03691 Managementreview zur ISO/IEC 27001 im Integrierten Managementsystem
Dier Beitrag bietet umfassende Informationen zur Durchführung von Managementbewertungen gemäß der ISO/IEC 27001:2022. Er richtet sich dabei speziell an Organisationen, die ein Integriertes Managementsystem (IMS) nach ISO/IEC 27001 und den Standards ISO 9001, ISO 14001 und ISO 45001 unterhalten bzw. einführen wollen. Im Kern wird erläutert, wie eine integrierte, normenkonforme und strukturell übersichtliche Managementbewertung erstellt wird, welche Inhalte dokumentiert werden müssen und was in begleitende Dokumente ausgelagert werden kann.
Der Beitrag beschreibt dazu geeignete Methoden, die eine Managementbewertung in einem IMS vereint. Durch die Integration werden Redundanzen vermieden und die Effizienz der Systeme im Zusammenspiel gesteigert. Dazu liefert der Beitrag konkrete Anleitung für die praktische Umsetzung und beschreibt die Freiräume, die Organisationen nutzen können, um ihre spezifischen Bedürfnisse zu erfüllen. Schließlich wird auch der Umgang mit den Ergebnissen des Managementreviews thematisiert, um den größtmöglichen Nutzen zu erzielen.
Zur Unterstützung bei der Erstellung und Dokumentation des integrierten Managementreviews stehen eine Reihe erprobter Arbeitshilfen zum Download bereit. Arbeitshilfen: von: |
1 Zielstellungen des Managementreviews
Die Managementbewertung – im Englischen als Managementreview bezeichnet, so auch in diesem Beitrag – gehört zur alltäglichen Praxis für alle Organisationen, die ein zertifiziertes Managementsystem unterhalten. In diesem Beitrag erhalten Sie einleitende Informationen, auf welcher Grundlage die Managementbewertungen nach ISO/IEC 27001:2022 [1] für Informationssicherheitsmanagementsystem (ISMS) beruhen und welche normativen Anforderungen dabei zu berücksichtigen sind.
Im Kern des Beitrags erfahren Sie, wie Sie eine normenkonforme und strukturell übersichtliche Managementbewertung zur ISO/IEC 27001 durchführen können, was Inhalte der dokumentierten Bewertung sein müssen und was ggf. in andere begleitende Dokumente (Anlagen) ausgelagert werden kann.
IMS 27001, 9001, 14001 und 45001
Sie erhalten dazu auch Hinweise, wie Sie die Managementbewertung zum ISMS integrativ mit anderen ISO-Normen verbinden können. Als Beispiel wird dabei ein integriertes Managementsystem (IMS) nach ISO 9001 [2] , ISO 14001 [3] und ISO 45001 [4] und deren Managementreview herangezogen. Dabei wird gezeigt, wie vergleichbare Forderungen integrativ bearbeitet werden können, um Redundanzen zu vermeiden und das gemeinsame Review im Umfang auf das Notwendigste zu beschränken. Sollten Sie sich lediglich für ein Managementreview auf alleiniger Basis der ISO/IEC 27001 entscheiden, sei an dieser Stelle auf den Beitrag „Managementreview zur ISO/IEC 27001” verwiesen, s. Kap. 03690.
Sie erhalten dazu auch Hinweise, wie Sie die Managementbewertung zum ISMS integrativ mit anderen ISO-Normen verbinden können. Als Beispiel wird dabei ein integriertes Managementsystem (IMS) nach ISO 9001 [2] , ISO 14001 [3] und ISO 45001 [4] und deren Managementreview herangezogen. Dabei wird gezeigt, wie vergleichbare Forderungen integrativ bearbeitet werden können, um Redundanzen zu vermeiden und das gemeinsame Review im Umfang auf das Notwendigste zu beschränken. Sollten Sie sich lediglich für ein Managementreview auf alleiniger Basis der ISO/IEC 27001 entscheiden, sei an dieser Stelle auf den Beitrag „Managementreview zur ISO/IEC 27001” verwiesen, s. Kap. 03690.
