Management-Review nach ISO 27001

Die ISO 27001 Norm erwartet von der Geschäftsleitung, dass sie sich regelmäßig mit dem aktuellen Zustand der Informationssicherheit beschäftigt. Das sogenannte Management-Review stellt nach ISO 27001 die Gegenüberstellung des Ist-Zustands mit dem im ISMS festgelegten Wunschzustand. 

Folgende Themen sollten auf der Agenda des Management Reviews stehen:

  • Sicherheitsvorfälle
  • Risiken
  • Erwartungen
  • Abweichungen
  • Ziele

Dabei werden folgende Fragestellungen im Detail besprochen:

  • Welche Sicherheitsvorfälle sind aufgetreten? Wie sind wir mit der Situation umgegangen? Kann eine Wiederholung des Verfalls durch die Sicherheitsmaßnahmen verhindert werden? Wo müssen wir organisatorisch bzw. technisch unsere Informationssicherheit nachbessern?
  • Wie sieht die aktuelle Bedrohungslage aus? Sind wir in der Lage angemessen auf die identifizierten Risiken zu reagieren? Wann werden Maßnahmen implementiert sein, um neue Risiken der sich entwickelnden Bedrohungslage zu vermindern?
  • Welche Erwartungen setzen regulatorische und vertragliche Verpflichtungen an die Organisation? Was erwarten unsere Kunden und Mitarbeiter von unserem Umgang mit der Informationssicherheit? Wo müssen wir besser werden, um die gestiegenen Anforderungen gerecht zu werden?
  • Wie stellen wir sicher, dass wir unsere eigenen Vorgaben folgen? Wie und wann haben wir überprüft, dass unsere Sicherheitsmaßnahmen auch tatsächlich gelebt werden? Sind die Schutzmaßnahmen aktiv und wirksam? Welche Erkenntnisse haben wir aus dem internen Audit gewonnen?
  • Welche Ziele haben wir für unsere Informationssicherheit festgelegt? Wie weit sind wir von unseren Zielen abgewichen? Haben wir uns dahingehend verändert, dass unsere definierten Ziele nicht mehr der Realität entsprechen? 
Im Erstgespräch werden die Phasen, Kosten und Anforderungen erklärt.