Klausel 9: Bewertung
Anforderungen (Klauseln 4–10)
Klausel 9 – Bewertung der Leistung
Funktioniert das ISMS wirklich? Klausel 9 ist die „Check"-Phase: Hier prüft die Organisation systematisch, ob ihr ISMS wirksam ist. Sie besteht aus drei Bausteinen.
9.1 Überwachung, Messung, Analyse und Bewertung
Die Organisation muss festlegen:
- was überwacht und gemessen wird (z. B. Patch-Quote, Vorfälle, Awareness);
- welche Methoden valide, vergleichbare Ergebnisse liefern;
- wann gemessen wird und wer es tut;
- wann die Ergebnisse analysiert und bewertet werden.
Das Ergebnis muss als dokumentierte Information vorliegen. Kennzahlen-Methodik liefert ISO/IEC 27004. Tipp: Miss nur, was du auch nutzt – Kennzahlen ohne Konsequenz sind verschwendete Mühe.
9.2 Internes Audit
In geplanten Abständen prüft die Organisation sich selbst: Erfüllt das ISMS die eigenen Vorgaben und die Norm – und ist es wirksam umgesetzt? Weil das eine Kunst für sich ist, behandeln wir es separat im Kapitel Internes Audit.
9.3 Managementbewertung
Die oberste Leitung bewertet das ISMS in geplanten Abständen auf Eignung, Angemessenheit und Wirksamkeit. Dieses „Management-Review" schließt den Kreis zur Führung – Details im Kapitel Managementbewertung.
| Abschnitt | Frage | Wer |
|---|---|---|
| 9.1 Messung | Erreichen wir unsere Ziele? | Fachverantwortliche |
| 9.2 Internes Audit | Halten wir uns an die Regeln? | interne Auditoren |
| 9.3 Management-Review | Passt das ISMS strategisch noch? | oberste Leitung |
Warum „Check" so oft scheitert
Viele Organisationen bauen Richtlinien auf (Plan) und setzen Technik um (Do), vergessen aber das ehrliche Hinschauen. Ohne Klausel 9 weiß niemand, ob die Maßnahmen tatsächlich wirken – und es gibt keine Grundlage für die Verbesserung in Klausel 10.
Welche drei Bausteine umfasst Klausel 9?