Klausel 6: Planung

Klausel 6 – Planung

Klausel 6 ist das Gehirn des ISMS: Hier wird festgelegt, wie die Organisation mit Risiken und Chancen umgeht, welche Ziele sie verfolgt und wie sie Änderungen plant. Dies ist die zentrale „Plan"-Phase im PDCA-Zyklus.

6.1 Umgang mit Risiken und Chancen

Die Norm verlangt einen risikobasierten Ansatz. 6.1 gliedert sich in drei Teile:

• 6.1.1 Allgemeines – Welche Risiken und Chancen muss die Organisation berücksichtigen, damit das ISMS seine Ziele erreicht und unerwünschte Effekte vermieden werden?
• 6.1.2 Risikobeurteilung – ein definierter Prozess, um Risiken zu identifizieren, zu analysieren und zu bewerten.
• 6.1.3 Risikobehandlung – die Auswahl von Optionen und Maßnahmen, inklusive der Erklärung zur Anwendbarkeit (SoA).

Diese beiden Teilprozesse sind so wichtig, dass wir ihnen jeweils ein eigenes Kapitel widmen.

6.2 Informationssicherheitsziele

Die Organisation muss auf relevanten Ebenen Sicherheitsziele festlegen. Sie sollen messbar sein, zur Politik passen und überwacht werden. Mehr dazu im Kapitel Sicherheitsziele.

6.3 Planung von Änderungen

Neu seit der Fassung 2022: Wenn die Organisation feststellt, dass Änderungen am ISMS nötig sind, müssen diese geplant durchgeführt werden – also überlegt, statt chaotisch. Das verhindert, dass Sicherheit bei Umbauten unter die Räder kommt.

Der rote Faden

6.1.1  Welche Risiken & Chancen betreffen mein ISMS?
   │
6.1.2  Risiken systematisch beurteilen  ──►  Risikoregister
   │
6.1.3  Risiken behandeln + Maßnahmen wählen  ──►  SoA + Risikobehandlungsplan
   │
6.2    Ziele setzen & messbar machen
   │
6.3    Änderungen geplant umsetzen

Warum hier die Weichen gestellt werden

Fast alles, was später im Betrieb passiert, leitet sich aus Klausel 6 ab. Eine saubere Risikobeurteilung sorgt dafür, dass die Organisation genau die Maßnahmen aus Anhang A umsetzt, die sie wirklich braucht – nicht mehr und nicht weniger.