Managementbericht
In einem gesunden Managementsystem trägt die Geschäftsführung die Verantwortung und trifft dafür wegweisende Entscheidungen, legt die Strategie fest, initiiert wesentliche Anpassungen und passt Ziele des ISMS an.
Um der Geschäftsführung diese Aufgaben zu ermöglichen, muss sie regelmäßig eine Berichterstattung über den Status des ISMS in Form einer sogenannten „Managementbewertung” erhalten.
Eine solche Berichterstattung an die Geschäftsführung sollte quartalsweise oder halbjährlich, mindestens aber einmal im Jahr erfolgen. Stimme die Frequenz mit der Geschäftsführung ab, aber nimm dir erst einmal nicht zu viel vor.
Überzeuge das Management und den Auditor! Das ISMS SmartKit hilft bei der Erstellung einer normgerechten Managementbewertung und stellt automatisiert die relevanten Inhalte zusammen.
Bezüglich der Ausgestaltung gibt die Norm eine Reihe von Inhalten der Managementbewertung unmittelbar vor. Das umfasst z. B. den Status von Maßnahmen, Ergebnisse aus internen Audits sowie dem Risikomanagement und einiges mehr (siehe ISO 27001, Kapitel 9.3).
In der Praxis zeigt sich, dass die Inhalte oftmals bereits vorhanden sind, jedoch oft genug unvollständig oder nicht in einer Form, in der sie auch reported werden können. Daher sollte bei den unterjährigen Aktivitäten im ISMS bereits berücksichtigt werden, dass gewisse Themen am Ende auch mit geringem Aufwand in die Managementbewertung überführt werden können. Ist die Dokumentation in einem Meer aus Word-Dokumenten, Excel-Tabellen und E-Mails verteilt, führt dies zu hohen Arbeitsaufwänden oder im Ergebnis zu einem unvollständigen, inkonsistenten oder fehlerhaften Bericht.
Behalte bei der Durchführung der Prozesse also an den entscheidenden Stellen bereits im Auge, dass die Ergebnisse zentral und vollständig vorliegen. Es empfiehlt sich, dies insbesondere an folgenden Stellen zu tun:
Beim Messen von Kennzahlen und Zielen der Informationssicherheit
Bei der Steuerung von Maßnahmen
Bei der Dokumentation von Sicherheitsvorfällen
Im Risikomanagement, zu den jeweiligen Risiken sowie deren Behandlung
Bei der Dokumentation der Ergebnisse von internen Audits
Bei der Auswertung des Selfassessments
Es gibt darüber hinaus zwei Dinge, die unbedingt in die Managementbewertung gehören, jedoch meist nicht in bereits bestehenden Prozessen generiert werden:
Die Rückmeldung von interessierten Parteien, beispielsweise wenn sich ein Kunde, eine Behörde o. ä. in Bezug auf Themen der Informationssicherheit bei Ihnen meldet.
Die Themen, die einen signifikanten Einfluss auf das ISMS haben. Das können beispielsweise Neuprodukte oder wesentliche Änderungen an Produkten, neue Kerngeschäftsprozesse, neue Standorte oder eine neu eingeführte Sicherheitslösung wie ein SIEM sein.
Mache dir also zu diesen beiden Themen bereits im Berichtszeitraum Notizen, dann steht einer erfolgreichen Managementbewertung nichts mehr im Wege.
Ist alles zur Managementbewertung zusammengetragen, wird diese gemeinsam mit der Geschäftsführung besprochen und bewertet. Daraus sollten Entscheidungen zum Beispiel zur Strategie, den ISMS Zielen und Kennzahlen, notwendigen Maßnahmen sowie erforderlichen Ressourcen abgeleitet und mit in der Managementbewertung oder einem Protokoll dokumentiert werden. Als wichtiges Dokument im ISMS sollte die Managementbewertung abschließend von der Geschäftsführung unterschrieben werden.