Das Management-Review: Inhalt und Teilnehmer
Eine der Abschnitt-9-Anforderungen aus ISO 27001. Einmal jährlich, mit der Geschäftsleitung, 2 Stunden. Hier die Agenda, die ein Auditor akzeptiert – und die für Sie als Vorbereitung nutzbar ist.
Das Management-Review ist keine Formalität — es ist der einzige verpflichtende Termin im Jahr, an dem die Geschäftsleitung sich explizit zum ISMS bekennt. 2 Stunden, einmal pro Jahr.
Wer nimmt teil?
- Geschäftsleitung (Gesamtverantwortung für das ISMS)
- CISO / Sicherheitsverantwortlicher (kann im KMU auch die Geschäftsführung selbst sein)
- Datenschutzbeauftragter (sofern relevant für GDPR)
- Compliance-Officer (sofern vorhanden)
Agenda (fest)
- Rückblick auf das letzte Review — was wurde beschlossen, was umgesetzt?
- Änderungen im externen Kontext (Gesetzgebung, Kundenanforderungen, Bedrohungslage).
- Änderungen im internen Kontext (Umstrukturierung, neue Systeme, Wachstum).
- Risikomanagement — Status Risikoregister, Top-5-Restrisiken.
- Ergebnisse interner und externer Audits (Stage-Audits, Überwachungsaudits).
- Vorfallsübersicht — Anzahl, Kategorien, Erkenntnisse.
- Status Controls und Access Reviews.
- Bewertung der Ziele — wurden die Sicherheitsziele erreicht?
- Ressourcen — ist das ISMS ausreichend besetzt und finanziert?
- Verbesserungsinitiativen für das kommende Jahr.
- Maßnahmen- und Beschlussliste.
Nachweise
Protokoll mit klaren Beschlüssen, Namen, Daten und Maßnahmen. Unterzeichnet oder digital bestätigt durch die Geschäftsleitung. Dies ist das zentrale Dokument, das jeder Auditor anfordert.
Siehe auch: PDCA-Zyklus, Pre-Audit-Checkliste.
Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores
Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →