Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

ISO 27001 – Kapitel 9: Bewertung der Leistung

M.Sc. Jan Hörnemann

Mit den Novellen des IT-Sicherheitsgesetzes im Jahr 2015 wurden alle Betreiber von Kritischer Infrastruktur dazu verpflichtet Informationssicherheitsmanagementsysteme (ISMS)  nach ISO 27001 einzuführen. Der Betrieb dieser Stellte die betroffenen Betreiber meist vor recht große Probleme. Da dieser Umstieg mit der Erweiterung des IT-Sicherheitsgesetzes nun auch auf viele neue Bereiche wie die Entsorgung zu kommt wollen wir hiermit allen einen Leitfaden für den Standard zu Verfügung stellen.

Was ist ein ISMS?

Ein ISMS nach ISO 27001 umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Dabei sollte beachtet werden, dass diese Planung immer fortlaufend weitergeführt werden muss. Die Steuerung eines solchen Management Systems erfolgt dabei über zentral definierte Verfahren und Richtlinien. Wichtig ist dabei, dass diese Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvofälle.

Dabei sollte aber auch nie vergessen werden, dass ein ISMS nicht als Selbstzweck entworfen wurde. So sollte muss ein ISMS auch immer angemessen für die Art und besonders Größe des Unternehmens.

Aufbau der 2700er Familie

In dieser Artikelreihe wird es Vorrangig um die ISO 27001 gehen welche das Management System definiert. Dennoch gibt es rund um diesen Standard noch weitere Dokumente, welche wir in dieser Tabelle etwas genauer beleuchten:

NormBeschreibung
ISO/IEC 27000Definition der Begirffe
ISO/IEC 27001Anforderungen an ein ISMS
ISO/IEC 27002Leitfaden für die Maßnahmen
ISO/IEC 27003Leitfaden für eine erfolgreiche Umsetzung eines ISMS
ISO/IEC 27004Leitfade zur Evaluation der Wirksamkeit eines ISMS
ISO/IEC 27005Leitfaden für das Risikomanagement
ISO/IEC 27006Anforderungen an Zertifizierungsstellen
ISO/IEC 27007Leitfaden für ISMS-Audits
ISO/IEC 27008Richtlinien für Auditoren
ISO/IEC 27009Branchenspezifische Normen

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


ISO 27001 – Kapitel 9

Das neunte und damit vorletzte Kapitel der ISO 27001 fordert dokumentierte Informationen rund zu Thema Bewertung der Leistung. Wie bereits in Kapitel 8 werden auch in Kapitel 9 zu allen drei Unterkapiteln dokumentierte Informationen zu den einzelnen Schritten gefordert.

ISO 27001 – Kapitel 9.1

Überwachung, Messung, Analyse, Bewertung diese Schritte werden in Kapitel 9.1 gefordert. Dadurch soll allgemein die Wirksamkeit des Informationssicherheitsmanagementsysteme (ISMS) gemessen werden können. Darüber hinaus muss festgelegt sein, was wie wann von wem gemessen, überwacht und analysiert werden muss, einschließlich der Informationssicherheits-Prozesse und Maßnahmen.

ISO 27001 – Kapitel 9.2

Ein sehr großes Gebiet der ISO 27001 sind die internen Audits. Diese werden in Kapitel 9.2 gefordert und für eine Zertifizierung müssen dokumentierte Informationen zum Nachweis des Audits vorliegen. Die Audits müssen in geplanten und regelmäßigen Abstand durchgeführt werden. Dafür müssen Audits geplant, aufgebaut und verwirklicht werden. Der Nutzen aus diesen Audits ist es zu erkennen, ob das ISMS lebt und wirksam ist.

ISO 27001 – Kapitel 9.3

Das letzte Unterkapitel des Kapitels 9 der ISO 27001 ist die Managmentbewertung. Diese muss in geplanten Abständen durch die oberste Leitung durchgeführt werden und soll die Eignung, Angemessenheit und Wirksamkeit des ISMS bewerten. Zu den Inhalten zählen Status von Maßnahmen vorheriger Managmentbewertungen, aber auch Veränderungen bei externen und internen Themen. Ergebnisse von Überwachungen und Messungen (auch Audits), sowie die Rückmeldung von interessierten Parteien sind ebenfalls Bestandteil der Managmentbewertung.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)