(nach ISO/IEC 27001:2022)

Damit die Managementbewertung fundierte und wirksame Entscheidungen ermöglicht, muss sie auf vollständigen, aktuellen und relevanten Informationen basieren. Diese Klausel legt fest, welche Informationen als Eingaben für die Managementbewertung heranzuziehen sind. Sie stellt sicher, dass die oberste Leitung ein umfassendes Bild über den Zustand, die Leistung und die Weiterentwicklung des Informationssicherheitsmanagementsystems (ISMS) erhält.

Zweck der Klausel

Klausel 9.3.2 soll gewährleisten, dass die Managementbewertung auf einer belastbaren Informationsgrundlage erfolgt. Ziel ist es, alle relevanten internen und externen Einflussfaktoren, Leistungsdaten und Erkenntnisse systematisch zu berücksichtigen, um wirksame Managemententscheidungen zu treffen.

Anforderungen und Maßnahmen

1. Status von Maßnahmen aus vorherigen Managementbewertungen

Die Managementbewertung muss Informationen enthalten zu:

• umgesetzten Maßnahmen aus früheren Bewertungen
• offenen oder verzögerten Maßnahmen
• Wirksamkeit der umgesetzten Entscheidungen
• identifizierten Hindernissen

Dies ermöglicht die Nachverfolgung von Entscheidungen.

2. Veränderungen externer und interner Themen

Als Eingaben sind Veränderungen zu berücksichtigen, insbesondere:

• Änderungen im organisatorischen Kontext
• rechtliche, regulatorische oder vertragliche Änderungen
• technologische Entwicklungen
• Veränderungen der Bedrohungs- und Risikolage

So bleibt das ISMS anpassungsfähig.

3. Informationen zur Leistung des ISMS

Die Managementbewertung muss Leistungsinformationen enthalten, zum Beispiel:

• Ergebnisse der Überwachung und Messung
• Erreichung der Informationssicherheitsziele
• Kennzahlen und Leistungsindikatoren
• Wirksamkeit von Prozessen und Maßnahmen

Diese Informationen bilden die Grundlage für die Leistungsbewertung.

4. Ergebnisse interner und externer Audits

Audit-Ergebnisse sind zentrale Eingaben:

• Feststellungen interner Audits
• Ergebnisse externer Audits oder Zertifizierungen
• Abweichungen und Empfehlungen
• Status von Korrekturmaßnahmen

Audits liefern objektive Bewertungsgrundlagen.

5. Ergebnisse der Informationssicherheitsbewertung

Die Managementbewertung muss Informationen enthalten zu:

• aktuellen Informationssicherheitsrisiken
• Veränderungen des Risikoprofils
• Ergebnissen der Risikobewertung
• Status der Risikobehandlung

Dies unterstützt risikobasierte Entscheidungen.

6. Status von Vorfällen und Schwachstellen

Informationen zu Sicherheitsvorfällen müssen berücksichtigt werden:

• gemeldete Informationssicherheitsvorfälle
• Ursachen und Auswirkungen
• ergriffene Maßnahmen
• identifizierte Schwachstellen

Diese Informationen zeigen reale Risiken auf.

7. Rückmeldungen interessierter Parteien

Rückmeldungen relevanter Parteien sind einzubeziehen:

• Kundenfeedback
• Rückmeldungen von Lieferanten oder Partnern
• Behörden oder Aufsichtsstellen
• interne Rückmeldungen aus Fachbereichen

Dies unterstützt eine ganzheitliche Bewertung.

8. Möglichkeiten zur Verbesserung

Die Managementbewertung muss Informationen zu Verbesserungsmöglichkeiten enthalten:

• identifizierte Optimierungspotenziale
• Vorschläge aus Audits oder Bewertungen
• technologische oder organisatorische Verbesserungen
• Lessons Learned

Verbesserung ist ein zentrales Ziel der Bewertung.

Zusammenfassung

Klausel 9.3.2 fordert, dass die Managementbewertung des Informationssicherheitsmanagementsystems auf vollständigen und relevanten Eingaben basiert. Durch die systematische Berücksichtigung von Leistungsdaten, Audit-Ergebnissen, Risiken, Vorfällen, Veränderungen und Verbesserungsmöglichkeiten erhält die oberste Leitung eine fundierte Entscheidungsgrundlage. Diese Klausel stellt sicher, dass die Managementbewertung wirksam zur Steuerung und Weiterentwicklung des ISMS nach ISO/IEC 27001:2022 beiträgt.