Ein ISMS braucht Verantwortung. Wenn alle nur sagen "Das machen wir nebenbei", macht es am Ende keiner richtig. Genau deshalb verlangt ISO 27001, dass die "Oberste Leitung" das ISMS in geplanten Abständen überprüft. Der Zweck des Management Reviews ist, zu beurteilen, ob das ISMS weiterhin geeignet, angemessen und wirksam ist und ob es die Informationssicherheitsziele noch trägt. Das ist kein netter Formaltermin, sondern einer der Momente, in denen Führung in ISO 27001 sichtbar werden soll.
(Dabei ist "oberste Leitung" nicht immer automatisch die Geschäftsführung des ganzen Unternehmens. In kleineren Firmen ist das oft so. In größeren Organisationen kann es auch die höchste Führungskraft innerhalb des betrachteten Anwendungsbereichs sein. Entscheidend ist nicht der schönste Titel auf der Visitenkarte, sondern dass dort echte Verantwortung und Entscheidungsmacht liegen.)
Die kurze Antwort
Das Management Review ist der Termin, an dem sich die verantwortliche Leitung die wesentlichen Punkte des ISMS geordnet anhört und dazu Entscheidungen trifft. Dazu gehören unter anderem Risiken, der Stand der Risikobehandlung, die Erreichung von Informationssicherheitszielen, Änderungen bei oder Rückmeldungen von interessierten Parteien, Ergebnisse aus Audits sowie Chancen zur Verbesserung. Genau diese Themen nennt Anforderung 9.3 als Pflichtinhalte der Managementbewertung.
Wichtig ist dabei: Die Leitung soll nicht nur passiv zuhören. Sie muss auch beitragen. Hierbei müssen u.a. Änderungen im oder rund um das Unternehmen (sog. Kontext der Organisation), sowie Rückmeldungen interessierter Parteien einbezogen werden. Damit fließen also genau die Dinge ein, die vorher bei Kontext der Organisation und interessierten Parteien erarbeitet wurden.
Worum es beim Management Review praktisch wirklich geht
Verantwortung kann man nur tragen, wenn man weiß, was abgeht. Das klingt banal, ist aber der Kern. Gleichzeitig ist es völlig normal, dass die Personen mit Verantwortung oft wenig Zeit haben. Und manchmal wollen sie bei Missständen vielleicht auch gar nicht so genau wissen, wo es klemmt. ISO 27001 baut deshalb einen festen Mechanismus ein: Die oberste Leitung muss sich die wesentlichen Entwicklungen des ISMS regelmäßig strukturiert vorlegen lassen. Das Management Review ist genau dieser Mechanismus.
Das macht den Termin so wertvoll. Er zwingt das ISMS aus der Ecke "läuft schon irgendwie" heraus und macht es zu einem Führungsthema: Management soll nicht symbolisch über Sicherheit wachen, sondern echte Entscheidungen treffen, die das ISMS und seine Weiterentwicklung beeinflussen.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Management Review ist eine Art Status-Meeting, in dem man einmal im Jahr ein paar Folien zeigt."
Anforderung 9.3 der ISO 27001 verlangt keine nette Vortragsveranstaltung, sondern eine Managementbewertung mit klaren Inputs und klaren Outputs. Es geht also nicht nur darum, Informationen zur Kenntnis zu nehmen, sondern am Ende auch Entscheidungen zu treffen. Die vorgeschriebenen Ergebnisse des Management Reviews umfassen ausdrücklich Entscheidungen zu Verbesserungsmöglichkeiten und zu erforderlichen Änderungen am ISMS.
Was typischerweise auf den Tisch gehört
Im Management Review sollen die wesentlichen Punkte des ISMS zusammenlaufen. Dazu gehören zunächst die Risiken und der Stand der Risikobehandlung. Also ganz praktisch: Haben wir die beschlossenen Maßnahmen umgesetzt? Sind wir im Plan? Hängen Themen fest? Gibt es neue Risiken oder alte Risiken, die sich anders entwickelt haben als gedacht?
