03690 Managementreview zur ISO/IEC 27001
|
Die Managementbewertung gehört zur alltäglichen Praxis für alle Organisationen, die ein zertifiziertes Managementsystem unterhalten. In diesem Beitrag erhalten Sie einleitende Informationen, auf welcher Grundlage die Managementbewertungen nach ISO/IEC 27001:2022 „Informationssicherheitsmanagementsystem (ISMS)” beruhen und welche normativen Anforderungen dabei zu berücksichtigen sind.
Im Kern des Beitrags erfahren Sie, wie Sie eine normenkonforme und strukturell übersichtliche Managementbewertung zu dieser Norm durchführen können, was Inhalte der dokumentierten Bewertung sein müssen und was ggf. in andere begleitende Dokumente (Anlagen) ausgelagert werden kann. Sie erhalten auch Hinweise, wie die Managementbewertung des ISMS ggf. mit anderen ISO-Normen verbunden werden kann.
Außerdem erhalten Sie eine Anleitung, in welchen Schritten und mit welchen Methoden Sie die Managementbewertung in der Praxis gestalten können. Auch die Freiräume, die Sie haben, um dabei den Bedürfnissen ihrer Organisation gerecht zu werden, werden dargestellt. Der Umgang mit der Managementbewertung im Nachgang ist ebenso Thema, damit Ihre Organisation daraus den größtmöglichen Nutzen ziehen kann.
Im Ergebnis zeigt Ihnen der Beitrag, wie Sie aus einer (ungeliebten) Pflicht ein übersichtliches, akzeptiertes Führungsinstrument machen können. Arbeitshilfen: von: |
1.1 Normenanforderung an das Managementreview
Managementbewertung
Die Managementbewertung nach Normkapitel 9.3 ist eine Anforderung der ISO bei all jenen Managementsystemnormen, die Grundlage einer externen Zertifizierung sind, so auch für die ISO/IEC 27001:2022 [1]. Im Allgemeinen wird sie in vielen Organisationen auch als Managementreview bezeichnet. Diese Bezeichnung wird im Folgenden hauptsächlich verwendet, da sie sich in der Praxis eingebürgert hat. Der Begriff „Review” steht für eine kritische Überprüfung oder Nachprüfung der Leistung und Wirksamkeit des betrachteten Managementsystems und der darin eingebetteten Organisationsprozesse.
Die Managementbewertung nach Normkapitel 9.3 ist eine Anforderung der ISO bei all jenen Managementsystemnormen, die Grundlage einer externen Zertifizierung sind, so auch für die ISO/IEC 27001:2022 [1]. Im Allgemeinen wird sie in vielen Organisationen auch als Managementreview bezeichnet. Diese Bezeichnung wird im Folgenden hauptsächlich verwendet, da sie sich in der Praxis eingebürgert hat. Der Begriff „Review” steht für eine kritische Überprüfung oder Nachprüfung der Leistung und Wirksamkeit des betrachteten Managementsystems und der darin eingebetteten Organisationsprozesse.
Grundanforderungen
Was sind die Grundanforderungen der ISO/IEC 27001 – Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre (ISMS) an das Managementreview? Die Formulierung zum Normkapitel 9.3 „Managementbewertung” lautet unter 9.3.1 „Allgemeines”: „Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortlaufende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.”
Was sind die Grundanforderungen der ISO/IEC 27001 – Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre (ISMS) an das Managementreview? Die Formulierung zum Normkapitel 9.3 „Managementbewertung” lautet unter 9.3.1 „Allgemeines”: „Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortlaufende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.”
Oberste Leitung
Wenn man diesen Satz in seinen Teilen analysiert, stellt sich zuerst die Frage, wer mit der obersten Leitung gemeint ist. Dazu gibt es eine Definition im jeweiligen Normkapitel 3 „Begriffe”. Als oberste Leitung definiert wird „die Person oder Personengruppe, die eine Organisation auf oberster Ebene führt und steuert”. Dabei gibt es in der Praxis schon Unterschiede in der Leitungsorganisation, die sich z. B. aus der Organisationsgröße und -struktur ergeben. In einem mittelständischen Unternehmen mit nur einem Standort ist die Frage nach der obersten Leitung wohl meist einfach zu beantworten. Es ist der Geschäftsführer oder bei einer mehrköpfigen Unternehmensleitung die Geschäftsführung.
