(nach ISO/IEC 27001:2022)

Um die Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS) sicherzustellen, müssen relevante Prozesse, Maßnahmen und Ergebnisse überwacht, gemessen, analysiert und bewertet werden. Nur durch eine systematische Leistungsbewertung können Abweichungen erkannt, fundierte Entscheidungen getroffen und kontinuierliche Verbesserungen eingeleitet werden. Diese Klausel stellt sicher, dass die Organisation die Leistung ihres ISMS transparent und nachvollziehbar bewertet.

Zweck der Klausel

Klausel 9.1 soll gewährleisten, dass die Organisation geeignete Methoden zur Überwachung, Messung, Analyse und Bewertung der Informationssicherheitsleistung festlegt und anwendet. Ziel ist es, die Wirksamkeit des ISMS nachzuweisen, Risiken frühzeitig zu erkennen und die Erreichung der Informationssicherheitsziele zu steuern.

Anforderungen und Maßnahmen

1. Festlegung, was überwacht und gemessen wird

Die Organisation muss bestimmen, welche Aspekte überwacht und gemessen werden, insbesondere:

• Wirksamkeit von Sicherheitsmaßnahmen
• Erreichung von Informationssicherheitszielen
• Leistung von ISMS-Prozessen
• Auftreten von Sicherheitsvorfällen
• Einhaltung von Richtlinien und Vorgaben

Die Auswahl muss risikobasiert erfolgen.

2. Festlegung von Methoden und Kriterien

Für Überwachung und Messung müssen geeignete Methoden festgelegt werden:

• qualitative und quantitative Kennzahlen
• Mess- und Bewertungskriterien
• Schwellenwerte und Toleranzen
• geeignete Werkzeuge und Verfahren

Die Methoden müssen reproduzierbare Ergebnisse liefern.

3. Festlegung von Zeitpunkten und Intervallen

Die Organisation muss festlegen:

• wann Überwachungen und Messungen erfolgen
• wie häufig Bewertungen durchgeführt werden
• welche Ereignisse Sonderbewertungen auslösen
• wie Ergebnisse zusammengeführt werden

Regelmäßigkeit ist entscheidend für Aussagekraft.

4. Durchführung der Überwachung und Messung

Die geplanten Überwachungs- und Messaktivitäten müssen durchgeführt werden:

• gemäß den festgelegten Verfahren
• durch qualifizierte Personen
• unter Nutzung geeigneter Ressourcen
• mit dokumentierter Durchführung

Die Durchführung muss nachvollziehbar sein.

5. Analyse der Ergebnisse

Die gewonnenen Daten müssen analysiert werden:

• Erkennung von Trends und Auffälligkeiten
• Vergleich von Soll- und Ist-Zuständen
• Bewertung der Zielerreichung
• Identifikation von Schwachstellen

Analyse schafft Entscheidungsgrundlagen.

6. Bewertung der Wirksamkeit

Auf Basis der Analyse muss bewertet werden:

• ob Maßnahmen wirksam sind
• ob Prozesse die beabsichtigten Ergebnisse liefern
• ob Risiken angemessen gesteuert werden
• ob Anpassungen erforderlich sind

Die Bewertung ist Grundlage für Verbesserungen.

7. Nutzung der Ergebnisse für Steuerung und Entscheidungen

Die Ergebnisse müssen genutzt werden:

• zur Anpassung von Maßnahmen
• zur Priorisierung von Verbesserungen
• zur Information der Führungsebene
• als Input für Managementbewertungen

So wird das ISMS aktiv gesteuert.

8. Dokumentation und Nachweisführung

Überwachung, Messung, Analyse und Bewertung müssen dokumentiert werden:

• definierte Kennzahlen und Kriterien
• Messergebnisse und Analysen
• Bewertungen und Entscheidungen
• abgeleitete Maßnahmen

Die Dokumentation ist auditrelevant.

Zusammenfassung

Klausel 9.1 fordert, dass Organisationen die Leistung ihres Informationssicherheitsmanagementsystems systematisch überwachen, messen, analysieren und bewerten. Durch klar definierte Kennzahlen, regelmäßige Bewertungen und die Nutzung der Ergebnisse zur Steuerung und Verbesserung wird sichergestellt, dass das ISMS wirksam bleibt und kontinuierlich weiterentwickelt wird. Diese Klausel bildet die Grundlage für faktenbasierte Entscheidungen im ISMS nach ISO/IEC 27001:2022.