Dann gehören die Informationssicherheitsziele hinein. Nicht als Dekoration, sondern mit ehrlichem Blick darauf, wie es mit der Zielerreichung aussieht. Der Standard verlangt ausdrücklich die Betrachtung, inwieweit die Informationssicherheitsziele erreicht wurden. Damit wird das Management Review zur natürlichen Stelle, um über Fortschritt, Nicht-Fortschritt und nötige Nachschärfung zu sprechen.
Ebenfalls auf den Tisch gehören beschlossene Verbesserungsmaßnahmen, Nichtkonformitäten, Korrekturmaßnahmen, Audit-Ergebnisse und allgemeines Feedback zur Performance des ISMS, bspw. Monitoring- und Messergebnisse, Ergebnisse von Audits sowie den Status von Maßnahmen aus früheren Reviews. Das verhindert, dass dieselben offenen Punkte jedes Jahr wieder geschniegelt in dieselbe Präsentation geschrieben werden, ohne dass sich tatsächlich etwas ändert.
Die Leitung muss nicht nur zuhören, sondern auch einbringen
Ein gutes Management Review ist keine Einbahnstraße. Die oberste Leitung soll nicht nur hören, was das ISMS-Team vorbereitet hat, sondern auch die Sicht des Unternehmens einbringen. Hat sich am Markt etwas verändert? Gibt es neue regulatorische Entwicklungen? Haben wichtige Kunden neue Anforderungen? Gibt es Rückmeldungen interessierter Parteien, auf die man hören sollte? 9.3 verlangt genau solche Inputs: Änderungen bei internen und externen Themen sowie Feedback interessierter Parteien.
Gerade das macht den Review so wertvoll. Dort laufen Managementsicht und ISMS-Sicht zusammen. Wenn das sauber gemacht wird, ist das Management Review nicht nur Rückspiegel, sondern auch Lenkrad.
Am Ende müssen Entscheidungen stehen
Der eigentliche Wert des Management Reviews liegt nicht darin, dass man viele Themen angesprochen hat. Der Wert liegt darin, dass am Ende Entscheidungen stehen. Kapitel 9.3 verlangt als Ergebnis ausdrücklich Entscheidungen zu Verbesserungsmöglichkeiten und zu notwendigen Änderungen am ISMS. Genau hier wird aus Berichtswesen Führung.
Praktisch kann das heißen: Manche Ziele werden weiterverfolgt, andere werden angepasst, weil sie inzwischen irrelevant geworden oder bereits erreicht sind. Es können neue Ziele beschlossen werden. Es können zusätzliche Verbesserungsmaßnahmen gestartet werden. Es kann entschieden werden, Ressourcen nachzulegen, Prioritäten zu verschieben oder veraltete Maßnahmen zu beenden. Und ja: Es kann auch ein guter Moment sein, einmal bewusst festzuhalten, was geschafft wurde. Der Standard formuliert das nüchtern, aber gute Führung darf Erfolge ruhig auch benennen.
Das Management Review ist kein Strafgericht
Viele Unternehmen machen aus dem Management Review entweder ein Ritual ohne Wirkung oder einen Termin, auf den niemand Lust hat, weil dort nur noch Defizite seziert und Schuldige gesucht werden. Beides ist Unsinn. 9.3 soll die Eignung, Angemessenheit und Wirksamkeit des ISMS sichern und die kontinuierliche Verbesserung vorantreiben. Das gelingt nur, wenn dort offen über Probleme gesprochen wird, aber eben auch über Fortschritt und sinnvolle nächste Schritte.
Was will der Auditor sehen?
Ein Auditor will hier in aller Regel nicht nur ein Protokoll mit Anwesenheitsliste sehen. Er will erkennen, dass die oberste Leitung wirklich beteiligt war, dass die Pflichtinhalte betrachtet wurden und dass aus dem Review Entscheidungen hervorgegangen sind. Dazu gehören typischerweise der Status früherer Maßnahmen, Veränderungen bei Kontext und interessierten Parteien, Informationen zur Leistung des ISMS, Zielerreichung, Risiken und Risikobehandlung sowie Chancen für Verbesserungen.