Außerdem erhalten Sie eine Anleitung, in welchen Schritten und mit welchen Methoden Sie die Managementbewertung in der Praxis gestalten können. Auch werden die Freiräume beschrieben, die Sie haben, um dabei den Bedürfnissen ihrer Organisation gerecht zu werden. Der Umgang mit der Managementbewertung im Nachgang ist ebenso Thema, damit Ihre Organisation daraus den größtmöglichen Nutzen ziehen kann.
Im Ergebnis erfahren Sie, wie Sie aus einer (ungeliebten) Pflicht ein übersichtliches und akzeptiertes Führungsinstrument machen können.
1.1 Normenanforderung an das Managementreview
Managementbewertung
Die Managementbewertung nach Normkapitel 9.3 ist eine Anforderung der ISO bei all jenen Managementsystemnormen, die Grundlage einer externen Zertifizierung sind, so auch für die ISO/IEC 27001. Im Allgemeinen wird sie in vielen Organisationen auch als Managementreview bezeichnet. Diese Bezeichnung wird im Folgenden hauptsächlich verwendet, da sie sich in der Praxis eingebürgert hat. Der Begriff „Review” steht für eine kritische Überprüfung oder Nachprüfung der Leistung und Wirksamkeit des betrachteten Managementsystems und der darin eingebetteten Organisationsprozesse.
Die Managementbewertung nach Normkapitel 9.3 ist eine Anforderung der ISO bei all jenen Managementsystemnormen, die Grundlage einer externen Zertifizierung sind, so auch für die ISO/IEC 27001. Im Allgemeinen wird sie in vielen Organisationen auch als Managementreview bezeichnet. Diese Bezeichnung wird im Folgenden hauptsächlich verwendet, da sie sich in der Praxis eingebürgert hat. Der Begriff „Review” steht für eine kritische Überprüfung oder Nachprüfung der Leistung und Wirksamkeit des betrachteten Managementsystems und der darin eingebetteten Organisationsprozesse.
Grundanforderungen
Was sind die Grundanforderungen der ISO/IEC 27001 – Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre (ISMS) an das Managementreview? Die Formulierung zum Normkapitel 9.3 „Managementbewertung” lautet unter Normabschnitt 9.3.1 „Allgemeines”: „Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortlaufende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.”
Was sind die Grundanforderungen der ISO/IEC 27001 – Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre (ISMS) an das Managementreview? Die Formulierung zum Normkapitel 9.3 „Managementbewertung” lautet unter Normabschnitt 9.3.1 „Allgemeines”: „Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortlaufende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.”
Oberste Leitung
Wenn man diesen Satz in seinen Teilen analysiert, stellt sich zuerst die Frage, wer mit der obersten Leitung gemeint ist. Dazu gibt die ISO/IEC 27001 keine Hinweise. Aber im Leitfaden ISO 9000:2015 „Qualitätsmanagementsysteme – Grundlagen und Begriffe” steht im Normkapitel 3 „Begriffe” eine Definition unter Normabschnitt 3.1.1. Als oberste Leitung wird dort definiert „die Person oder Personengruppe, die eine Organisation auf oberster Ebene führt und steuert”. Dabei gibt es in der Praxis schon Unterschiede in der Leitungsorganisation, die sich z. B. aus der Organisationsgröße und -struktur ergeben. In einem mittelständischen Unternehmen mit nur einem Standort ist die Frage nach der obersten Leitung wohl meist einfach zu beantworten. Es ist der Geschäftsführer oder bei einer mehrköpfigen Unternehmensleitung die Geschäftsführung.
Wenn man diesen Satz in seinen Teilen analysiert, stellt sich zuerst die Frage, wer mit der obersten Leitung gemeint ist. Dazu gibt die ISO/IEC 27001 keine Hinweise. Aber im Leitfaden ISO 9000:2015 „Qualitätsmanagementsysteme – Grundlagen und Begriffe” steht im Normkapitel 3 „Begriffe” eine Definition unter Normabschnitt 3.1.1. Als oberste Leitung wird dort definiert „die Person oder Personengruppe, die eine Organisation auf oberster Ebene führt und steuert”. Dabei gibt es in der Praxis schon Unterschiede in der Leitungsorganisation, die sich z. B. aus der Organisationsgröße und -struktur ergeben. In einem mittelständischen Unternehmen mit nur einem Standort ist die Frage nach der obersten Leitung wohl meist einfach zu beantworten. Es ist der Geschäftsführer oder bei einer mehrköpfigen Unternehmensleitung die Geschäftsführung.
