einfachISO
ISO 27001

ISO 27001 Management Review agile – ohne Hierarchie-Theater

Joachim Reinke
Von Joachim Reinke
Gründer & Geschäftsführer
ISO 27001 - wie es auch in agilen Firmen klappt

Viele agile Unternehmen haben bei ISO 27001 denselben Reflex: Management Review? Klingt nach Chefmeeting, Berichtswesen und Kontrollritual.

Genau an dieser Stelle kippt das Thema oft in die falsche Richtung. Denn ein Management Review ist nicht dafür da, Selbstorganisation abzuschaffen. Es ist auch nicht dafür da, Teams klein zu halten. Es ist dafür da, dass die Unternehmensleitung regelmäßig prüft, ob das ISMS noch geeignet, angemessen und wirksam ist. Genau das fordert die Norm in Anforderung 9.3.

Die kurze Antwort

Ja - ein Management Review funktioniert auch in agilen und selbstorganisierten Unternehmen.

Aber nur dann, wenn man es nicht als Hierarchie-Show aufzieht. Der Sinn ist nicht, dass oben jemand alles besser weiß. Der Sinn ist, dass die Leitung Verantwortung dafür übernimmt, ob das Sicherheitsmanagement noch trägt, ob Risiken sauber adressiert werden und ob Entscheidungen nötig sind. Genau deshalb braucht ein Management Review Führung, aber nicht zwangsläufig starre Top-down-Inszenierung.

Der größte Denkfehler in der agilen Bubble

Der größte Denkfehler lautet oft: Wenn wir wirklich agil sind, brauchen wir kein Management Review. Das ist ja alles diese verkrustete Hierarchie, die wir genau nicht wollen!

Das ist zu kurz gedacht.

Selbstorganisation heißt nicht Führungslosigkeit. Und Agilität heißt auch nicht, dass niemand mehr verbindlich auf das Gesamtsystem schaut. Gerade in selbstorganisierten Umgebungen ist es wichtig, dass jemand die übergreifende Verantwortung für Informationssicherheit wahrnimmt. Sonst entstehen schnell lokale Optimierungen, aber keine belastbare Gesamtsteuerung. Dass ISO 27001 dafür explizit eine Managementbewertung in geplanten Abständen verlangt, ist genau die formale Übersetzung dieses Gedankens.

Was ein Management Review wirklich ist

Ein Management Review ist kein Statusmeeting und auch kein Freigaberitual für Kleinkram.

Es ist der Moment, in dem die Leitungsebene prüft:

  • wo das ISMS gerade steht;
  • was sich verändert hat;
  • welche Risiken, Vorfälle oder Trends relevant sind;
  • was aus früheren Entscheidungen geworden ist;
  • und welche Anpassungen jetzt nötig sind.

Genau deshalb ist die Managementbewertung kein Bürokratiezubehör, sondern ein Steuerungsinstrument. Die Normlogik dahinter ist klar: Das ISMS soll nicht einfach laufen, sondern regelmäßig darauf geprüft werden, ob es noch wirksam ist und zur Organisation passt.

Warum das auch in agilen Unternehmen sinnvoll ist

Gerade agile Unternehmen profitieren oft stärker davon, als sie zunächst denken.

Denn dort gibt es häufig:

  • schnelle Änderungen;
  • dezentrale Entscheidungen;
  • viele Tools;
  • mehrere Produkt- oder Projektteams;
  • viel Eigenverantwortung;
  • und oft überhaupt keine Lust auf zentrale Abstimmung.

Das ist operativ oft stark. Sicherheitsseitig kann es aber dazu führen, dass Risiken, Maßnahmen und Verantwortlichkeiten auseinanderlaufen. Ein gutes Management Review zieht diese Themen wieder auf eine Ebene, auf der echte Entscheidungen getroffen werden können. Das ist keine Anti-Agilität, sondern saubere Führung. Dass ISO 27001-Einführungen als Team effort mit Buy-in über mehrere Ebenen gedacht werden sollten, passt genau dazu.

Was Selbstorganisation nicht bedeutet


Selbstorganisation bedeutet nicht:

  • jeder macht sicherheitsmäßig, was er für richtig hält (weil ja viel Eigenverantwortung!),
  • Regeln gelten nur, wenn sie subjektiv sinnvoll erscheinen;
  • niemand muss nach oben berichten;
  • oder die Geschäftsführung darf sich aus Sicherheitsfragen heraushalten.

Sobald so gedacht wird, ist das nicht Agilität, sondern Verantwortungslosigkeit und Beliebigkeit.

Ein ISMS braucht Freiheitsgrade im Alltag, aber auch klare Leitplanken, Entscheidungen und Eskalation. Genau dort kommt das Management Review ins Spiel.

Wie ein Management Review in agilen Unternehmen gut funktioniert

Der Fehler ist nicht das Review selbst. Der Fehler ist oft das Format.

Ein gutes Management Review in einer agilen Organisation muss nicht wie ein Vorstandstheater mit PowerPoint-Marathon aussehen. Es kann schlank sein, solange die richtigen Punkte drin sind und die Leitung wirklich entscheidet.

Was gut funktioniert:

1. Wenige, aber relevante Eingaben

Keine Folienschlacht. Sondern zum Beispiel:

  • Status früherer Maßnahmen;
  • relevante Vorfälle;
  • neue oder veränderte Risiken;
  • Ergebnis interner Audits;
  • Kennzahlen oder Trends mit Aussagekraft;
  • Änderungen im Kontext oder Scope;
  • offene Entscheidungen.