Hilfreiche Nachweise sind deshalb sauber strukturierte Management-Review-Unterlagen, Protokolle mit Entscheidungen, aktualisierte Ziel- oder Maßnahmenlisten und erkennbare Folgemaßnahmen aus dem Review. Der Auditor sucht nicht den schönsten Foliensatz. Er sucht erkennbare Leitung und erkennbare Steuerung.
FAQ
Woran Auditoren merken, dass es wirklich funktioniert
Stark wirkt dagegen:
- die Geschäftsführung kann erklären, wie sie das ISMS steuert;
- Review-Ergebnisse führen zu klaren Entscheidungen;
- Maßnahmen aus früheren Reviews sind nachverfolgbar;
- Risiken und Veränderungen werden sichtbar gemacht;
- und das Ganze passt erkennbar zur Arbeitsweise des Unternehmens.
Genau dann sieht ein Auditor: Das ist kein aufgesetztes Ritual, sondern gelebte Führungsarbeit.
Der eigentliche Punkt
Ein Management Review ist kein Gegenmodell zu Selbstorganisation.
Es ist der Punkt, an dem Selbstorganisation zeigen kann, dass der Aspekt "Verantwortung" nicht verloren gegangen ist.
Teams dürfen viel selbst entscheiden. Sie sollen aber auch viel selbst entscheiden. Und die Verantwortung dafür tragen. Aber irgendjemand muss regelmäßig auf das Gesamtsystem schauen und sagen:
- Trägt das noch?
- Wo laufen wir ins Risiko?
- Was müssen wir verändern?
- Was priorisieren wir jetzt?
Genau das ist Management Review.
FAQ
Die Norm verlangt die Beteiligung der obersten Leitung. In kleineren Unternehmen ist das oft die Geschäftsführung. (In größeren Organisationen kann es die höchste Führungskraft innerhalb des ISMS-Anwendungsbereichs sein, solange dort echte Verantwortung und Entscheidungsmacht liegen.)
ISO 27001 verlangt Management Reviews in geplanten Abständen. Die Norm schreibt also eine regelmäßige Durchführung vor, ohne in den frei zugänglichen Erläuterungen eine starre Einheitsfrequenz für alle Organisationen festzulegen. Gelebte Praxis ist, dass Auditoren erwarten, dass ein Management Review 1x pro Jahr stattfindet.
Pflichtinhalte sind unter anderem der Status früherer Maßnahmen, Änderungen bei internen und externen Themen, Feedback von interessierten Parteien, Informationen zur ISMS-Performance, Zielerreichung, Ergebnisse der Risikobewertung, Status des Risikobehandlungsplans und Verbesserungsmöglichkeiten.
Nein. Das Management Review ist ausdrücklich ein Termin der obersten Leitung. Sie darf sich vorbereitete Informationen vorlegen lassen, muss aber die Bewertung und die Entscheidungen erkennbar mittragen.
Ja. Änderungen bei internen und externen Themen sowie Feedback interessierter Parteien gehören ausdrücklich zu den Inputs des Management Reviews. Genau deshalb ist der Review eine gute Stelle, um solche Entwicklungen aufzugreifen.
Am Ende sollen Entscheidungen stehen, insbesondere zu Verbesserungsmöglichkeiten und zu erforderlichen Änderungen am ISMS. Genau darin liegt der eigentliche Zweck des Termins.
Unser Tipp
Machen Sie aus dem Management Review keinen Pflichtvortrag, sondern einen Entscheidungstermin. Wenn am Ende nicht klar ist, was weiterverfolgt, geändert, beendet oder neu gestartet wird, war es eher ein Bericht als ein Review.
Wenn Sie das Management Review im Rahmen einer ISO 27001-Einführung sauber aufsetzen wollen, sprechen Sie mit uns oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).