Reporting in Form einer Managementbewertung
In einem gesunden Managementsystem trägt die Leitung die Verantwortung und trifft die richtungsweisenden Entscheidungen, legt die Strategie fest, initiiert wesentliche Anpassungen und passt die Ziele des ISMS an. Um diese Aufgaben wahrnehmen zu können, muss die Leitung regelmäßig ein Reporting über den Status des ISMS in Form einer „Managementbewertung” erhalten.
Eine solche Berichterstattung an die Leitung sollte quartalsweise oder halbjährlich, mindestens aber einmal jährlich erfolgen.
Hinsichtlich der Ausgestaltung gibt die Norm eine Reihe von Inhalten der Managementbewertung direkt vor. Dazu gehören z.B. der Status von Maßnahmen, Ergebnisse aus internen Audits, das Risikomanagement und vieles mehr. Wirf zu den erforderlichen Inhalten einen Blick in die ISO 27001, Kapitel 9.3.
Erstellung
In der Praxis zeigt sich, dass die Inhalte häufig bereits vorhanden sind, aber oft genug unvollständig oder nicht in einer Form, in der sie auch berichtet werden können. Daher sollte bereits bei den unterjährigen Aktivitäten im ISMS berücksichtigt werden, dass bestimmte Themen am Ende auch mit geringem Aufwand in die Managementbewertung überführt werden können. Ist die Dokumentation in einem Meer von Word-Dokumenten, Excel-Tabellen und E-Mails verstreut, führt dies zu einem hohen Arbeitsaufwand oder im Ergebnis zu einem unvollständigen, inkonsistenten oder fehlerhaften Bericht.
Achte bei der Umsetzung der Prozesse daher bereits an den entscheidenden Stellen darauf, dass die Ergebnisse zentral und vollständig vorliegen. Dies ist insbesondere an folgenden Stellen zu empfehlen:
- Bei der Messung von Kennzahlen und Zielen der Informationssicherheit
- bei der Steuerung von Maßnahmen
- bei der Dokumentation von Sicherheitsvorfällen
- beim Risikomanagement, bei den jeweiligen Risiken und deren Behandlung
- bei der Dokumentation der Ergebnisse interner Audits
- bei der Auswertung des Self-Assessments
Es gibt darüber hinaus zwei Dinge, die unbedingt in die Managementbewertung gehören, jedoch meist nicht in bereits bestehenden Prozessen generiert werden:
- Die Rückmeldung von interessierten Parteien. Beispielsweise wenn sich ein Kunde, eine Behörde o. ä. in Bezug auf Themen der Informationssicherheit bei Ihnen meldet.
- Die Themen, die einen signifikanten Einfluss auf das ISMS haben. Das können beispielsweise Neuprodukte oder wesentliche Änderungen an Produkten, neue Kerngeschäftsprozesse, neue Standorte oder eine neu eingeführte Sicherheitslösung wie ein SIEM sein.
Mache dir also zu diesen beiden Themen bereits im Berichtszeitraum Notizen. Dann steht einer erfolgreichen Managementbewertung nichts mehr im Wege.
Ergebnisse
Ist alles zur Managementbewertung zusammengetragen, wird diese gemeinsam mit der Geschäftsführung besprochen und bewertet. Daraus sollten Entscheidungen zum Beispiel zur Strategie, den ISMS Zielen und Kennzahlen, notwendigen Maßnahmen sowie erforderlichen Ressourcen abgeleitet und in der Managementbewertung oder einem Protokoll dokumentiert werden. Als wichtiges Dokument im ISMS sollte die Managementbewertung abschließend von der Geschäftsführung unterschrieben werden.
TL;DR
- Das Reporting in Form einer Managementbewertung ist ein verpflichtendes Element in jedem ISMS und sollte mindestens jährlich erfolgen.
- Die notwendigen Inhalte für eine normgerechte Managementbewertung benennt die ISO 27001 Norm in Kapitel 9.3.
- Behalte bereits bei der Durchführung der ISMS Kernprozesse bereits im Auge, dass die Ergebnisse später in die Managementbewertung einfließen müssen.
- Als Resultat der Managementbewertung sollten Entscheidungen zum Beispiel zur Strategie, den ISMS Zielen und Kennzahlen, notwendigen Maßnahmen sowie erforderlichen Ressourcen abgeleitet werden.