Compliance-Lexikon · Strategie
Management Review – Strategie
Der Management Review ist das formale Instrument, mit dem ISO 27001 sicherstellt, dass das Leitungsorgan das Sicherheitsprogramm nicht delegiert, sondern aktiv steuert. Strategisch ist er mehr als eine jährliche Pflicht.
Die strategische Perspektive
Der Management Review ist das strukturierte Gesprach zwischen ISMS-Verantwortlichen und Leitungsorgan über den Zustand und die Zukunft des Sicherheitsprogramms. Gut vorbereitet und durchgeführt, ist er das wirksamste Instrument, um Ressourcenentscheidungen, strategische Ausrichtung und Verbesserungsmassnahmen auf Leitungsorganebene zu verankern. Schlecht vorbereitet, ist er eine buerokratische Pflicht ohne Wirkung.
Verbindung zu NIS-2 und DORA
NIS-2 § 38 und DORA Art. 5 verlangen aktive Leitungsorganbeteiligung an der Sicherheits-Governance. Der ISO-27001-Management-Review erfüllt diese Anforderung, wenn er korrekt durchgeführt wird: Das Leitungsorgan nimmt teil, bewertet die Risikolage und trifft Entscheidungen. Das BAM-Objekt ISO-MR-01 verbindet Management-Review-Anforderungen mit dem regulatorischen Evidence-Framework.
Strategischer Kern
Die entscheidende Frage lautet nicht „Haben wir einen Management Review durchgeführt?“, sondern „Führt der Management Review zu besseren Entscheidungen und nachweisbaren Verbesserungen des Sicherheitsprogramms?“
Management Review als Teil des PDCA-Zyklus
ISO 27001 folgt dem Plan-Do-Check-Act-Zyklus. Der Management Review ist die „Check“-Phase auf höchster Ebene: Er bewertet, ob das ISMS wirksam ist (Check), und beschliesst Verbesserungen (Act), die in den nächsten Plan-Do-Zyklus einfliesßen. Ohne diesen Review fehlt dem ISMS das Rückkopplungselement, das kontinuierliche Verbesserung sicherstellt.
BAM Enterprise · Executable Compliance
Enterprise-Setup besprechen
Management-Review-Prozess als ausfuehrbares Compliance-Artefakt – ISO 27001.
Den praktischen Einstieg findet sich auf Ebene 2.