Beratung

ISO 27001 – Ein Einstieg in den Standard

Aktualisiert am

ISO 27001 – Kapitel 9

Das neunte und damit vorletzte Kapitel der ISO 27001 fordert dokumentierte Informationen rund zu Thema Bewertung der Leistung. Wie bereits in Kapitel 8 werden auch in Kapitel 9 zu allen drei Unterkapiteln dokumentierte Informationen zu den einzelnen Schritten gefordert.

ISO 27001 – Kapitel 9.1

Überwachung, Messung, Analyse, Bewertung diese Schritte werden in Kapitel 9.1 gefordert. Dadurch soll allgemein die Wirksamkeit des Informationssicherheitsmanagementsysteme (ISMS) gemessen werden können. Darüber hinaus muss festgelegt sein, was wie wann von wem gemessen, überwacht und analysiert werden muss, einschließlich der Informationssicherheits-Prozesse und Maßnahmen.

ISO 27001 – Kapitel 9.2

Ein sehr großes Gebiet der ISO 27001 sind die internen Audits. Diese werden in Kapitel 9.2 gefordert und für eine Zertifizierung müssen dokumentierte Informationen zum Nachweis des Audits vorliegen. Die Audits müssen in geplanten und regelmäßigen Abstand durchgeführt werden. Dafür müssen Audits geplant, aufgebaut und verwirklicht werden. Der Nutzen aus diesen Audits ist es zu erkennen, ob das ISMS lebt und wirksam ist.

ISO 27001 – Kapitel 9.3

Das letzte Unterkapitel des Kapitels 9 der ISO 27001 ist die Managementbewertung. Diese muss in geplanten Abständen durch die oberste Leitung durchgeführt werden und soll die Eignung, Angemessenheit und Wirksamkeit des ISMS bewerten. Zu den Inhalten zählen Status von Maßnahmen vorheriger Managementbewertungen, aber auch Veränderungen bei externen und internen Themen. Ergebnisse von Überwachungen und Messungen (auch Audits), sowie die Rückmeldung von interessierten Parteien sind ebenfalls Bestandteil der Managementbewertung.

Foto des Autors

Jan Hörnemann

Ich bin Jan Hörnemann, TeleTrust Information Security Professional (T.I.S.P.) und seit 2016 leidenschaftlich in der Welt der Informationssicherheit unterwegs. Mein Master of Science in Internet-Sicherheit hat mir ein fundiertes Verständnis für verschiedene Aspekte dieser Branche vermittelt, das ich in meiner laufenden Promotion kontinuierlich ausbaue. In der AWARE7 bin ich Chief Operating Officer und Prokurist, gleichzeitig koordiniere ich die Abteilungen "Informationssicherheit" und "Offensive Services" und sorge dafür, dass alle Projekte reibungslos ablaufen.