Komplexe Unternehmensstrukturen
Bei einem weltumspannenden Konzern mit Tochtergesellschaften und Standorten in vielen Ländern ist die Antwort auf die Frage nach der obersten Leitung schon etwas komplexer. In der Praxis geht man dazu auf die nationalen Gesellschaften und deren Führung als oberste Leitung zurück. Im Einzelfall kann bei größeren Standorten (unselbstständige Werke einer nationalen Gesellschaft) als oberste Leitung auch die Werksleitung aufgefasst werden. Besteht die oberste Leitung aus mehr als einer Person (Führungsgremium), sollte die Verantwortung für das ISMS explizit (z. B. im Geschäftsverteilungsplan) auf eine davon übertragen werden. Gleiches gilt für die weiteren Normen des IMS.
Bei einem weltumspannenden Konzern mit Tochtergesellschaften und Standorten in vielen Ländern ist die Antwort auf die Frage nach der obersten Leitung schon etwas komplexer. In der Praxis geht man dazu auf die nationalen Gesellschaften und deren Führung als oberste Leitung zurück. Im Einzelfall kann bei größeren Standorten (unselbstständige Werke einer nationalen Gesellschaft) als oberste Leitung auch die Werksleitung aufgefasst werden. Besteht die oberste Leitung aus mehr als einer Person (Führungsgremium), sollte die Verantwortung für das ISMS explizit (z. B. im Geschäftsverteilungsplan) auf eine davon übertragen werden. Gleiches gilt für die weiteren Normen des IMS.
Geplante Abstände
Als Nächstes ist der Begriff „geplante Abstände” im Sinne der Normen zu klären. Die Wortwahl weist auf eine regelmäßig wiederkehrende Aktion der obersten Leitung hin. Zur Klärung dieser Frage ist die gelebte Praxis heranzuziehen. Der maximale Abstand zwischen einem Managementreview und dem nächsten beträgt in der Regel zwölf Monate. Das ergibt sich aus der Pflicht der Zertifizierungsgesellschaften (Vorgabe der Deutschen Akkreditierungsstelle, DAkkS), jährlich ein Überwachungsaudit der zertifizierten Managementsysteme ihrer Kunden vorzunehmen. Zu den wichtigsten Prüfpunkten gehören dabei das zuletzt durchgeführte interne Audit und das aktuelle Managementreview. Zum Zeitpunkt der Prüfung durch den Zertifizierungsauditor sollte das Managementreview nicht älter als drei Monate sein.
Als Nächstes ist der Begriff „geplante Abstände” im Sinne der Normen zu klären. Die Wortwahl weist auf eine regelmäßig wiederkehrende Aktion der obersten Leitung hin. Zur Klärung dieser Frage ist die gelebte Praxis heranzuziehen. Der maximale Abstand zwischen einem Managementreview und dem nächsten beträgt in der Regel zwölf Monate. Das ergibt sich aus der Pflicht der Zertifizierungsgesellschaften (Vorgabe der Deutschen Akkreditierungsstelle, DAkkS), jährlich ein Überwachungsaudit der zertifizierten Managementsysteme ihrer Kunden vorzunehmen. Zu den wichtigsten Prüfpunkten gehören dabei das zuletzt durchgeführte interne Audit und das aktuelle Managementreview. Zum Zeitpunkt der Prüfung durch den Zertifizierungsauditor sollte das Managementreview nicht älter als drei Monate sein.
