Januar 4, 2026

Klausel 6.3 Planung von Änderungen

(nach ISO/IEC 27001:2022)

Änderungen innerhalb der Organisation, an Prozessen, Systemen oder Rahmenbedingungen können erhebliche Auswirkungen auf das Informationssicherheitsmanagementsystem (ISMS) haben. Ungeplante oder unzureichend bewertete Änderungen stellen ein Risiko für die Wirksamkeit des ISMS dar. Diese Klausel stellt sicher, dass Änderungen am ISMS systematisch geplant, bewertet und kontrolliert umgesetzt werden.

Zweck der Klausel

Klausel 6.3 soll gewährleisten, dass Änderungen am ISMS strukturiert und kontrolliert erfolgen. Ziel ist es, negative Auswirkungen auf die Informationssicherheit zu vermeiden, die Kontinuität des ISMS sicherzustellen und die beabsichtigten Ergebnisse des ISMS auch bei Veränderungen zu erreichen.

Anforderungen und Maßnahmen

1. Identifikation geplanter Änderungen

Organisationen müssen geplante Änderungen identifizieren, insbesondere:

  • organisatorische Veränderungen
  • Änderungen von Geschäftsprozessen
  • Einführung oder Änderung von IT-Systemen
  • Anpassungen an Richtlinien oder Verfahren
  • Änderungen gesetzlicher oder regulatorischer Anforderungen

Die Identifikation ist Grundlage für die Planung.

2. Bewertung der Auswirkungen von Änderungen

Vor der Umsetzung müssen Änderungen bewertet werden:

  • Auswirkungen auf Informationssicherheitsrisiken
  • Einfluss auf bestehende Sicherheitsmaßnahmen
  • Auswirkungen auf Ziele und Prozesse des ISMS
  • Abhängigkeiten zu anderen Änderungen oder Projekten

Die Bewertung muss dokumentiert erfolgen.

3. Sicherstellung der Integrität des ISMS

Bei Änderungen muss sichergestellt werden, dass:

  • die Wirksamkeit des ISMS erhalten bleibt
  • keine unbeabsichtigten Sicherheitslücken entstehen
  • bestehende Kontrollen weiterhin greifen
  • neue Risiken angemessen behandelt werden

So bleibt das ISMS stabil.

4. Planung der Umsetzung

Die Umsetzung von Änderungen muss geplant werden:

  • Festlegung von Verantwortlichkeiten
  • Definition von Zeitrahmen und Ressourcen
  • Koordination mit relevanten Bereichen
  • Planung von Tests oder Übergangsmaßnahmen

Eine strukturierte Planung reduziert Risiken.

5. Integration in bestehende Prozesse

Änderungen am ISMS müssen in bestehende Prozesse integriert werden:

  • Abstimmung mit Änderungs- und Projektmanagement
  • Berücksichtigung im Risikomanagement
  • Verzahnung mit operativen Abläufen
  • Nutzung vorhandener Governance-Strukturen

Dies vermeidet Doppelstrukturen.

6. Kommunikation von Änderungen

Geplante Änderungen müssen kommuniziert werden:

  • Information betroffener Rollen und Bereiche
  • Klarstellung von neuen Anforderungen oder Zuständigkeiten
  • Einbindung der Führungsebene
  • Bereitstellung relevanter Dokumentationen

Transparente Kommunikation erhöht Akzeptanz.

7. Überprüfung nach Umsetzung

Nach der Umsetzung müssen Änderungen überprüft werden:

  • Bewertung der Zielerreichung
  • Überprüfung der Wirksamkeit der Maßnahmen
  • Identifikation von Abweichungen
  • Ableitung von Korrekturmaßnahmen

So wird die Wirksamkeit sichergestellt.

8. Dokumentation und Nachweisführung

Änderungen und deren Planung müssen dokumentiert sein:

  • Beschreibung der Änderung
  • Bewertung der Auswirkungen
  • Entscheidungen und Freigaben
  • Nachweise zur Umsetzung und Überprüfung

Die Dokumentation ist auditrelevant.

Zusammenfassung

Klausel 6.3 fordert, dass Organisationen Änderungen am Informationssicherheitsmanagementsystem systematisch planen und steuern. Durch die frühzeitige Identifikation von Änderungen, Bewertung ihrer Auswirkungen, strukturierte Umsetzung sowie anschließende Überprüfung wird sichergestellt, dass das ISMS auch bei Veränderungen wirksam bleibt. Diese Klausel unterstützt die Stabilität, Anpassungsfähigkeit und kontinuierliche Verbesserung des ISMS nach ISO/IEC 27001:2022.


    Leave a comment

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert