Zum Inhalt springen
📞 Praxisbezogene & bezahlbare ISO 27001 / TISAX Beratung: Jetzt kostenloses Erstgespräch sichern → Termin vereinbaren
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Managementbewertung ISO 27001

Managementbewertung ISO 27001

Managementbewertung nach ISO 27001 – Steuerungsinstrument statt Pflichttermin

1️⃣ Bedeutung der Managementbewertung

Die Managementbewertung ist kein reines „Formular-Thema“, sondern das zentrale Steuerungselement des Informationssicherheits-Managementsystems (ISMS). Sie stellt sicher, dass das Top-Management regelmäßig beurteilt, ob das ISMS weiterhin angemessen, wirksam und aktuell ist.

Ziel: Die Managementbewertung verbindet Kennzahlen, Risiken und Maßnahmen zu einer faktenbasierten Entscheidungsgrundlage für die Geschäftsführung.

2️⃣ Anforderungen der ISO 27001:2022

Nach Abschnitt 9.3 der ISO 27001:2022 muss die Bewertung mindestens Folgendes berücksichtigen:

Status von Maßnahmen aus früheren Bewertungen
Veränderungen im internen und externen Kontext
Ergebnisse aus Überwachung, Messung, Audits und Compliance-Prüfungen
Trends bei Sicherheitsvorfällen und Korrekturmaßnahmen
Bewertung der Wirksamkeit des ISMS
Rückmeldungen von interessierten Parteien (z. B. Kunden, Behörden)
Chancen zur Verbesserung
Hinweis: Auditoren verlangen einen dokumentierten Bericht mit Entscheidungen und Folgemaßnahmen.

3️⃣ Typische Inhalte der Managementbewertung

Ein praxisnaher Managementbewertungsbericht sollte folgende Punkte enthalten:

Einleitung & Rahmen: Geltungsbereich, Ziel, Zeitraum der Bewertung
Kennzahlen: Incidents, Risikostatus, Schulungsquote, offene Maßnahmen
Interne Audits: Abweichungen, Wirksamkeit der Prozesse
Änderungen & Trends: Technologische, organisatorische, rechtliche Entwicklungen
Risikomanagement: Bestehende Risiken, neue Bedrohungen
Verfügbarkeit & Leistung: IT-Stabilität, Backups, Wiederanlaufzeiten
Verbesserungspotenziale: Ressourcen, Verantwortlichkeiten, Zeitpläne
Praxis-Tipp: Verwenden Sie Tabellen mit Verantwortlichkeiten, Status und Terminen – angelehnt an ISO 19011.

4️⃣ Häufige Fehler in der Praxis

Diese Punkte treten in Audits besonders häufig auf:

Bewertung nur „pro forma“, ohne Kennzahlenanalyse
Bericht zu technisch – Management verliert den Nutzenbezug
Fehlende Dokumentation und Nachverfolgung von Beschlüssen
Keine Verbindung zur Risikoanalyse bei neuen Bedrohungen
Vermeiden Sie: „Copy & Paste“-Berichte – entscheidend ist der Bezug zur Systemleistung und aktuellen Risiken.

5️⃣ Verknüpfung mit anderen Normkapiteln

Die Managementbewertung steht in engem Zusammenhang mit:

6.1: Umgang mit Risiken und Chancen
9.1: Überwachung, Messung, Analyse und Bewertung
9.2: Internes Audit
10: Kontinuierliche Verbesserung
Audit-Logik: Beschlüsse aus der Bewertung müssen sich in Maßnahmenlisten widerspiegeln – sonst gelten sie als nicht umgesetzt.

6️⃣ Beispiel aus der Praxis

Bei einem Kunden aus dem IT-Dienstleistungsbereich wurde die Managementbewertung in Wiki.js umgesetzt. So konnten Kennzahlen, Risiken und Beschlüsse zentral gepflegt und im Audit direkt nachgewiesen werden.

Automatische Einbindung der Risikomatrix
Verknüpfung zu Auditberichten und Maßnahmenverfolgung
Protokollierte Entscheidungen des Managements mit Freigabestatus
Vorteil: Zeitersparnis, Nachvollziehbarkeit und ein klarer Audit-Trail – ohne zusätzliche Excel- oder PDF-Dokumente.

