Login Registrieren
Lernen / ISO/IEC 27001 — ISMS-Tutorial / Klausel 10: Verbesserung

Klausel 10: Verbesserung

Anforderungen (Klauseln 4–10)

Klausel 10 – Verbesserung

Die letzte Klausel ist die „Act"-Phase: Aus Fehlern lernen und das ISMS dauerhaft besser machen. Sie ist kurz, aber der Motor des gesamten PDCA-Kreislaufs. Bemerkenswert: In der Fassung 2022 steht 10.1 (fortlaufende Verbesserung) bewusst vor 10.2 – die Verbesserung ist das Ziel, Korrekturen sind ein Mittel dazu.

10.1 Fortlaufende Verbesserung

Die Organisation muss die Eignung, Angemessenheit und Wirksamkeit des ISMS fortlaufend verbessern. „Fortlaufend" heißt: kein Endzustand, sondern ein stetiger Prozess. Impulse liefern Audits, Messungen, Vorfälle, das Management-Review und Vorschläge der Mitarbeitenden.

10.2 Nichtkonformität und Korrekturmaßnahmen

Eine Nichtkonformität (NC) ist die Nichterfüllung einer Anforderung – aus einem Audit, einem Vorfall oder einer Beobachtung. Tritt sie auf, muss die Organisation einer klaren Logik folgen:

SchrittWas zu tun ist
1. Reagierensofort eindämmen & mit den Folgen umgehen (Korrektur)
2. Ursachen prüfenUrsache(n) ermitteln; gibt es vergleichbare NCs anderswo?
3. MaßnahmeKorrekturmaßnahme einleiten, um die Ursache zu beseitigen
4. Wirksamkeit prüfenhat die Korrekturmaßnahme gewirkt?
5. ISMS anpassenfalls nötig, das ISMS ändern

Korrektur vs. Korrekturmaßnahme

Ein häufig verwechselter, prüfungsrelevanter Unterschied:

  • Korrektur = das Symptom beseitigen (Brand löschen).
  • Korrekturmaßnahme = die Ursache beseitigen, damit es nicht wieder passiert (Brandursache abstellen).
Vorfall:  Phishing-Mail führte zu Datenabfluss
Korrektur:        betroffenes Konto sperren, Passwort zurücksetzen
Korrekturmaßnahme: MFA einführen + Awareness-Training (Ursache: kein 2. Faktor)

Eine gute Ursachenanalyse (z. B. „5 Why") trennt beides sauber – sonst behandelt man ewig Symptome.

Angemessenheit & Nachweise

Korrekturmaßnahmen müssen den Auswirkungen der Nichtkonformität angemessen sein – nicht mit Kanonen auf Spatzen. Als Nachweis sind die Art jeder NC, die ergriffenen Maßnahmen und deren Ergebnisse aufzubewahren.

Was ist der Unterschied zwischen „Korrektur" und „Korrekturmaßnahme"?

Managementbewertung Anhang A & die 93 Maßnahmen