Brain-Media.de/Compliance-Lexikon/Management Review/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Management Review – Praxis

Der Management Review ist im Zertifizierungsaudit einer der am häufigsten bemfängelten Punkte – weil er entweder fehlt, unvollständig ist oder nur durch den CISO statt durch das Leitungsorgan durchgeführt wurde. Was Zertifizierungsauditoren konkret pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Im Zertifizierungsaudit prüft der Auditor das Management-Review-Protokoll auf Vollständigkeit der Inputs, Qualität der Outputs und Nachweis der Leitungsorganteilnahme. Das BAM-Objekt ISO-MR-01 definiert, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis ISO-MR-01
Gap-CheckWird der Management Review regelmaessig durchgefuehrt und sind Ergebnisse und Massnahmen dokumentiert?
RemediationManagement-Review-Prozess mit definierten Inputs, Tagesordnung und Dokumentationspflicht
EvidenceDatiertes Management-Review-Protokoll mit Inputs, Ergebnissen und Massnahmen der letzten 12 Monate.

Häufige Fehler

  • Protokoll zu knapp – keine Belege, dass alle Pflicht-Inputs besprochen wurden
  • Teilnehmerliste zeigt kein Mitglied des Leitungsorgans
  • Keine konkreten Beschlüsse mit Verantwortlichen und Fristen
  • Management Review und internes Audit am selben Tag – wirkt wie Formalität

Praxis-Tipp

Für den Management Review gilt: Qualität vor Quantität. Ein einseitiges Protokoll ohne Substanz ist schwächer als ein mehrseitiges mit allen Inputs, diskutierten Themen, Entscheidungen und Massnahmen. Der Auditor liest das Protokoll – es muss zeigen, dass wirklich eine Bewertung stattgefunden hat.

Umsetzung Schritt für Schritt

Erster Schritt: Tagesordnungsvorlage mit allen ISO-27001-Pflicht-Inputs erstellen. Zweiter Schritt: Leitungsorgan als Pflicht-Teilnehmer einladen und Teilnahme sicherstellen. Dritter Schritt: Unterlagen zu allen Inputs mindestens eine Woche vorher verteilen. Vierter Schritt: Review-Protokoll mit Inputs, Diskussion, Entscheidungen und Massnahmen dokumentieren. Fünfter Schritt: Offene Massnahmen aus dem Protokoll in das Verbesserungsregister übertragen.

Evidence-Anforderungen im Zertifizierungsaudit

Der Auditor erwartet: datiertes Management-Review-Protokoll mit Teilnehmerliste (inkl. Leitungsorganmitglied), alle Pflicht-Inputs berücksichtigt, konkrete Outputs (Entscheidungen, Ressourcen, Verbesserungen) und Nachweis der Umsetzung der beschlossenen Massnahmen.

Nächster Schritt

Stresstest starten

Kostenloser Compliance-Stresstest – ISO 27001 Readiness in 20 Minuten.

Die strategische Einordnung findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper