Managementbewertung

Anforderungen (Klauseln 4–10)

Klausel 9.3 – Managementbewertung

Die Managementbewertung (Management-Review) ist der Moment, in dem die oberste Leitung persönlich auf das ISMS schaut. In geplanten Abständen (üblich: mindestens jährlich) bewertet sie dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit.

9.3.2 Eingaben (Inputs)

Die Norm schreibt vor, welche Themen das Review behandeln muss:

Status der Maßnahmen aus früheren Managementbewertungen;
Änderungen bei externen und internen Themen, die das ISMS betreffen;
Änderungen bei den Erfordernissen interessierter Parteien;
Rückmeldungen zur Sicherheitsleistung: Nichtkonformitäten & Korrekturmaßnahmen, Messergebnisse, Auditergebnisse, Erreichung der Ziele;
Rückmeldungen interessierter Parteien;
Ergebnisse der Risikobeurteilung und Status des Behandlungsplans;
Möglichkeiten zur fortlaufenden Verbesserung.

9.3.3 Ergebnisse (Outputs)

Die Ergebnisse müssen Entscheidungen enthalten zu:

Möglichkeiten der fortlaufenden Verbesserung;
jeglichem Änderungsbedarf am ISMS (Ressourcen, Ziele, Politik …).

Diese Entscheidungen sind verbindlich und werden als dokumentierte Information festgehalten. So fließt das Review direkt in Klausel 10 – den „Act"-Teil – ein.

Der Kreis schließt sich

Messung (9.1) ┐
Audit  (9.2)  ├──►  Management-Review (9.3)  ──►  Entscheidungen
Risiken/Ziele ┘                                      │
                                                     ▼
                                      Verbesserung (Klausel 10)  ──► zurück zu PLAN

Mehr als ein Pflichttermin

Auf dem Papier ist das Review eine Sitzung. In Wahrheit ist es der strategische Steuerungspunkt des ISMS: Hier entscheidet die Leitung über Budget, Prioritäten und Kurskorrekturen. Ein gutes Review ist datengetrieben (Kennzahlen, Trends) statt ein bloßes Abnicken von Folien.

Wer führt die Managementbewertung nach 9.3 durch?