Eignung, Angemessenheit und Wirksamkeit
Bleibt als letzter Punkt zu klären, was die Bewertung von Eignung, Angemessenheit und Wirksamkeit des Managementsystems bedeutet. Was genau da zu bewerten ist, findet sich nicht in der ISO/IEC 27001, sondern ist in anderen weit verbreiteten Managementsystemen (Normanhang A, A.9.3, ISO 14001 und ISO 45001) erläutert. Die Aussagen sind auch auf die ISO/IEC 27001 übertragbar. Sie geben an,
Bleibt als letzter Punkt zu klären, was die Bewertung von Eignung, Angemessenheit und Wirksamkeit des Managementsystems bedeutet. Was genau da zu bewerten ist, findet sich nicht in der ISO/IEC 27001, sondern ist in anderen weit verbreiteten Managementsystemen (Normanhang A, A.9.3, ISO 14001 und ISO 45001) erläutert. Die Aussagen sind auch auf die ISO/IEC 27001 übertragbar. Sie geben an,
Geeignet | |
• | inwieweit das spezifische Managementsystem zur Organisation, ihrem Betriebsablauf, ihrer Kultur und dem Geschäftssystem passt, |
Angemessen | |
• | inwieweit das Managementsystem korrekt verwirklicht wird und |
Wirksam | |
• | inwieweit das Managementsystem die beabsichtigten Ergebnisse liefert. |
PDCA-Zyklus
Das Managementreview übernimmt auch eine herausragende Funktion im PDCA-Zyklus von William Edwards Deming, bestehend aus den vier Phasen Planen, Durchführen, Checken (= Überprüfen) und Aktion (= Handeln). Der Phase Check sind die Eingaben des Managementreviews und der Phase Act die Ausgaben zuzuordnen.
Das Managementreview übernimmt auch eine herausragende Funktion im PDCA-Zyklus von William Edwards Deming, bestehend aus den vier Phasen Planen, Durchführen, Checken (= Überprüfen) und Aktion (= Handeln). Der Phase Check sind die Eingaben des Managementreviews und der Phase Act die Ausgaben zuzuordnen.
Zwei Aufgabenteile
Der operative Teil des Managementreviews besteht aus zwei Teilen mit unterschiedlichen Aufgaben für die oberste Leitung:
Der operative Teil des Managementreviews besteht aus zwei Teilen mit unterschiedlichen Aufgaben für die oberste Leitung:
1. | den Eingaben in die Bewertung (Normkapitel 9.3.2 „Eingaben für die Managementbewertung”), die gemäß ISO/IEC 27001 aus einer Sammlung von wichtigen Leistungsindikatoren bestehen. Dies sind die Zahlen, Daten und Fakten, anhand deren Eignung, Angemessenheit, Wirksamkeit und die weiteren zu bewertenden Faktoren des Managementsystems ermittelt und hinsichtlich der Zielstellung von der obersten Leitung bewertet werden müssen; |
2. | den Ausgaben der Bewertung (Normkapitel 9.3.3 „Managementbewertungsergebnisse”), also den Schlussfolgerungen, die aus der Bewertung zu ziehen sind, sowie den daraus resultierenden Maßnahmen für die Zukunft, um Eignung, Angemessenheit und Wirksamkeit des Managementsystems zu verbessern. |
Die Normenanforderungen in ISO 9001, ISO 14001 und ISO 45001 an das Managementreview sind strukturell vergleichbar mit denen der ISO/IEC 27001. Natürlich gibt es fachspezifische Unterschiede, die der Themenstellung, z. B. Qualität oder Umwelt, geschuldet sind.
1.2 Managementreview aus Unternehmenssicht
Sinn und Zweck oft unklar
Das Managementreview ist auch heute noch in vielen Unternehmen und Organisationen eher eine ungeliebte Pflicht zur Aufrechterhaltung des Zertifikats. Das liegt daran, dass der tiefere Sinn und Zweck des Managementreviews der Führung oft nicht klar genug ist. Auch die Art der Umsetzung, auf welchen Wegen man also eine solche transparent durchführen kann, ist häufig unklar.
Das Managementreview ist auch heute noch in vielen Unternehmen und Organisationen eher eine ungeliebte Pflicht zur Aufrechterhaltung des Zertifikats. Das liegt daran, dass der tiefere Sinn und Zweck des Managementreviews der Führung oft nicht klar genug ist. Auch die Art der Umsetzung, auf welchen Wegen man also eine solche transparent durchführen kann, ist häufig unklar.