Das passt auch zur Normlogik, die definierte Inputs und Outputs für das Review verlangt.

2. Klare Entscheidung statt bloßer Austausch

Wenn am Ende nur geredet wurde und alle sich diffus "okay" fühlen, war es kein gutes Management Review.

Ein brauchbares Review endet mit Entscheidungen:

  • Was ändern wir?
  • Was priorisieren wir?
  • Was bleibt offen?
  • Wer trägt was bis wann?

Genau daraus entsteht Steuerung.

3. Verantwortung bei der Leitung, Vorbereitung aus dem System

In agilen Unternehmen muss nicht die Geschäftsführung jeden Detailreport selbst bauen. Das wäre Quatsch.

Aber sie muss die Managementbewertung tragen. Das heißt: vorbereitete Informationen kommen aus dem ISMS, aus den Verantwortlichen, aus Audits, Vorfällen und Maßnahmen. Die eigentliche Bewertung und Entscheidung liegt aber bei der Leitung.

4. Format passend zur Kultur

Ein Management Review darf zu Eurem Unternehmen passen.

Es kann kompakt sein. Es kann in ein bestehendes Führungsformat eingebettet sein. Es kann mit Boards, Kennzahlen und klarer Agenda arbeiten statt mit klassischen Sitzungsprotokollen. Entscheidend ist nicht der Stil, sondern dass die geforderte Führungsbewertung tatsächlich stattfindet und nachvollziehbar ist. Dass es Freiräume in der Umsetzung gibt, wird auch in praxisnahen Leitfäden ausdrücklich betont.

Woran Auditoren merken, dass "Agilität" nur Ausrede ist

Jetzt der unangenehme, aber wichtige Teil. Ein Auditor merkt schnell, wenn "selbstorganisiert" in Wahrheit heißt:

  • niemand fühlt sich wirklich zuständig;
  • Entscheidungen bleiben in der Luft;
  • Risiken werden zwar diskutiert, aber nicht entschieden;
  • offene Maßnahmen altern elegant vor sich hin;
  • und die Geschäftsführung sieht das Thema eher als Teamproblem.

Dann wirkt Agilität nicht modern, sondern unreif: eine Ausrede für kollektivierte Diffusität.

Woran Auditoren merken, dass es wirklich funktioniert

Stark wirkt dagegen:

  • die Geschäftsführung kann erklären, wie sie das ISMS steuert;
  • Review-Ergebnisse führen zu klaren Entscheidungen;
  • Maßnahmen aus früheren Reviews sind nachverfolgbar;
  • Risiken und Veränderungen werden sichtbar gemacht;
  • und das Ganze passt erkennbar zur Arbeitsweise des Unternehmens.

Genau dann sieht ein Auditor: Das ist kein aufgesetztes Ritual, sondern gelebte Führungsarbeit.

Der eigentliche Punkt

Ein Management Review ist kein Gegenmodell zu Selbstorganisation.

Es ist der Punkt, an dem Selbstorganisation zeigen kann, dass der Aspekt "Verantwortung" nicht verloren gegangen ist.

Teams dürfen viel selbst entscheiden. Sie sollen aber auch viel selbst entscheiden. Und die Verantwortung dafür tragen. Aber irgendjemand muss regelmäßig auf das Gesamtsystem schauen und sagen:

  • Trägt das noch?
  • Wo laufen wir ins Risiko?
  • Was müssen wir verändern?
  • Was priorisieren wir jetzt?

Genau das ist Management Review.

Wenn Sie ein agiles oder selbstorganisiertes Unternehmen sind und ISO 27001 so umsetzen wollen, dass daraus kein Hierarchie-Theater wird, sondern ein funktionierendes System, sprechen Sie mit uns.

Häufig gestellte Fragen

Ist ein Management Review in agilen Unternehmen überhaupt sinnvoll?
Ja. Gerade in agilen Unternehmen hilft es, Risiken, Veränderungen, Maßnahmen und Führungsentscheidungen wieder auf eine gemeinsame Ebene zu ziehen. Die Norm verlangt dafür eine regelmäßige Managementbewertung des ISMS.
Bedeutet Management Review automatisch Hierarchie und Mikromanagement?
Bedeutet Management Review automatisch Hierarchie und Mikromanagement?
Kann man ein Management Review in bestehende agile Formate integrieren?
Ja, solange die inhaltlichen Anforderungen erfüllt sind und echte Managementbewertung stattfindet. Das Format darf zur Organisation passen; entscheidend sind Inhalt, Entscheidung und Nachvollziehbarkeit. Diese Flexibilität ist eine praktische Ableitung aus der Normanforderung und aus Implementierungsleitfäden mit betonten Umsetzungsspielräumen.
Was ist der häufigste Fehler?
"Selbstorganisation" als Ausrede dafür zu benutzen, dass niemand verbindlich auf das Gesamtsystem schaut und Entscheidungen trifft.
Muss die Geschäftsführung dabei wirklich eine aktive Rolle spielen?
Ja. Das Review ist gerade der Punkt, an dem oberes Management das ISMS bewertet. Genau das ist der Sinn der Anforderung.
Was will der Auditor sehen?
Nicht eine besonders formale Sitzung, sondern erkennbare Führung: klare Inputs, klare Entscheidungen, Nachverfolgung früherer Punkte und ein Management, das das ISMS nicht nur duldet, sondern steuert.

Dieser Artikel gehört zum Thema ISO 27001 Zertifizierung — erfahren Sie mehr über die Zertifizierung.

Zurück zum Blog

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Kostenlos · Kein Abo · Abmeldung jederzeit