Die ISO 27001 ist eine Norm für das Informationssicherheits-Managementsystem (ISMS) und Kapitel 11 befasst sich mit der Überwachung, Überprüfung, Messung und Bewertung der Wirksamkeit des ISMS.
Das Kapitel gliedert sich in vier Abschnitte:
1. Überwachung der Wirksamkeit: Hier geht es darum, sicherzustellen, dass das ISMS wirksam umgesetzt wird und dass alle notwendigen Aktivitäten zur Aufrechterhaltung der Sicherheit durchgeführt werden. Dazu gehören die Überwachung von Sicherheitsereignissen, die Identifizierung von Schwachstellen, die Umsetzung von Korrekturmaßnahmen und die Überprüfung von Sicherheitsrichtlinien und -verfahren.
2. Interne Überprüfung: Dieser Abschnitt befasst sich mit der Durchführung regelmäßiger interner Überprüfungen des ISMS. Damit soll sichergestellt werden, dass das System ordnungsgemäß umgesetzt wird und die Sicherheitsziele erreicht werden. Die Überprüfungen werden von internen Auditoren durchgeführt, die von der Abteilung oder dem Bereich, der das ISMS implementiert hat, unabhängig sind.
3. Bewertung der Wirksamkeit: Hier geht es darum, die Wirksamkeit des ISMS zu bewerten und zu messen. Dazu werden relevante Daten und Informationen gesammelt und analysiert, um sicherzustellen, dass das ISMS die Sicherheitsanforderungen und -ziele erfüllt.
4. Verbesserung: Der letzte Abschnitt befasst sich mit Maßnahmen zur Verbesserung des ISMS. Dazu werden auf Basis der Ergebnisse von Überwachung, Prüfung und Bewertung Verbesserungsmöglichkeiten identifiziert und umgesetzt.
Zusammenfassend dient Kapitel 11 der ISO 27001 dazu sicherzustellen, dass das ISMS kontinuierlich überwacht, überprüft, gemessen, bewertet und verbessert wird, um die Wirksamkeit des Systems sicherzustellen und die Sicherheit von Informationen zu gewährleisten.
Kapitel 12 der Norm befasst sich mit der Bewertung der Wirksamkeit des ISMS.
Im Einzelnen werden in Kapitel 12 folgende Aspekte behandelt:
1. Überwachung, Messung, Analyse und Bewertung Hier wird beschrieben, wie das ISMS überwacht und bewertet werden sollte, um sicherzustellen, dass es wirksam funktioniert und die Ziele der Organisation erreicht werden. Dies beinhaltet die regelmäßige Bewertung von Risiken und Bedrohungen sowie die Bewertung der Leistung des ISMS.
2. Interne Audits Dieser Abschnitt beschreibt die Anforderungen an interne Audits des ISMS, um sicherzustellen, dass alle Anforderungen des Standards erfüllt werden und das ISMS wirksam funktioniert.
3. Managementbewertung Dieser Abschnitt beschreibt die Anforderungen an die regelmäßige Bewertung des ISMS durch die oberste Leitung der Organisation. Damit soll sichergestellt werden, dass das ISMS die strategischen Ziele der Organisation unterstützt und effektiv funktioniert.
4. Verbesserung Hier wird beschrieben, wie Verbesserungen im ISMS umgesetzt werden können, um die Wirksamkeit zu erhöhen und Schwachstellen zu beheben.
Insgesamt soll Kapitel 12 sicherstellen, dass das ISMS kontinuierlich verbessert wird und effektiv funktioniert, um die Informationssicherheit in der Organisation zu gewährleisten.
