkeit verlieren oder Abweichungen von Anforderungen nicht erkannt werden. Dieses Control stellt sicher, dass die Informationssicherheit regelmäßig, systematisch und unabhängig überprüft wird.

Zweck des Controls

A 5.35 soll gewährleisten, dass das ISMS und die umgesetzten Informationssicherheitsmaßnahmen regelmäßig durch unabhängige Stellen überprüft werden. Ziel ist es, eine objektive Beurteilung der Angemessenheit, Wirksamkeit und Konformität der Informationssicherheit zu erhalten und eine fundierte Grundlage für Entscheidungen des Managements und kontinuierliche Verbesserungen zu schaffen.

Anforderungen und Maßnahmen

1. Festlegung des Umfangs der unabhängigen Überprüfung

Organisationen müssen festlegen, welche Bereiche der Informationssicherheit unabhängig überprüft werden, insbesondere:

• das Informationssicherheitsmanagementsystem insgesamt
• Richtlinien, Prozesse und Verfahren
• technische und organisatorische Sicherheitsmaßnahmen
• Einhaltung rechtlicher, regulatorischer und vertraglicher Anforderungen
• Umsetzung und Wirksamkeit von Annex-A-Kontrollen

Der Umfang muss risikoorientiert definiert werden.

2. Sicherstellung der Unabhängigkeit

Die Überprüfung muss unabhängig von den geprüften Aktivitäten erfolgen:

• Trennung von prüfenden und umsetzenden Rollen
• Einsatz interner Auditoren ohne Interessenkonflikte
• Nutzung externer Auditoren oder unabhängiger Dritter
• Sicherstellung objektiver und unparteiischer Bewertungen

Unabhängigkeit ist Voraussetzung für glaubwürdige Ergebnisse.

3. Planung und Durchführung der Überprüfungen

Unabhängige Überprüfungen müssen geplant und systematisch durchgeführt werden:

• Erstellung eines Prüfplans
• Festlegung von Kriterien, Methoden und Zeiträumen
• Durchführung von Interviews, Dokumentenprüfungen und Stichproben
• Bewertung der Umsetzung und Wirksamkeit von Maßnahmen

Die Durchführung muss nachvollziehbar dokumentiert sein.

4. Bewertung von Konformität und Wirksamkeit

Die Überprüfung muss sowohl Konformität als auch Wirksamkeit bewerten:

• Einhaltung interner und externer Anforderungen
• Angemessenheit der Sicherheitsmaßnahmen
• Wirksamkeit im Hinblick auf definierte Ziele
• Identifikation von Abweichungen und Schwachstellen

Dies ermöglicht eine ganzheitliche Beurteilung der Informationssicherheit.

5. Dokumentation der Ergebnisse

Die Ergebnisse der Überprüfung müssen dokumentiert werden:

• Feststellungen und Abweichungen
• Bewertung von Risiken und Auswirkungen
• positive Beobachtungen und Stärken
• Empfehlungen für Verbesserungen

Die Dokumentation muss klar, verständlich und nachvollziehbar sein.

6. Kommunikation der Ergebnisse

Die Ergebnisse der unabhängigen Überprüfung müssen kommuniziert werden:

• Bericht an das Management
• Information relevanter Rollen und Fachbereiche
• Abstimmung zu erforderlichen Maßnahmen
• Unterstützung der Entscheidungsfindung

Eine transparente Kommunikation fördert Akzeptanz und Umsetzung.

7. Ableitung und Nachverfolgung von Maßnahmen

Aus den Ergebnissen müssen geeignete Maßnahmen abgeleitet werden:

• Definition von Korrektur- und Verbesserungsmaßnahmen
• Priorisierung auf Basis von Risiken
• Zuweisung von Verantwortlichkeiten
• Überwachung der Umsetzung und Wirksamkeit

So wird sichergestellt, dass festgestellte Schwachstellen behoben werden.

8. Integration in kontinuierliche Verbesserung

Unabhängige Überprüfungen müssen Teil der kontinuierlichen Verbesserung sein:

• Berücksichtigung der Ergebnisse in Management Reviews
• Anpassung von Richtlinien, Prozessen und Kontrollen
• Integration in Risiko- und Verbesserungsprozesse
• regelmäßige Aktualisierung der Prüfplanung

Dies stärkt die langfristige Wirksamkeit des ISMS.

Zusammenfassung

A 5.35 fordert, dass Organisationen ihre Informationssicherheit regelmäßig und unabhängig überprüfen lassen. Durch klare Festlegung von Umfang und Kriterien, Sicherstellung der Unabhängigkeit, systematische Durchführung, transparente Dokumentation sowie konsequente Ableitung von Maßnahmen wird die Wirksamkeit des ISMS objektiv bewertet und kontinuierlich verbessert. Das Control ist ein zentraler Baustein für Governance, Compliance und nachhaltige Informationssicherheit.