Wenn man diesen Satz in seinen Teilen analysiert, stellt sich zuerst die Frage, wer mit der obersten Leitung gemeint ist. Dazu gibt es eine Definition im jeweiligen Normkapitel 3 „Begriffe”. Als oberste Leitung definiert wird „die Person oder Personengruppe, die eine Organisation auf oberster Ebene führt und steuert”. Dabei gibt es in der Praxis schon Unterschiede in der Leitungsorganisation, die sich z. B. aus der Organisationsgröße und -struktur ergeben. In einem mittelständischen Unternehmen mit nur einem Standort ist die Frage nach der obersten Leitung wohl meist einfach zu beantworten. Es ist der Geschäftsführer oder bei einer mehrköpfigen Unternehmensleitung die Geschäftsführung.
Komplexe Unternehmensstrukturen
Bei einem weltumspannenden Konzern mit Tochtergesellschaften und Standorten in vielen Ländern ist die Antwort auf die Frage nach der obersten Leitung schon etwas komplexer. In der Praxis geht man dazu auf die nationalen Gesellschaften und deren Führung als oberste Leitung zurück. Im Einzelfall kann bei größeren Standorten (unselbstständige Werke einer nationalen Gesellschaft) als oberste Leitung auch die Werksleitung aufgefasst werden. Besteht die oberste Leitung aus mehr als einer Person (Führungsgremium), sollte die Verantwortung für das ISMS explizit (z. B. im Geschäftsverteilungsplan) auf eine davon übertragen werden.
Bei einem weltumspannenden Konzern mit Tochtergesellschaften und Standorten in vielen Ländern ist die Antwort auf die Frage nach der obersten Leitung schon etwas komplexer. In der Praxis geht man dazu auf die nationalen Gesellschaften und deren Führung als oberste Leitung zurück. Im Einzelfall kann bei größeren Standorten (unselbstständige Werke einer nationalen Gesellschaft) als oberste Leitung auch die Werksleitung aufgefasst werden. Besteht die oberste Leitung aus mehr als einer Person (Führungsgremium), sollte die Verantwortung für das ISMS explizit (z. B. im Geschäftsverteilungsplan) auf eine davon übertragen werden.
Geplante Abstände
Als Nächstes ist der Begriff „geplante Abstände” im Sinne der Normen zu klären. Die Wortwahl weist auf eine regelmäßig wiederkehrende Aktion der obersten Leitung hin. Zur Klärung dieser Frage ist die gelebte Praxis heranzuziehen. Der maximale Abstand zwischen einem Managementreview und dem nächsten beträgt in der Regel zwölf Monate. Das ergibt sich aus der Pflicht der Zertifizierungsgesellschaften (Vorgabe der Deutschen Akkreditierungsstelle, DAkkS), jährlich ein Überwachungsaudit der zertifizierten Managementsysteme ihrer Kunden vorzunehmen. Zu den wichtigsten Prüfpunkten gehören dabei das zuletzt durchgeführte interne Audit und das aktuelle Managementreview. Zum Zeitpunkt der Prüfung durch den Zertifizierungsauditor sollte das Managementreview nicht älter als drei Monate sein.
Als Nächstes ist der Begriff „geplante Abstände” im Sinne der Normen zu klären. Die Wortwahl weist auf eine regelmäßig wiederkehrende Aktion der obersten Leitung hin. Zur Klärung dieser Frage ist die gelebte Praxis heranzuziehen. Der maximale Abstand zwischen einem Managementreview und dem nächsten beträgt in der Regel zwölf Monate. Das ergibt sich aus der Pflicht der Zertifizierungsgesellschaften (Vorgabe der Deutschen Akkreditierungsstelle, DAkkS), jährlich ein Überwachungsaudit der zertifizierten Managementsysteme ihrer Kunden vorzunehmen. Zu den wichtigsten Prüfpunkten gehören dabei das zuletzt durchgeführte interne Audit und das aktuelle Managementreview. Zum Zeitpunkt der Prüfung durch den Zertifizierungsauditor sollte das Managementreview nicht älter als drei Monate sein.