Fazit

Die Managementbewertung ist kein Pflichttermin, sondern ein wirksames Führungsinstrument. Sie verbindet Risiken, Kennzahlen und Auditergebnisse mit der strategischen Steuerung des Unternehmens. Wer sie konsequent nutzt, schafft Transparenz und stellt sicher, dass Informationssicherheit gelebte Unternehmenspraxis wird.

Empfehlung: Führen Sie die Bewertung jährlich durch – ideal in Verbindung mit ISO 9001 oder ISO 14001.

Beispiel einer Managementbewertung – Kontext 4.1 & 4.2 und Ergebnisse aus Audits

Im Rahmen der jährlichen Managementbewertung wurden die Themen Klimawandel und Ergebnisse aus Überwachung, Messung, Audits und Compliance-Prüfungen analysiert. Beide Aspekte wirken direkt auf den Kontext der Organisation (Kapitel 4.1 und 4.2) sowie auf die Bewertung der Wirksamkeit des Informationssicherheits-Managementsystems (Kapitel 9.3).

Bewertungszeitraum: Geschäftsjahr 2024 / 2025 | Verantwortlich: Informationssicherheitsbeauftragter (ISB)

1️⃣ Kontextanalyse – Klimawandel (Abschnitt 4.1)

Externe Themen:
Häufigere Unwetter, Überschwemmungen → Stromausfall-Risiko, Lieferkettenstörungen.
Interne Themen:
Anpassung Business-Continuity-Pläne, Serverraum-Kühlung, Standortbewertung.
Rechtliche Rahmenbedingungen:
EU-Taxonomie, ESG-Pflichten erhöhen Transparenzanforderungen.
Technologische Themen:
Migrationsstrategie in energieeffiziente Cloud-Infrastrukturen.
Bewertung: Relevanz hoch → Integration in BCM und Risikomatrix (ISO 27005 / ISO 22301).

2️⃣ Interessierte Parteien – Abschnitt 4.2

Kunden:
Verlangen Nachweise zur Ausfallsicherheit bei Naturereignissen.
Lieferanten:
Müssen Redundanzen und Notfallkonzepte nachweisen.
Mitarbeitende:
Benötigen klare Notfall- und Kommunikationswege.
Behörden / Versicherer:
Fordern Berichte zu Präventions- und Sicherungsmaßnahmen.
Fazit: Erwartungshaltung wird in Risikoanalyse + Notfallplanung übernommen.

3️⃣ Ergebnisse aus Überwachung, Messung, Audits und Compliance-Prüfungen (Abschnitt 9.1 – 9.3)

Neben den Kontextthemen wurden die Ergebnisse der internen Audits, Systemüberwachung und externen Compliance-Bewertungen in die Managementbewertung einbezogen.

Interne Audits:
3 Audits durchgeführt, keine Hauptabweichungen, 4 Verbesserungspotenziale dokumentiert (Schulungsnachweise, Patch-Management).
Überwachung & Messung:
Log-Auswertung und SIEM-Reports zeigen 15 % weniger sicherheitsrelevante Events → Maßnahmen zur Benutzer-Awareness greifen.
Compliance-Prüfungen:
DSGVO-Kontrolle durch Datenschutzbeauftragten ohne Beanstandung – Dokumentationspflichten vollständig erfüllt.
Externe Prüfungen:
Lieferantenaudit (Automotive) bestätigte ISMS-Reifegrad Level 2 nach VDA ISA 6.0 – keine Korrekturmaßnahmen erforderlich.
Bewertung durch Geschäftsführung: ISMS ist wirksam, Verbesserungspotenziale werden in den Maßnahmenplan 2025 übernommen.

4️⃣ Beschlüsse der Geschäftsführung

Durchführung Standortanalyse (Klimarisiken)
Ergänzung Wiederanlaufplan „Infrastrukturstörung“
Zweite Datensicherung in klimaneutralem Rechenzentrum
Integration Nachhaltigkeits-Kapitel in Bewertung 2025
Verantwortlich: ISB & Geschäftsführung | Zeitraum: Q1–Q3 2025

Fazit

Durch die kombinierte Betrachtung von Klimawandel, Audit-Ergebnissen und Compliance-Status erhält die Managementbewertung eine klare strategische Ausrichtung. Sie zeigt, dass das ISMS nicht nur normkonform, sondern auch zukunftsorientiert geführt wird.

