Compliance-Lexikon · ISO 27001
Management Review
[ˈmænɪdʒmənt rɪˈvjuː] · auch: Managementbewertung, ISMS-Review, Leitungsbewertung
Der Management Review ist die jährliche (oder häufigere) formale Bewertung des ISMS durch das Top-Management – ein Pflichtprozess nach ISO 27001, der sicherstellt, dass das Leitungsorgan das Sicherheitsprogramm aktiv bewertet, Ressourcen zuweist und Verbesserungen beschliesst.
Warum der Management Review Pflicht und kein optionales Meeting ist
ISO 27001 Kapitel 9.3 ist eindeutig: Das Top-Management muss das ISMS in geplanten Abständen bewerten. Der Management Review ist nicht das monatliche IT-Meeting – er ist die formale, dokumentierte Bewertung durch die Leitungsebene mit definierten Inputs und Outputs. Im Zertifizierungsaudit fragt der Auditor nach dem Protokoll des letzten Management Reviews: Wer war dabei? Was wurde besprochen? Welche Entscheidungen wurden getroffen?
Wo der Management Review gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 9.3 | Managementbewertung: Explizite Anforderung mit definierten Inputs und Outputs. |
| ISO 27001:2022 | Kap. 9.3.2 | Eingaben fuer die Managementbewertung: Status früherer Massnahmen, Änderungen, Leistung, Feedback, Ergebnisse der Risikobeurteilung. |
| ISO 27001:2022 | Kap. 9.3.3 | Ergebnisse der Managementbewertung: Entscheidungen zu Verbesserungen, Ressourcenbedarf, ISMS-Änderungen. |
| NIS-2 / BSIG | § 38 | Leitungsorganhaftung: Management Review als Nachweis aktiver Leitungsorganbeteiligung. |
| DORA | Art. 5 | Governance: Jährliche Leitungsorganbewertung des IKT-Risikomanagement-Rahmens als DORA-Anforderung. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Management Review durchgeführt, aber nicht oder unzureichend dokumentiert
- Pflicht-Inputs fehlen im Review (z.B. Ergebnisse interner Audits, Risikostatus)
- Keine konkreten Outputs (Entscheidungen, Ressourcenzuweisungen)
- Review nur auf CISO-Ebene, nicht durch das Leitungsorgan
Pflicht-Inputs nach ISO 27001:2022 Kap. 9.3.2
Der Management Review muss folgende Inputs berücksichtigen: Status von Massnahmen aus früheren Management Reviews, Änderungen in externen und internen Anforderungen, Rückmeldungen zur Informationssicherheitsleistung (inkl. Nichtkonformitäten, Ergebnisse Überwachung und Messung, Auditerergebnisse), Rückmeldungen von interessierten Parteien, Ergebnisse der Risikobeurteilung und Status des Risikobehandlungsplans sowie Möglichkeiten zur kontinuierlichen Verbesserung. Fehlt einer dieser Inputs, ist der Management Review formal unvollständig.
Pflicht-Outputs nach ISO 27001:2022 Kap. 9.3.3
Der Management Review muss folgende Outputs erzeugen: Entscheidungen und Massnahmen im Zusammenhang mit Möglichkeiten zur kontinuierlichen Verbesserung, Bedarf für Änderungen am ISMS, Ressourcenbedarf. Diese Outputs müssen dokumentiert sein – idealerweise als Protokoll mit Beschlüssen, Verantwortlichen und Fristen.
Nächste Ebene
Management Review in der Praxis: Ablauf, Dokumentation und Evidence
Wie ein Management Review strukturiert, durchgeführt und dokumentiert wird.