Ergebnis: Relevanz bestätigt | Risiken bewertet | Maßnahmen beschlossen | Wirksamkeit des ISMS bestätigt (ISO 27001 Abs. 9.3).

FAQ zur Managementbewertung nach ISO 27001

❓ Wie oft muss eine Managementbewertung durchgeführt werden?

Laut ISO 27001 (Abschnitt 9.3) ist mindestens eine jährliche Bewertung verpflichtend. Viele Organisationen führen halbjährliche Reviews durch, wenn das ISMS stark verändert oder erweitert wurde.

Praxis-Tipp: Kombinieren Sie die Managementbewertung mit der ISO 9001-Bewertung, um Synergien zu nutzen.

👥 Wer ist für die Durchführung verantwortlich?

Die Verantwortung liegt beim Top-Management. In der Regel bereitet der Informationssicherheitsbeauftragte (ISB) die Inhalte vor (Kennzahlen, Risiken, Audit-Ergebnisse), während die Geschäftsführung Entscheidungen trifft und freigibt.

Hinweis: Auditoren prüfen, ob die Geschäftsleitung aktiv eingebunden war – eine Unterschrift allein reicht nicht.

🧾 Welche Themen müssen zwingend behandelt werden?

Die Norm fordert u. a. folgende Inhalte:

  • Ergebnisse aus Audits und Überwachung
  • Rückmeldungen interessierter Parteien
  • Status von Maßnahmen früherer Bewertungen
  • Veränderungen des Kontextes (z. B. Klimawandel, IT-Struktur)
  • Trends bei Sicherheitsvorfällen
Ergebnis: Beschlüsse, Ressourcenentscheidungen und Verbesserungsmaßnahmen müssen dokumentiert werden.

📊 Welche Kennzahlen sind für die Managementbewertung relevant?

Kennzahlen sollten messbar und auf Informationssicherheit ausgerichtet sein, z. B.:

  • Anzahl sicherheitsrelevanter Vorfälle (pro Quartal)
  • Schulungsquote Informationssicherheit (%)
  • Patch-Management-Status / Systemverfügbarkeit
  • Abschlussquote offener Maßnahmen
Praxis: Wichtiger als viele Kennzahlen ist deren Relevanz und Nachverfolgbarkeit.

🔍 Wie werden Ergebnisse und Beschlüsse dokumentiert?

Üblicherweise in einem Managementbewertungsprotokoll oder -bericht mit folgenden Bestandteilen:

  • Datum und Teilnehmer
  • Besprochene Themen und Ergebnisse
  • Entscheidungen, Verantwortlichkeiten, Termine
Empfehlung: Digitale Verwaltung in Wiki.js oder ISMS-Tool – vermeidet redundante Excel- und PDF-Versionen.

⚠️ Was sind typische Fehler bei der Managementbewertung?

  • Zu allgemeine Aussagen ohne Kennzahlenbezug
  • Fehlende Verknüpfung mit Audit- oder Risikoberichten
  • Keine Nachverfolgung beschlossener Maßnahmen
  • Fehlende Einbindung der Geschäftsführung
Auditoren achten: auf Nachweise, Trendanalysen und klare Zuordnung von Verantwortlichkeiten.

💡 Fazit

Die Managementbewertung ist weit mehr als ein Pflichttermin – sie ist das strategische Steuerungsinstrument des ISMS. Wer sie datenbasiert, nachvollziehbar und regelmäßig durchführt, beweist gelebte Informationssicherheit.

Fragen zur Umsetzung stellen →

Weitere wichtige ISO 27001 Themen

Häufige Fragen zur ISO 27001

Antworten auf zentrale Fragen zur Einführung und Umsetzung.

 🎯

Ziele der Informationssicherheit

Definitionen und Bedeutung der Sicherheitsziele im Rahmen des ISMS.

 📘

Leitfaden zur ISO 27001

Schritt-für-Schritt-Anleitung zur Umsetzung des ISMS.

 🔐

ISO 27001 Informationssicherheit

Grundlagen zur Norm und wie Informationssicherheit im Unternehmen etabliert wird.
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel